Pedro Pablo López, Gerente de Infraestructura Seguridad, Auditoría y Normalización de Rural Servicios Informativos (RSI), basó su presentación en un recorrido por el proyecto de implantación de PCI DSS que se está llevando a cabo en su entidad. Pedro Pablo destacó la estrategia de tokenizacion como solución a alguno de los requisitos de la normativa PCI DSS.
PCI DSS se ha convertido estos últimos años en una de las normas más nombradas dentro de los mensajes de ventas relacionadas con Seguridad TIC y el cumplimiento normativo. Pero, aun así, se siguen produciendo incidentes de seguridad que han situado el año 2013 en uno donde mayor cantidad de datos de pago se han comprometido y las expectativas son que el 2014 todavía lo supere. La pregunta es ¿es realmente útil PCI DSS para impedir esto? La respuesta podría ser otra pregunta ¿se está realmente implantando correctamente PCI DSS? En esta presentación se tratan estos aspectos con el particular punto de vista del Perú y la regulación emitida por su Superintendencia Bancaria y de Seguros.
Presentación de Miguel Ángel Domínguez sobre cómo PCI DSS debe contemplarse como un proceso continuo y no un proyecto de seguridad dentro de un Sistema de Gestión de la Seguridad de la Información.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.
Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.
PCI DSS se ha convertido estos últimos años en una de las normas más nombradas dentro de los mensajes de ventas relacionadas con Seguridad TIC y el cumplimiento normativo. Pero, aun así, se siguen produciendo incidentes de seguridad que han situado el año 2013 en uno donde mayor cantidad de datos de pago se han comprometido y las expectativas son que el 2014 todavía lo supere. La pregunta es ¿es realmente útil PCI DSS para impedir esto? La respuesta podría ser otra pregunta ¿se está realmente implantando correctamente PCI DSS? En esta presentación se tratan estos aspectos con el particular punto de vista del Perú y la regulación emitida por su Superintendencia Bancaria y de Seguros.
Presentación de Miguel Ángel Domínguez sobre cómo PCI DSS debe contemplarse como un proceso continuo y no un proyecto de seguridad dentro de un Sistema de Gestión de la Seguridad de la Información.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
Sinergias entre PCI DSS y PA DSS: Cómo sacar partido de PA DSS para facilitar...Internet Security Auditors
En la presentación de José García González de Informática El Corte Inglés (IECI), nos mostró como el cumplimiento de PA DSS facilita, aunque no garantiza, el cumplimiento de PCI DSS.
Presentación realizada por Juan Manuel Nieto Moreno, consultor de seguridad de la información, en relación a PCI DSS v2. La presentación explica los principales conceptos entorno a las normas de seguridad de la industria de las tarjetas de pago (VISA, Mastercard, JCB, AMEX,..), requisitos, certificaciones, etc.
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
Presentación ofrecida en el Internet Global Congress 2006 (IGC) en la que se explican las normas de seguridad que utilizan VISA y Mastercard para PCI DSS.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
El curso PCI es un programa que proporciona una visión general de la Industria de Tarjetas
de Pago (PCI) y de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago
(PCI DSS).
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
El presente curso se enfoca en brindar una metodología teórica y práctica
para comprender la necesidad de implementar las PCI DSS, sus beneficios para el negocio
y el cumplimiento del "Reglamento de Tarjetas de Crédito y Debito" publicado por la
Superintendencia de Banca y Seguros bajo la Resolución SBS N° 6523-2013.
El sistema de control de accesos SISCON denominado CA01. El sistema utiliza pistolas láser lectoras de códigos de barra que se conectan a un celular o PC o celulares ya que la interfase se adapta al celular. Se accede a la nube desde un link con clave.
La administración electrónica es una realidad tanto en las AAPP como en el sector privado, apoyada por el margo legal y normativo que la hacen confiable y más próxima a los ciudadanos.
Para poder prestar servicios de administración y firma electrónica es preciso que las Instituciones se doten de nuevas aplicaciones, y productos que les permitan dar ese importante paso.
SIA, consciente de esta situación, pionera en España en la introducción de certificados digitales, dispone del más completo catálogo de Productos y servicios para cubrir las necesidades de cualquier organización en este ámbito.
Ponencia de Javier Candau, jefe del Área de Ciberseguridad del Centro Criptológico Nacional (CCN), en la Jornada de Estrategia de Ciberseguridad Nacional, organizada por Ingenia, creadora de la herramienta IT GRC ePULPO (http://www.epulpo.com/).
Sevilla, 4 de junio de 2014.
TVEO - La plataforma tecnológica que da respuesta a las necesidades de transformación digital de diferentes sectores. Teleperitaje, Telesupervisión, Banca Digital, Manos Remotas, Seguros Digitales, On Boarding
Norma. ntc iso-iec 27001
NTC 27001
NTC ISO 27001
NTC ISO-IEC 27001
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013.
Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.
Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.
En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.
