Ejemplar
#7
-7a Edición-
Martes 04 Septiembre de 2018 Ciudad de México
PÁGINA
02
Capacitación
Consulta nuestra oferta academica de este mes y que no se te pasen nuestros cursos.
PÁGINA
03
Sponsor
PÁGINA
04
Boletín Mensual
Comités
El concepto de “protección” en los servicios de seguridad. Escrito por: Juan Antonio Arámbula M.
Boletín Mensual
LOS congreso@asis.org.mx PROFESIONALES DE LA SEGURIDAD DEL PAÍS, UNIDOS POR EL BIEN DE MÉXICO. 55 5251 0889
¡ A S I S t e !
A nuestra próxima Reunión Mensual el martes 02 de Octubre
Te e s p e r a m o s e n l a H a c i e n d a D ’ Los Morales, invita nuestro patrocinador PROSEG.
¡No Faltes!
Confirma tu ASIStencia a info@asis.org.mx
¡ C E R T I F Í C AT E CON NOSOTROS!
Boletín Mensual
02
CAPACITACIÓN - SEPTIEMBRE
Inicio
Término
Horario
Mapeo de Procesos Simétricos de Prevención de Pérdidas
05 de septiembre
05 de septiembre
08:00 a 17:00 horas
Manejo de Crisis Corporativas. Dominando las Habilidades para Prevenir Desastres
06 de septiembre
06 de septiembre
08:00 a 17:00 horas
Programa de preparación para poder presentar el Examen de Certificación como PSP
11 de septiembre
29 de noviembre
16:00 a 21:00 horas
Primero Auxilios con Certificación NSC (Nationa Safety Council)
12 de septiembre
12 de septiembre
08:00 a 17:00 horas
Security Risk Management
13 de septiembre
13 de septiembre
09:00 a 15:00 horas
Ing. Eduardo Jiménez Granados
Planes de Continuidad del Negocios BCP (Bussiness Continuity Plan)
18 de septiembre
19 de septiembre
09:00 a 15:00 horas
Ing. Alberto Friedmann e Ing. Gerardo Galicia
El panorama de la Seguridad Informática en México
20 de septiembre
20 de septiembre
09:00 a 15:00 horas
Instructor (es)
Nombre del curso
Eduardo Téllez, CPP Lic. Carlos Seoane, CPP Varios Instructores Ing. Luis Enrique Pozos González Dr. Ricardo Salas
PROGRAMA DISPONIBLE TAMBIÉN EN LÍNEA
CÓMITES
DEF CON 26 Escrito por MSTI. Eduardo Zepeda Estrada La ciudad que nunca duerme, Las Vegas Nevada, fue sede de la edición número 26 del evento DEF CON (acrónimo de Condición de Defensa) del 8 al 12 de Agosto, todos los ciudadanos de la ciudad, saben que menos se duerme en esta semana del año, ya que cada vez llegan más hackers de todo el mundo y hay que estar pendientes de sus actividades. En la DEF CON hubo: conferencias, talleres (cursos), concursos, retos y mucho Hackeo, entre otras cosas. El tema principal es proteger la información a cualquier nivel y no se trata sólo de computadoras, se trata de seguridad de todo tipo. En este año aumentaron las salas de look picking (donde los participantes aprenden a abrir cerraduras con ganzúas digitales las cuales se pueden comprar desde $10 dólares), es decir cualquier candado físico o lógico es un reto para divertirse u obtener ganancia. Cabe mencionar los diversos desafíos de cerraduras y concursos que incluso emulan desactivar una bomba nuclear. Al final, como todo reto, los hackers novatos o con experiencia quieren vulnerar. En el área de Ingeniería Social aumentó la capacidad de participantes, en esta sala se encuentra un pequeño cuarto sin ruido, desde el que se hacen llamadas telefónicas, cuenta con ambiente según de donde se llame (call center, policía, hospital, etc.) y el ganador es aquel que logra obtener información confidencial como número de seguridad social, tarjeta de crédito o passwords, es increíble la información que logran obtener estos expertos ingenieros sociales, lo que me hace pensar que puede ser más sencillo hackear una persona que una computadora. Me encontré con el área Hack for kids, un lugar especial dónde solo entraban menores de 12 años,
/ Có m i te d e Fu e r z a s d e l O rd e n E I TS