PCI DSS: Las leyes de Seguridad de VISA y Mastercard. Internet Global Congres...Internet Security Auditors
Presentación ofrecida en el Internet Global Congress 2006 (IGC) en la que se explican las normas de seguridad que utilizan VISA y Mastercard para PCI DSS.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Curso de Cumplimiento de la Norma PCI DSS 2.0. Chile Protiviti Peru
El curso PCI es un programa que proporciona una visión general de la Industria de Tarjetas
de Pago (PCI) y de las Normas de Seguridad de Datos de la Industria de Tarjetas de Pago
(PCI DSS).
Curso Concientización y Evaluación de las PCI DSS_Perú Septiembre 2014Protiviti Peru
El presente curso se enfoca en brindar una metodología teórica y práctica
para comprender la necesidad de implementar las PCI DSS, sus beneficios para el negocio
y el cumplimiento del "Reglamento de Tarjetas de Crédito y Debito" publicado por la
Superintendencia de Banca y Seguros bajo la Resolución SBS N° 6523-2013.
El sistema de control de accesos SISCON denominado CA01. El sistema utiliza pistolas láser lectoras de códigos de barra que se conectan a un celular o PC o celulares ya que la interfase se adapta al celular. Se accede a la nube desde un link con clave.
La administración electrónica es una realidad tanto en las AAPP como en el sector privado, apoyada por el margo legal y normativo que la hacen confiable y más próxima a los ciudadanos.
Para poder prestar servicios de administración y firma electrónica es preciso que las Instituciones se doten de nuevas aplicaciones, y productos que les permitan dar ese importante paso.
SIA, consciente de esta situación, pionera en España en la introducción de certificados digitales, dispone del más completo catálogo de Productos y servicios para cubrir las necesidades de cualquier organización en este ámbito.
Ponencia de Javier Candau, jefe del Área de Ciberseguridad del Centro Criptológico Nacional (CCN), en la Jornada de Estrategia de Ciberseguridad Nacional, organizada por Ingenia, creadora de la herramienta IT GRC ePULPO (http://www.epulpo.com/).
Sevilla, 4 de junio de 2014.
TVEO - La plataforma tecnológica que da respuesta a las necesidades de transformación digital de diferentes sectores. Teleperitaje, Telesupervisión, Banca Digital, Manos Remotas, Seguros Digitales, On Boarding
Norma. ntc iso-iec 27001
NTC 27001
NTC ISO 27001
NTC ISO-IEC 27001
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013.
Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.
Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.
En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho anexo, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.
El estándar de seguridad de la Industria de las tarjetas de pago, PCI DSS, fomenta y mejora la seguridad de los datos de los titulares de tarjetas y facilita la adopción de medidas de seguridad unificadas y consistentes a nivel mundial. Desde su inicio en 2006, esta y otras normas han sido desarrolladas por el PCI Security Standards Council, un foro mundial abierto, establecido en 2006 y compuesto de las cinco principales marcas de pago, que se encarga de la formulación, gestión, educación y divulgación de dichas normas.
Ponencia "Esquema Nacional de Seguridad, Gobierno TIC and compliance"
Pedro Pablo López Bernal
Gerente Seguridad, Privacidad y Continuidad Global R.S.I. (GrupoCaja Rural)
Dentro de las Jornadas de Difusión del Esquema Nacional de Seguridad Abril-Mayo 2011. XUNTA DE GALICIA-AGESTIC
El modelo de estándares abiertos e internacionales en TICsLibreCon
AENOR presenta en LibreCon todo el nuevo modelo de estándares abiertos e internacionales en materia de Tecnologías de la Información y la Comunicación haciendo especial mención a las nuevas normas de Ciudades Inteligentes. Información de gran utilidad para toda empresa que desarrolla software y espera que el resultado de sus proyectos puedan estar dentro de esta estrategia de normalización. Autor: Carlos Manuel Fernández Sánchez (AENOR). Librecon.io
Presentación de Pedro Sánchez de ATCA sobre su caso de éxito en la implantación de PCI DSS dentro de su SGSI certificado sobre la norma ISO/IEC 27001:2005. En ella se tratan pros y contras en su implantación así como las dudas que se plantearon en ATCA sobre la implantación de la norma.
Vitria Technology realiza una introducción al concepto de IO u Operational Intelligence, a sus beneficios con algunos ejemplos de utilización de IO para múltiples sectores, a su plataforma de IO para abordar multiples casuísticas y presenta un par de casos de uso de utilización de IO en ámbitos como la detección de fraude y la seguridad cibernética.
Presentación de Vanesa Gil Laredo, Responsable de Consultoría y Qualified Security Assessor de S21SEC para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
Conferencia Prevención de riesgos tecnológicos en el uso de Billeteras DigitalesFabián Descalzo
Esta conferencia está dirigida a Gerentes de Seguridad de la Información, Tecnología, Sistemas y Medios de Pago de los Proveedores de Servicios de Pago, FinTech y Banca Digital.
Los pagos digitales, billeteras electrónicas, pagos por celulares (M-payments) y sobre todo las monedas virtuales cambian para siempre el escenario de los delitos financieros.