fue todo un suceso, ya que pequeños aprendían a hackear y desde ahí emularon una intromisión al portal de votaciones electorales en Miami, USA, donde a un pequeño de 11 años le tomó solo 10 minutos. Aunque al término del ejercicio, lo pudieron hacer los 39 niños que participaron en el reto. Hubo varias Villas como el: BioHacking, IoT, Crypto & Privace, Wireless, Hardware Hacking, Lockpicking,Rootz Asylum (menores de 12 años), Drone Warz y muchas más, en las que se puede pensar en hackear cualquier cosa. Así como existieron las villas y talleres, hubo más de 100 conferencias, las cuáles se traslapaban y logré entrar a las siguientes: • ThinSIM-based Attacks on Mobile Money Systems; Mostrando como se puede hackear sistemas monetarios desde la aplicación de un teléfono celular, explotando las vulnerabilidades de los carriers. • Wagging The Tail—Covert Passive Surveillance And How To Make Their Life Difficult; Indicando como las Agencias internacionales hacen vigilancias, seguimientos y operaciones para realizar detenciones a diversas bandas criminales. • Securing our Nation's Election Infrastructure; Esta conferencia la impartió Jeanette Manfra, la cual trabaja para el departamento de Seguridad Nacional (Homeland Security), en el área de Ciberseguridad y comunicaciones, lo cual habla de la importancia del evento por integrar personalidades del Gobierno con los chicos hackers del underground. • NSA Talks Cybersecurity; Tratando de las actividades que ha realizado la NSA, en relación a ciberseguridad a nivel global, los ataques que reciben, que detectan y los ciberejercitos de China, Korea, Rusia, Iran, Etc, lo que nos deja pensando: ¿Y
nuestro México?, ¿cuándo tendrá su CiberEjercito que analice, repela, combata y defienda la información de los mexicanos de los ataques de sus similares internacionales u otros atacantes? • Your Voice is My Passport; Fue una gran demostración de cómo se vulneran los sistemas financieros que tienen reconocimiento de voz como método de autenticación. • Hacking PLCs and Causing Havoc on Critical Infrastructures; Esta conferencia fue de miedo ya que la mayoría de PLC’s (Controles Lógicos Programables), no tienen un mecanismo de defensa o protección que eviten ser hackeado y más si estos PLC’s están diseñados para funcionar en infraestructuras criticas como presas, hidroeléctricas, plantas nucleares, entre otros más. • In Soviet Russia Smartcard Hacks You; Trata de como realmente una Smartcard (Tarjeta inteligente), puede no sólo proteger tu computadora con tu identidad, sino que puede ser modificada para vulnerarla, ingresando un ataque de última generación, un virus o simplemente convertir tu computadora como pisapapeles. • Outsmarting the Smart City; Plantea la gran cantidad de dispositivos que pueden ser hackeados en una ciudad inteligente, los cuales pueden ser “luces en edificios, semáforos, pagos automáticos de servicios, tarjetas de acceso a servicios como metro y otros más”. • Hacking BLE Bicycle Locks for Fun and a Small Profit; En esta conferencia mostraron un Hackeo avanzado a las tarjetas y aplicaciones de diversos servicios que existen en la ciudad, como fueron las bicicletas de renta, una práctica muy común cuando logran explotar la tecnología NFC.
Lamentablemente es imposible ingresar a todas las villas o talleres, mucho menos a todas las conferencias, por las demás actividades no se puede recorrer todo el evento. Súmele que se realiza en dos casinos sedes, el Caesar’s Palace y el Flamingo, se vuelve muy complicado, pero díganme cómo se puede albergar más de 20,000 personas dispuestas a vulnerar o ser vulnerados, entre los cuáles había muchos mexicanos. Sólo en un grupo de WhatsApp éramos más de 150 participantes los que nos encontramos por allá. En fin cada que exista un sistema, cerradura, páginas, dispositivos electrónicos, computadoras o celulares, habrá quienes quieran ingresar para demostrar su vulnerabilidad y obtener poder, fama o dinero…HACKERS les llaman. Como recomendación personal al Gobierno, me gustaría ver que en zonas estratégicas, instalaciones de Seguridad Nacional, esté prohibido el uso de Drones, ya que en las demostraciones el robo de información con redes inalámbricas es una práctica que lamentablemente va a la alza. Así como la creación de una Institución Nacional que prevenga, contenga e investigue los ataques hacktivistas internacionales realizados por los ejércitos de hackers de países como: China, Corea, Rusia; Japón, U.S.A., entre otros, el que podría estar conformado por personal de diversas instituciones nacionales y su función deberá ser sólo la protección del exterior, ya que las policías cibernéticas existentes deben atender los ilícitos cibernéticos que ocurren a los ciudadanos mexicanos y los ataques al interior.