Durante la investigación de mercado realizada, los colegas me han sugerido profundizar acerca de Técnicas y Estrategias de seguridad en transacciones electrónicas
Las fuentes abiertas y las habilidades del analista OSINT, juegan un papel clave en la detección, defensa y respuesta ante las nuevas amenazas como la desinformación, las fake news o ataques a infraestructuras críticas, en los que intervienen actores tan diversos como el crimen organizado, el hacktivismo, el ciberterrorismo o los propios Estados, con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
En la exposición, se mostrarán ejemplos prácticos del uso de diversas técnicas OSINT e inteligencia artificial para adquirir y procesar grandes volúmenes de datos (tanto texto como contenido multimedia), con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
La ISO cuenta con estándares que especifican los requerimientos necesarios para las organizaciones al implementar sistemas de gestión, entre los cuales se tiene el estándar ISO/IEC 27001:2013 (Implementación de un Sistema de Gestión de Seguridad de la Información) el cual brinda un apoyo para poder lograr un cumplimiento de seguridad de la información en las compañías. Para esto, se debe seguir un proceso específico para poder lograr establecer de forma adecuada el sistema de gestión. Así mismo, el estándar ISO 22301:2012 plantea la gestión de continuidad del negocio el cual ayuda a buscar una operación continua del negocio a las compañías y es un ítem que hace parte de un SGSI. Se observarán el proceso de implementación de estos dos estándares para poder lograr un nivel de cumplimiento en cuanto a las mejores prácticas de seguridad de la información.
Durante el proceso de implementación de un SGSI o de un SGCN en contact centers o en BPOs, se presentan retos específicos de las realidades cambiantes de este tipo de negocios. El dinamismo que presentan hace que la implementación de estos sistemas requiera de una especial atención en los diferentes proyectos a los cuales se enfrentan las organizaciones, exploraremos de forma breve algunos de estos retos.
La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio. La conferencia presenta una evolución de las técnicas de seguridad en el software, desde las clásicas (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. Se enumeran herramientas de análisis de código basadas en técnicas de Machine Learning, y se presenta una visión respecto la influencia que las nuevas tecnologías y la Inteligencia Artificial pueden tener en el sector de la seguridad.
En la presentación expuesta se puede apreciar los resultados de las auditorias efectuadas a los dispositivos Smart TV (LG 43uf6407, SAMSUNG UE32F5500AW, Panasonic TX-40CX680E) y la Barra de sonido OKI SB Media Player 1g. Durante el workshop se pudieron apreciar fugas de información en las cabeceras de respuesta, servicios expuestos y componentes desactualizados. En el caso de la Barra de sonido OKI y en todos los mediacenter InOut TV las carencias en seguridad son acentuadas, ya que disponen de servicios como XAMPP, con credenciales por defecto, esto sumado la falta de actualizaciones supone un potencial riesgo que ello conlleva. Durante la auditoría también se efectuó una captura del tráfico, llegando en algunos casos a enviar la lista total de canales sintonizados y el orden en que están ordenados en el Smart TV.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Dados los diversos cambios en las tecnologías y el creciente número de amenazas al sector de medios de pago, el PCI SSC emite, en ciclos definidos, actualizaciones a todo su ecosistema de normas. Asimismo, es muy importante conocer cuales son los requerimientos de validación y reporte del cumplimiento y tener en cuenta que los comercios o proveedores de servicios por sus procesos de pago, arquitectura, etc. deben considerar que controles de la norma PCI DSS les apliquen. Debido a esto, es necesario entender cuales son los diferentes cuestionarios de Autoevaluación (SAQ), que no es más que un subconjunto de controles de la norma aplicados a un escenario especifico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento, abarcando sus principales inconvenientes al llenarlo y los retos más importantes.
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
Las redes sociales permiten, entre otros muchos aspectos, incrementar nuestro nivel de exposición. Este hecho implica a su vez que el nivel de riesgo también se incrementa, poniendo en peligro nuestra privacidad, que puede ser abusada con intenciones muy diversas. La presentación expone los riesgos a los que se expone cualquier usuario cuando crea una identidad digital en una red social, pero desde un punto de vista nada habitual. Para ello, se presentan casos prácticos en los que se demuestra las capacidades de explotación de los datos que exponemos, tanto de forma consciente como inconscientemente.
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
Esta presentación se centra, por un lado, en los aspectos más sensibles o complejos del registro en el RNDB, mostrando tanto los errores habituales en el proceso de registro como los puntos donde este proceso puede ser ambigüo o conducir a error y, por tanto, generar una incorrecta declaración de las bases de datos en el Registro; por otro lado, se presentan errores habituales y recomendaciones, basadas en nuestra experiencia en el cumplimiento de Protección de Datos, más allá del registro de BBDD. Una empresa puede haber llevado a cabo esta declaración pero no cumplir con la Ley y, por lo tanto, verse sujeta a sanciones.
En esta presentación se analizan resoluciones de la SIC en casos de incumplimiento de la Ley 1581/2012 desde un punto de vista técnico y jurídico. El objetivo de esta presentación es entender en qué fallaron las empresas que pudieron ser sancionadas, tanto por los aspectos de cumplimiento que no se trataron adecuadamente, como los errores y aciertos comentidos en el proceso de investigación de la SIC que pudieron empeorar o mejorar el resultado. Aprender de los errores cometidos ayuda a no comenterlos de nuevo o mejorar en el proceso de cumplimiento en la Protección de Datos.
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
Estamos acostumbrados a utilizar diferentes redes sociales de manera habitual. Aprovechamos sus características, tanto a nivel particular como profesional. Sin embargo, no siempre somos conscientes de los detalles que una tercera persona u organización puede obtener sobre nosotros o nuestro entorno. ¿Hasta qué punto se puede hacer un uso abusivo de las redes sociales para conseguir información que no hemos hecho pública? Esta charla intentará encontrar respuestas a esta y otras cuestiones sobre los riesgos derivados en el uso de las redes sociales.
En la presentación se tratan aspectos relacionados con la necesidad de tomar decisiones en nuestro día a día. En ocasiones, determinadas decisiones tienen un gran impacto en la sociedad y quienes han de tomarlas se encuentran bajo una fuerte responsabilidad y presión. A continuación, describiendo el problema del exceso de información que disponemos actualmente así como el de la fiabilidad de las fuentes y, por último, comentando el proceso y las bondades del uso de técnicas OSINT en la ayuda para la toma de decisiones como objetivo final. A modo de ejemplo, y tras ver una clasificación de las herramientas OSINT disponibles, se muestra un análisis sobre los atentados de París utilizando la última versión de la herramienta Tinfoleak.
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Taller práctico sobre “Ingeniería inversa en aplicaciones Android", impartido por Vicente Aguilera, en el que se presenta una metodología para llevar a cabo procesos de ingeniería inversa en Android, incluyendo las herramientas y técnicas disponibles. Se lleva a la práctica sobre diversas aplicaciones para poner en práctica los conocimientos adquiridos.
Segunda edición del (ISC)2 Security Congress EMEA celebrado en Munich (Alemania). Vicente Aguilera presenta su ponencia: “Your are beging watched...” en la que se habla de los problemas de privacidad existentes en las redes sociales, y dónde presenta una nueva versión de su ya famosa herramienta Tinfoleak, realizando una demostración en directo sobre cómo extraer información y actividad relevante de los usuarios de Twitter y cómo explotar esta información en el mundo real. Esta ponencia forma parte del Track "Technology, Business and the Future".
Vicente Aguilera vuelve en la NcN 2015 impartiendo el taller: Técnicas OSINT para investigadores de seguridad. El taller pretende dar a conocer, de forma práctica, como utilizar fuentes de acceso público en Internet para recopilar información detallada sobre un objetivo. Además de las redes sociales de uso masivo, se mostrarán recursos online y herramientas útiles en la búsqueda de información como parte del proceso de investigación en distintos ámbitos. Dirigido a investigadores, pentesters, ingenieros sociales, personal de cuerpos y fuerzas de seguridad, analistas de mercado y estudios sociológicos, así como cualquier persona interesada en evaluar su reputación online.
En la primera edición Hack& Beers Barcelona, Vicente Aguilera impartió la presentación "Vulnerabilidades animadas de ayer y hoy", en la que realizó una rápida enumeración de los riesgos clásicos que sufren las aplicaciones web en los últimos años, y se centró en la vulnerabilidad CSRF (Cross-Site Request Forgery) mostrando casos de explotación producidos en aplicaciones de uso masivo (como Gmail, Facebook y Twitter) y detectados por miembros del equipo de auditoría de Internet Security Auditors. Por último, expuso el mecanismo de protección adoptado por Facebook en la actualidad para hacer frente esta amenaza, comentando deficiencias identificadas en dicho mecanismo.
7. 1
2
Valores de las Personas en la Sociedad
Revolución Tecnológica y Científica
3
4
Cambios en Mercados y Negocios
Nuevas Fronteras Geográficas y Legales
PLANTEAMIENTOSPLANTEAMIENTOS
Nuevo Paradigma GlobalNuevo Paradigma Global
7
Incremento de
CONTROL
Mitigación de
RIESGOS
Necesidad de
CONFIANZA
8. PLANTEAMIENTOSPLANTEAMIENTOS
Principios Básicos del Proceso de GestiónPrincipios Básicos del Proceso de Gestión
FIABILIDAD
INFORMACIÓN Y
DE SU TRATAMIENTO
PROTEGER (Activos con
Medidas Seguridad y
Controles)
OPTIMIZAR
(Analizar y Auditar
Riesgos, Controles,
Calidad Activos y Componentes)
SIMPLIFICAR (Modelar
Eficientemente Procesos)
8
9. PREOCUPACIONESPREOCUPACIONES
Fraude Interno / ExternoFraude Interno / Externo
• ASOCIADO A EMPLEADOS
• ASOCIADO A PERSONAL EXTERNO QUE
TRABAJA EN PROYECTOS
• ASOCIADO A PROCESOS
• ASOCIADO A FUNCIONES
• ASOCIADO A ATRIBUCIONES
• FRAUDE COMBINADO O EN CONNIVENCIA
• ASOCIADO A TECNOLOGÍA Y EQUIPOS
• ASOCIADO AL TIPO DE NEGOCIO
• FRAUDE TRADICIONAL EN GENERAL
(CONTABLE, VENTAS, COMERCIAL,
LOGISTICO, INFORMACIÓN, MATERIAL, etc.)