Boletín Mensual
03
SPONSOR
D E V E R Y WA R E
Committed to Better Security Desde su creación en el año 2003, Deveryware acompaña diariamente a los profesionales de la seguridad en sus tareas de protección de bienes personas. El grupo, experto en geolocalización en tiempo real, se dedica al diseño, desarrollo y comercialización de herramientas innovadoras que ofrezcan respuesta a las cambiantes necesidades del mercado. Desde hace más de 10 años, Deveryware proporciona respuestas eficaces a sus miles de usuarios con el objetivo de contribuir a la seguridad nacional, poniendo a disposición de las fuerzas de seguridad y del orden herramientas de
geolocalización indispensables para la obtención de información, la detección de las amenazas y el esclarecimiento de los delitos. En el año 2016, gracias a Notico, Deveryware crea una herramienta dirigida a las empresas y organismos públicos interesados en formar parte de la evolución “Safe & Smart city”, cuyo objetivo no es solo la prevención y el bienestar de los ciudadanos, sino además la optimización de los costes y los recursos en la organización. Orientada con decisión hacia el futuro, Deveryware se esfuerza día a día por suministrar las últimas innovaciones
tecnológicas, proporcionar herramientas cada vez más perfeccionadas, y ofrecer de esa manera unos servicios que aporten un verdadero valor añadido al mercado de la seguridad. Un proyecto ambicioso y apasionante que el conjunto de los equipos del grupo Deveryware sitúan cada día en el centro de sus preocupaciones.
Deveryware: ¡Comprometidos con una vida más segura! Teléfono: +33 1 80 90 54 80 de lunes a viernes / 9h-18h https://www.deveryware.com
CÓMITES
LA CONFIABILIDAD DEL PERSONAL EN LAS ORGANIZACIONES, MEDIANTE EL ANÁLISIS DEL COMPORTAMIENTO. E s c r i to p o r M a u r i c i o Ce r v a n te s / Có m i te d e Fu e r z a s d e l O rd e n
Cada empresa, organización o grupo determinado de individuos que se reúnen con algún fin o función particular, requiere de que todos sus procesos o acciones se ejecuten totalmente en armonía y con gradualidad para el logro específico de los objetivos; sin embargo, algunas variables que suelen preocupar a los tomadores de decisiones son los temas referentes a la “confianza, credibilidad y honestidad” en las personas que integran los equipos de trabajo, mismos que son engranes para el desarrollo y cumplimiento de las tareas de tales organizaciones, es por eso que se deben tener implementadas estrategias de “evaluación y control de confianza” permanente, las cuales tendrán como meta detectar “factores de riesgo” y
“factores de alto riesgo”, entendidos éstos como “todas aquellas conductas, situaciones, eventos, elementos o acciones” que vulneren la integridad del sujeto, de un tercero, de un grupo, de la sociedad o del Estado, mismas que se deberán prever, detectar, inhibir o neutralizar en función al grado de impacto en la organización o empresa, lo anterior se logra con el establecimiento de un equipo integral y multidisciplinar de trabajo destinado para tal propósito, toda vez que debe ser tomado en cuenta lo siguiente: toda conducta o comportamiento, es el resultado de una introyección de valores, normas, estilos de vida o hábitos, mismos que están influenciados por el ecosistema de su contexto vital, los cuales son proyectados
en la sociedad o, muy particularmente para nuestro caso, en el ámbito laboral, en función a sus características de personalidad, por tal motivo, aquella conducta o manifestación comportamental que pueda vulnerar la integridad tanto de terceros como de la institución, siempre dejará “residuos” o indicios que alertaran a los tomadores de decisiones, pues “toda acción que presente un factor vulnerante, se canalizará invariablemente en algún aspecto de su desarrollo o desenvolvimiento social, escolar, laboral, etc.”, por ello es necesario que para tal fin, se deban generar diversos insumos de control de confiabilidad, mismos que serán producidos por el equip establecido para tal consigna, de
manera periódica y tomando en cuenta el perfil de cada cargo, considerando si el elemento a evaluar es de nuevo ingreso, permanencia, promoción o incluso reingreso, así como los años de servicio que ha prestado y el grado de sensibilidad en las tareas que le son asignadas, con todo lo anterior, se puede observar la importancia de no establecer como contundente el resultado de una sola “prueba” o insumo evaluativo, pues se corre el riesgo de que la decisión contenga “sesgos metodológicos”, es así que, al tener un panorama general de la importancia de implementar dichos mecanismos de control y confiabilidad, se tendrá la certeza de llegar al logro de los objetivos.