9
11. MEDIDAS A APLICARMEDIDAS A APLICAR
Medidas Globales alineadas con PCI/DSS y.....
Arquitecturas Modulares Basadas en Web Services
Sistemas de Autenticación y Validación AVF
Sistemas de Información por Doble Canal
Sistemas de AutoServicio por Desafio/Respuesta
Sistemas de Geolocalización de la Conexión y Tipo de Dispositivo
Sistemas de Patrones y Comportamiento del Cliente y de las Operaciones
Sistemas de Filtros de Tipos de Operaciones, Importes, Franjas Horarias
Sistemas de Bloqueo Online de Operaciones 24x7
Sistemas Automáticos de Comunicación y Alerta
Sistemas Expertos de Estudio de la Psicología Digital y Comportamiento
Estandarización de una Base de Medidas Tecnológicas Mínimas
11
12. MEDIDAS A APLICARMEDIDAS A APLICAR
Medidas Globales (Ámbito Estratégico)
LEGALES
DIVULGATIVAS
INFORMATIVAS
FORMATIVAS
ORGANIZATIVAS
OPERATIVAS
TÉCNICAS
CONTROL
SEGUIMIENTO Y ANÁLISIS
AUDITORÍA
12
13. MEDIDAS A APLICARMEDIDAS A APLICAR
13
Medidas Globales (Ámbito Tiempo)
Medidas PREVENTIVAS:
Concienciar al Usuario (La Seguridad Empieza por Uno Mismo)
Monitorizar Operaciones, Casos y “Modus Operandi”
Instalar Herramientas de Análisis.
Medidas DETECTIVAS:
Herramientas Detección Temprana y Aviso
Medidas de RESPUESTA (Servicios, Protocolos, CFS)
Medidas de INVESTIGACIÓN (Análisis de LOG’s, Modus Operandi,
etc.)
Medidas FORENSES (Trazabilidad de Evidencias y Hechos)
14. SGBG (Buen Gobierno)
SGSI (Seguridad Información)
SGAR (Análisis Riesgos)
SGCN (Continuidad de Negocio)
SGSTI (Servicios TI)
SGCVS (Ciclo de Vida de Software)
SGC (Calidad)
SGRH (Recursos Humanos)
Política LOPD (Privacidad)
Política PCI/DSS (Tarjetas)
Política LOG’s (Evidencias)
Política CERTIFICACIÓN (PKI’S)
Política CLASIFICACIÓN (Información)
......
gestionados
SISTEMA DE CALIDAD
Políticas Alto Nivel
Políticas por SG o
Normativa
Procedimientos
Instrucciones de Trabajo
Estándares
Modelos
Principales Sistemas de Gestión y PolíticasPrincipales Sistemas de Gestión y Políticas
MEDIDAS A APLICARMEDIDAS A APLICAR
14
17. La Certificación. Sello de Cumplimiento
ISO 14000
Medio Ambiente
ISO 26000
RSC
17
ISO 15504
Calidad de Software
ISO 9001
Calidad
ISO 18000
Comunicaciones
ISO 20000
ITIL
ISO 31000
Riesgos
BS/ISO 25999
PCN
ISO 27001, 2, 3, 4
SGSI
22. CONSIGA UN MÍNIMO IMPACTOCONSIGA UN MÍNIMO IMPACTO
OPERATIVOOPERATIVO
22
23. SE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIASE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIA
TECNOLÓGICO Y DETECNOLÓGICO Y DE
INFRAESTRUCTURASINFRAESTRUCTURAS
23
24. 24
E IMPACTEN LO MENOS POSIBLE EN ELE IMPACTEN LO MENOS POSIBLE EN EL ÁÁMBITOMBITO
HUMANO EN LAS PERSONAS QUE OPERANHUMANO EN LAS PERSONAS QUE OPERAN
PROCESOS Y RECIBEN SERVICIOSPROCESOS Y RECIBEN SERVICIOS
31. LA NORMATIVA DE PCI DSS SOLO APLICA SI
LOS PAN (Primary Account Number):
1. SE ALMACENAN
2. SE PROCESAN
3. SE TRANSMITEN
31
32. Ficha del ProyectoFicha del Proyecto
32
Fase I: Análisis Preliminar
Fase II: Valoración de Riesgos
Fase III: Programa de Cumplimiento
Fase IV: ImplementaciFase IV: Implementacióón Plan den Plan de
AcciAccióónn
Fase 0: Escaneos ASV
Fase V: Auditoría
Fase VI: Certificación y Oficina Soporte
PCI a ENTIDADES
Métricas (KPI)
36. Fechas
Payment Card Industry (PCI) Data Security Standard
36
• 1 de Octubre de 2010: Las Entidades Financieras deben asegurarse de que todos los
Agentes y proveedores de servicios con los que trabajen están certificados en PCI DSS
• 31 de diciembre de 2010: Fecha límite para las Entidades Adquirentes para comunicar
su plan para cumplir con PCI DSS
Es importante tener en cuenta que:
a finales de Octubre de 2010 el PCI SSC ha publicado la versión
2.0 de PCI DSS,
que entra en vigor en Enero de 2011.
37. Plan de Trabajo PCI DSS: Entidades
37
Cada Entidad debe desarrollar las siguientes tareas:
1. Identificación del alcance: Reuniones con las áreas involucradas y ubicación
de operativas en donde se almacene, procese y/o transmita el PAN
2. Creación de inventario (CHDM) y flujos de comunicación (diagramas): que
permitirán comprender e identificar los activos involucrados en el alcance, sus
interfases, entradas y salidas de información con PAN.
3. Diferenciales de documentación: comparativa entre los soportes
documentales (políticas, estándares, guías, procedimientos, etc.) con lo
requerido por el estándar PCI DSS
4. Inicio de las actividades de implementación conforme con Prioritized
Approach for DSS 1.2 (Documento Council agilizar Proceso)
38. Plan de Trabajo PCI DSS: Entidades
38
Prioritizad Approach for DSS 1.2:
• Fase 1: Eliminar la información relativa a la autenticación y limitar la retención
de información
• Fase 2: Proteger el entorno (perímetro) así como las intranets y las redes
wireless
• Fase 3: Aplicaciones Seguras
• Fase 4: Monitorización y control de acceso a las aplicaciones
• Fase 5: Proteger la información del titular almacenada (número de tarjeta)
• Fase 6: Todos los demás requisitos
De todo ello, se deben establecer fechas y asignar actividades. Redactarlo como un plan de
trabajo y presentarlo a SERMEPA en nombre de cada Entidad.
39. Plan de Trabajo PCI DSS: Entidades-Comercios
39
Es responsabilidad de cada Entidad validar que sus comercios (Merchants) cumplan con
los requisitos exigidos por la normativa conforme con la cantidad de transacciones anuales
realizadas.
Siendo así, se deben desarrollar las siguientes actividades (por cada Entidad):
• Notificación a los comercios de la presentación de reportes (SAQ)
• Definición de fechas límite a cada comercio para la presentación de reportes
• Recepción y validación de SAQ por parte de cada Entidad (mantener un
inventario de SAQs recibidos y pendientes)
De igual manera, la Entidad debe establecer un canal de comunicación con su comercio
para la resolución de dudas, soporte y escalamiento en caso de problemas.
42. Proyecto TOKENIZACIÓN. “MECANISMO”
Protección del PAN mediante token:
42
EntidadesPAN Table
ID PAN PAN (t)
1 4607751234565432 4607758104705432 Clientes
In PCI DSS
scope
46077581047054321
PAN (t)ID
Query
Copias de seguridad
Procesos Internos
Ficheros
Out of PCI
DSS scope
43. Proyecto TOKENIZACIÓN. “VENTAJAS”
43
Mediante el uso de la TOKENIZACIÓN se obtienen las siguientes ventajas:
• Los datos tokenizados (obtenidos como salida de la “token database”) no son
interpretados como PAN ni su PAN relacionado puede ser inferido(*), por lo tanto
no son afectados por el cumplimiento de PCI DSS, minimizando el alcance de
cumplimiento y el riesgo de almacenamiento tanto a nivel interno como en
Entidades y clientes finales, proporcionando un nivel de seguridad mayor en la
transmisión y procesamiento.
• El token puede tener la misma longitud o ser parte de un PAN, con lo cual no se
afecta la estructura de datos en el almacenamiento (base de datos)
• Todo ello supone gran ahorro de costes tanto de implantación como de
mantenimiento y proceso posterior, al minimizar tanto el SCOPE (Alcance) como
el consumo de ciclos de CPU en cifrado y descifrado de datos continuo en el
tiempo.
44. Proyecto TOKENIZACIÓN. “RETOS”
44
Con el empleo de la TOKENIZACIÓN, nos enfrentamos a los siguientes retos:
• Un token no puede ser usado como un instrumento financiero y en términos de
trazabilidad y conciliación no se tiene otro valor más que la referencia a la
transacción original
• La relación entre un token y un PAN es única para el proveedor de servicios
(Service Provider)
• Si alguien compromete la base de datos de tokens (token database) de forma
que pueda hacer trazabilidad de transacciones, el sistema completo pierde
validez.
• Un token no puede revelar información ni permitir inferir el PAN al que hace
referencia
45. Proyecto TOKENIZACIÓN. “SCOPE”
45
Los controles de PCI DSS deben ser aplicados de forma obligatoria a todos los
activos que procesen, almacenen y transmitan datos de tarjetas de pago, así
como también a aquellos dispositivos que de forma directa o indirecta ofrecen
servicios a dichos activos. Esto se denomina CardHolder Data Environment
(CDE).
Debido a los costes asociados en tiempo, recursos, herramientas y mantenimiento
de los controles de PCI DSS, cuanto mayor sea el CDE mayores serán los costes
de implementación y mantenimiento de PCI DSS en la organización.
Por el contrario: si el CDE es limitado, dichos costes se minimizan, de igual forma
que el riesgo asociado al PAN.
46. Proyecto TOKENIZACIÓN. “Gráfico SCOPE”
Firewall
543142536176
ENTIDAD
Identificación de procesos que requieren el uso de PAN
en texto claro (fraude, incidencias, etc.). Serán tratados
como excepciones.