Nuevos socios Omar Gallardo C a r l o s To r r e s Julio César Hernández Aldo Adrián Villagrana Karen Herrera Rogelio Abraham Villareal Otoniel Herrera
04
Boletín Mensual
EL CONCEPTO DE “PROTECCIÓN” EN LOS SERVICIOS DE SEGURIDAD vez vuelvan confusa la posibilidad lícita de defensa ante la aparición de la contingencia. Podemos sin embargo auxiliarnos en la ciencia jurídica y aplicar criterios básicos para justificar y orientar la reacción, a saber:
Probablemente debido a la profunda transformación estructural reciente en materia de seguridad y justicia, con frecuencia he sido consultado por proveedores de servicios de seguridad así como por usuarios de los mismos respecto de lo que es una debida actuación en materia de protección, entendiéndola como la acción de amparar o resguardar el estado normal en un ámbito determinado y en donde se encuentra implícita la noción de la defensa o actividad destinada directamente al alejamiento del peligro e impedimento de que se cause un daño. Mientras que en la prevención y disuasión se habla de anular la aparición del riesgo, en la protección podemos considerar su actualización y por consecuencia, la necesidad de enfrentarlo, actuando para que ese riesgo no cause o al menos se minimice el daño. Para aclarar más este punto, recordemos que el riesgo es una posibilidad, mientras que el daño es ya un menoscabo o pérdida. Siempre será preferible anular el
riesgo que evitar el daño. Ahora bien, si en condiciones de riesgo es posible lograr que no se cause una pérdida, estaremos hablando de protección. En esta última la violencia ya no subyace, sino emerge en forma física o moral y debe actuarse hasta donde sea posible legal y humanamente, para impedir sus consecuencias. La protección, como reacción, implica capacidad de respuesta y ésta se obtiene de los medios electromecánicos, barreras físicas, acciones correctivas y coercitivas, imposición del estado de fuerza y utilización de armamento o métodos de inmovilización. En la seguridad privada debemos tener siempre presente la frontera de la licitud, los criterios de la proporcionalidad y justificación en la defensa (racionalidad) y de forma amplia, todo criterio que evite una complicación legal posterior. En el mundo real encontraremos un universo de circunstancias que tal
PRIMERO: Cualquier persona puede actuar en defensa de la vida y los bienes propios o ajenos, siempre y cuando dicha defensa sea justificada y proporcionada, frente a una agresión real, grave e inminente. SEGUNDO: Es lícito causar un daño a un bien si es la única manera de impedir el daño a un bien de igual o mayor jerarquía. El mayor de los bienes es la vida humana y en principio, la vida propia. TERCERO: En caso de flagrancia (conducta delictiva actual y evidente) cualquier persona puede detener al infractor, poniéndole de inmediato a disposición de la autoridad. Podríamos referir con mayor amplitud los términos legales, tales como el cumplimiento de un deber o ejercicio de un derecho, la obediencia jerárquica, la no exigibilidad de otra conducta, el estado de necesidad, el error esencial e insuperable (invencible) y la inimputabilidad como causas de exclusión del delito. Sin embargo, recordemos que la ignorancia de la ley no disculpa su incumplimiento y obliga a los encargados de dispensar seguridad a ser sumamente estrictos en su observancia, requiriendo atención especial por parte de quienes tienen a su cargo tareas de custodia. Sin embargo, como no es éste un estudio jurídico, bastará comprender que nuestro sistema legal permite la defensa de la vida propia, de las vidas de los demás y de los bienes propios y ajenos, en ese orden. Lo único que debemos
cuidar es la posibilidad de infringir la Ley o de causar un mal mayor, provocando mayor violencia y un resultado catastrófico inmediato o posterior. A fin de no dejar dudas al respecto citaremos un par de ejemplos que tal vez por exagerados no requieran mayor explicación: - Un adolescente intenta robar mercancía en una bodega armado con un "tirador" o "resortera" y el guardia responde accionando una escopeta, evitando el robo y privando de la vida al delincuente. - Un grupo de delincuentes en comando y dotados de armas de fuego, intentan asaltar la caja general de una empresa y el vigilante intenta frustrar el atraco provocando una balacera que causa su propia muerte, la de dos de los delincuentes y cuatro empleados de la institución. Los hampones huyen y en represalia por la muerte de sus compañeros inician una serie de amenazas contra los directivos de la empresa. En el primer caso, no hubo racionalidad, no medió proporción entre la agresión y la defensa; en el segundo, al cumplir el deber de evitar un daño inminente, se causó un mal mayor, jurídica y virtualmente. Como la casuística es muy rica, por el momento deseamos dejar clara la importancia de una preparación jurídica adecuada y de todos los conceptos tratados en este artículo. No dude, en cualquier caso acuda con el especialista.
E s c r i to p o r : J u a n A n to n i o A r á m b u l a M . / Co m i t é d e Servicios de Seguridad