Firewall
In PCI DSS
scope
PROVEEDOR SERVICIOS Informáticos
Almacenamiento de PAN cifrado en Bases de
Datos (BD2 – Oracle)
ID PAN (Cifrado) Token
1 ADE3452f$637Af$ 123456789012
2 Afteuy&3726SGFE 543142536176
3 ER5$·7ashuGRETA 534671098365
4 TRT%)?98jGtyags 435244162763778
… … …
Out of PCI
DSS scope
ENTIDAD
Operativa con PAN tokenizado
Subrutinas de Tokenización / Destokenización
46
47. Proyecto TOKENIZACIÓN. “Estado Post-Tokenización”
47
Con la implementación de una solución de Tokenización, el alcance se reduce:
• Únicamente en operativas identificadas, justificadas y securizadas se
procesa/almacena/transmite el PAN en texto claro.
• Se eliminan los repositorios de datos de PAN locales de cada Entidad
• Se aislan los activos relacionados con datos de tarjetas de pago
En promedio, el alcance de cumplimiento (activos afectados) se reduce
en un 60-75%.
Riesgo: BAJO (Posterior a la implementación de controles)
Tiempo estimado de implementación: Menor conforme complejidad Entidad
Costes asociados implementación y mantenimiento: BAJO
48. Proyecto TOKENIZACIÓN. “Consideraciones Adicionales”
48
Se deberán tener en cuenta:
• Cifrado: el campo PAN (donde reside el PAN en texto claro en la base de datos) debe ser
cifrado.
• Rutinas de recuperación: se deberán identificar procesos, servicios y aplicaciones que
requieren el uso del PAN en texto claro (por ejemplo: fraude) y establecer rutinas
(webservices, vistas, etc.) que permitan extraer el PAN en texto claro con un token definido.
•
• Estas rutinas deberán ser securizadas (controles de acceso, auditoría, codificación,
integridad, etc.)
En caso de utilizar una herramienta de mercado para Tokenización, es posible que algunos
temas como webservices, generación de tokens, etc. estén ya resueltos
49. Proyecto TOKENIZACIÓN. “Implantación en RSI”
49
RSI (Rural Servicios Informáticos), siguiendo con la línea de proveer confianza a
Entidades y clientes en transacciones con datos de tarjetas de pago, está empezando a
definir una serie de actividades para el uso de tokenización, con el fin de minimizar el
ámbito de cumplimiento de PCI DSS y reducir el riesgo de compromiso de datos durante la
transmisión y procesamiento.
Para ello, se han definido una serie de fases de implementación que conllevan ciertos
cambios en la estructura y procesamiento de información de tarjetas de pago.
Datos
en uso
Altas
Nuevas
HistóricosDefinición
50. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
50
En proceso implementación: una solución de Tokenización. Se están analizando dos
opciones:
• Adquisición de una solución comercial que provea cifrado y tokenización, así
como las interfaces necesarias y conectores para procesos de tokenización/des-
tokenización
• Desarrollo (MMPP) para proceder con cambios en la base de datos central que
contemple cifrado del PAN y rutinas de tokenización/des-tokenización
Ambas soluciones deben cumplir de forma íntegra con los preceptos fijados por el PCI
SSC respecto: tokenización (generación, asignación, transmisión y almacenamiento)
51. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
La idea detrás del proyecto es la siguiente:
Entendiendo que un PAN tokenizado no es un dato afectado por PCI DSS, los controles
dejan de ser obligatorios a ser recomendados. Así mismo – y a pesar de ya no ser
obligatorio – se pretende continuar con las rutinas de enmascaramiento.
51
52. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
52
Dentro del proceso de implementación progresiva, se empezará con las “altas nuevas”. A
partir de una fecha corte, TODAS las nuevas tarjetas en el momento de su generación
tendrán asociado un token que se almacenará conjuntamente con el resto de información
en la base de datos.
Este proceso aplicará tanto a altas nuevas online y masivas (batch).
En el momento en que se inicie este proceso, todas las aplicaciones, programas batch,
procesos y subprocesos deberán estar en la capacidad de recibir y procesar tokens y PAN
de forma indistinta hasta que se finalice la migración.
53. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
53
En cuanto a “datos en uso” (es decir: el parque de tarjetas de pago que se encuentra
actualmente válido previo al proceso de “altas nuevas”), se procederá con una migración
progresiva y paralela, generando token a cada PAN almacenado.
54. Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos
en uso
Altas
Nuevas
HistóricosDefinición
54
Para “históricos”, se procederá de dos formas:
• Se definirá y revisará una “política de retención” para establecer umbrales máximos de
almacenamiento histórico de datos de tarjetas conforme con las necesidades legales y de
negocio. Cualquier dato fuera de este umbral de retención será eliminado de forma segura.
• Se procederá con la generación de tokens asociados a PAN en históricos (en bases de
datos y copias de respaldo) hasta donde sea posible. Esto para permitir la interacción de
herramientas de consulta y estadísticas (data warehousing) en procesos en los cuales se
requiere el PAN.
55. Proyecto OFICINA PCI. “Principales Actividades”
55
La Oficina Técnica de PCI DSS de RSI (Rural Servicios Informáticos) es un servicio que
RSI pone a disposición de Entidades, cuyo funcionamiento es similar a la Oficina de LOPD.
Algunas de las funciones que la Oficina de PCI DSS ofrecerá a sus asociados son:
• Ayuda (técnica y documental) en el proceso de implantación
• Consultoría y diagnóstico de cumplimiento previo y por fases
• Desarrollo de formularios para obtención de información interna
• Soporte en la redacción de cláusulas relacionadas con PCI DSS
• Revisiones y auditorías periódicas
• Acceso a plantillas de documentación, formularios, diagramas, etc.
• Soporte en la evaluación de alternativas técnicas de implementación.
Entre otros.
56. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES
FASE I: Definición del Entorno PCI DSS
56
57. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES
FASE II: Análisis de estado de cumplimiento
FASE III: Priorización de Acciones Correctivas
57
58. DEFINICIÓN PLAN DE ACCIÓN ENTIDADES
FASE IV: Elaboración del Plan de Acción
58
60. CONCLUSIONESCONCLUSIONES Acciones a Tomar
Ante el Fraude Globalizado y Organizado solo cabe una Respuesta:
Globalizar y Coordinar Acciones entre todos:Council, QSA, ISP, Entidades, Comercios
Autoregular Mejores Prácticas en Materia de Seguridad y Respuesta y PCI/DSS es una
MUY BUENA solución para armonizar Medidas de Seguridad en TARJETAS, junto con
ISO27001 y LOPD, entre otras normativas y Legislaciones.
Informar, Formar y Concienciarnos de que la Seguridad es parte de nuestra Vida y de los
Procesos. Todo el Personal involucrado desde ámbito Técnico hasta en el propio Comercio
debe estar alineado con el Cumplimiento. La CULTURA es mejor que la mayoría de las
Medidas.
Compartir Información y Definir Flujos y Circuitos de la misma entre Grupos de Trabajo y
Mejores Prácticas en Entidades, ISP’s, Comercios y Usuarios Finales
Medir el Progreso de las Acciones y Generar Indicadores y Estándares de Cumplimiento y
del seguimiento y evolución del Fraude
Evitar la Impunidad de Quienes cometen Fraude coordinando con CFSE y Autonómicos.
Elegir las Soluciones más Sencillas y menos Costosas como TOKENIZACIÓN que aportan
beneficios en el Cumplimiento y en la Adopción del mismo en las Entidades, ISP’s y
Comercios.
60
65. CONCLUSIONESCONCLUSIONES
SSííndromendrome de Cassandra:de Cassandra: tu predices el futuro y la
evolución de los ataques de Fraude, tu inviertes más para
prevenirlos, por lo que tienes menos fraude que otros,
pero eso dificulta justificar tu presupuesto
65
69. CONCLUSIONESCONCLUSIONES
Acciones a Tomar
69
INVERTIR en SEGURIDAD
Obtener el BENEFICIO de
poder CONFIAR en las AUTOPISTAS de la
INFORMACIÓN y en las REDES para
el DESARROLLO y SOSTENIBILIDAD de
la SOCIEDAD de la INFORMACIÓN DIGITAL Y
EL CONOCIMIENTO...
71. INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza.
Disponer del PLAN.
1. Superar los posibles Impactos Sistémicos o no, sobre: las Infraestructuras, Servicios y
Personas Críticas del Sector Público y Privado.
2. Estabilidad y Confianza de Mercados
3. Alineamiento de Buenas Prácticas
4. Estabilidad Social ante Eventos de Gran Magnitud (Paz Social)
5. Capacidad de Respuesta y Remediación
6. Vuelta a la normalidad en menor Tiempo.
7. Sostenibilidad Global
8. Protección ante Responsabilidades
9. Minimizar Costes
10. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios
11. Superar Crisis
12. Trabajar bajo una Metodología y Política Definida y Viva. Mejora (PDCA)
13. Crear Cultura de Continuidad y Resiliencia.
14. Aumento de la Confianza de los Clientes y Ciudadanos.
15. Mayor Progreso
En definitiva, estar preparados para los retos que la nueva Sociedad Digital nos va deparando y
demandando ante los Riesgos existentes y futuros.
71
72. TENDENCIAS Y EVOLUCIÓN
Objetivo Final. SEGURIDAD INTEGRAL
“LA SEGURIDAD, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS
DISCIPLINAS HORIZONTALES DE LA COMPAÑÍA, ES COSA DE
TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE
MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO
DE LOS PROCESOS DEL NEGOCIO”
Pedro P. López
72
74. MODELO DE SEGURIDAD (MIGS)
Marco de Referencia y Metodología a Seguir.
–
Objetivos de SeguridadObjetivos de SeguridadObjetivos de Seguridad
Políticas / Estrategias
Normativas
Procedimientos
Normativas
Procedimientos
Para lograr
los
objetivos
Control Interno
Negocio Legales Otros
Auditoria
•TECNICOS
•NO TECNICOS
Nivel de Riesgo Nivel de Seguridad
Continuidad del negocio
Aplicando
ESTANDARES, para
obtener:
• Calidad
• Fiabilidad
Del Método y de
la Información
Consideraciones /
Requisitos
Marco
Operativo
Funciones de
Control
74