>Roban la clave de Home Banking y sacan 700 mil pesos (actualizado)

febrero 28, 2011 § 4 comentarios

>Cuatro personas fueron detenidas por vaciarle la cuenta bancaria vía home banking a un empresario rosarino que denunció el robo de más de 500 700 mil pesos. La Justicia investiga cómo se distribuyó el dinero y la forma en que llegó a distintas cuentas de diversas entidades bancarias. Es la primera vez que en Rosario se utiliza este método para concretar una estafa.

Los investigadores determinaron que la cuenta fue vaciada en un lapso de dos semanas, durante las cuales los ladrones cibernéticos realizaron cinco operaciones, de a una por día. La empresa damnificada es “J. y R. Capello”, que se dedica a la refrigeración de camiones y ómnibus. La compañía informó a la prensa local que maneja su dinero en una cuenta corriente del Nuevo Banco Santa Fe.

La cuenta de un empresario del rubro de la refrigeración sufrió el robo a través de internet, los depósitos habrían sido vaciados usurpando la clave de home banking de esta persona y a través de diez transferencias de 50 mil pesos cada una el dinero fue trasladado a otras cuentas. Algunos de los que recibieron esta suma de dinero, retiraron el efectivo por ventanilla.

El juez a cargo, Gustavo Pérez de Uurrechu explicó algunos detalles del inédito hecho: “Sorprende que en dos días le hayan vaciado la cuenta y el dinero haya derivado a otras entidades bancarias locales y de otras partes del país”.

“Lo único que puedo comentar es que se radico en Tribunal una denuncia por defraudación, se vació la cuenta de un empresario y el dinero fue derivado a distintas cuentas de distintas personas. Se hicieron allanamientos y quedaron varios detenidos”. Fuentes de la investigación confirmaron que son cuatro las personas arrestadas, todas de la ciudad de Rosario.

“Hay antecedentes en Argentina y otras partes del mundo, por ahí sorprende porque son nuevas técnicas que asustan a la gente y llaman la atención. En Rosario que tengamos conocimiento no ha sucedido antes”, remarcó el juez.

Desde la Justicia anticiparon que la investigación recién avanzó el 30% y señalaron que se busca intensamente a una mujer. “Lo que estamos investigando es el carácter en que se recibió el dinero porque algunos pudieron haberlo aceptado de buena fe”.

Entre otras cosas se trata de dilucidar además “si hay un hacker o alguien que simplemente le copió la clave”. Si bien el juez no lo quiso confirmar, fuentes judiciales revelaron que se investiga el entorno laboral y familiar del empresario.

El punto que aún no queda claro es cómo se obtuvo la clave de home-banking, es decir, si fue copiada o si algún tipo de amenaza informática actuó para enviar a los ladrones la contraseña correspondiente.

También existe la posibilidad de que el empresario haya sido víctima de un caso de phishing, es decir, una página de una entidad bancaria creada por estafadores que es prácticamente idéntica a la original, pero que en realidad se encarga de captar desprevenidos dispuestos a colocar en ella sus contraseñas.

“Sólo puedo decir que estamos investigando cómo salió la plata y cómo llegó a las cuentas, como justifican el dinero que recibieron ante el Banco Central”, concluyó.

Actualización 01/03/2011

Además se encargó de resaltar que descartan “que sea alguien del círculo íntimo, alguien accedió a las claves pero desde afuera de la empresa”.

Respecto de los cuatro detenidos, señaló: “Esas personas son algunos de los titulares de las cuentas donde fueron desviados los fondos y que intentaron retirar el dinero o lo retiraron, por ventanilla la mayor parte, tenemos noticia que dentro de los límites que permite el cajero automático se ha hecho por ese medio y también por débito de cheque”. Y remarcó que “no tienen vinculación personal ni comercial” con el empresario.

“Es muy raro y muy significativo por el monto para lo que es el giro de la empresa y la primera vez que le ocurre”, lamentó el abogado que además aclaró quela maniobra no fue realizada por home banking: “El damnificado opera por una empresa intermediaria que es interbanking”.

Además remarcó “la licitud del origen de los fondos de los cuales fue privado la víctima”. Y confirmó que fueron “aproximadamente” 700 mil pesos los que faltaron de la cuenta y no 500 mil como se dijo en un principio: “En realidad se vació la cuenta, intentaron realizar más transferencia lo que pasó es que no había más fondos en las cuentas”.

Fuente: La Capital y II

Anuncios

>Robo de datos personales en nombre de Nacionas Unidas

febrero 28, 2011 § 3 comentarios

>Nos acaban de reportar un caso de un correo que dice provenir del Programa de las Naciones Unidas, en donde ofrecen una supuesta donación de 850 mil dólares, que el usuario acaba de ganar.

El correo luce de la siguiente manera:

El texto del mensaje es el siguiente (errores incluidos):

Programa de las Naciones Unidas para la donación de 2011.
NOTIFICACIÓN DE DONACIÓN PARA USTED PARA EL DESARROLLO EN LA REGIÓN.

De las Naciones Unidas para el Desarrollo, y la Caridad, en relación con la
La CEDEAO, la Unión de Europen, están dando una donación anual de
EE.UU. $ 850,000.00 (Ochocientos cincuenta mil dólares estadounidenses)
como específicos Donaciones / Donaciones a 40 ganadores afortunados
internacionales en todo el mundo.

La presente es para informarle de que su dirección de correo electrónico
ha ganado un premio en metálico de EE.UU. $ 850,000.00 (ochocientos
cincuenta mil dólares estadounidenses) como uno de los beneficiarios
finales de una subvención en efectivo / Donación para su propio
educación personal, y desarrollo de negocio para este año 2011.

Sobre la base de el ejercicio de correo electrónico de selección al azar
de los sitios web de Internet y millones de facturas de supermercados en
efectivo en todo el mundo, que fueron seleccionados entre los afortunados
los destinatarios puedan obtener la suma de adjudicación de los EE.UU. $
850,000.00 (ochocientos y Cincuenta Mil Dólares de los Estados Unidos)
como donaciones de caridad / ayuda de la PNUD, la CEDEAO, la Unión
Europea y la ONU de conformidad con la ley de autorización de Parlamento.

Sus números de calificación es (N-222 6747, E-900-56). Para llenar las
reclamaciones formulario y enviar al departamento de pago de la CEDEAO
SEDE Nigeria.

NOMBRES COMPLETOS :____________________
DIRECCIÓN: ______________________
ESTADO :_______________________
COUNTRY____________________
SEXO / EDAD :_____________________
ESTADO CIVIL :___________
OCUPACIÓN :_________________
E-MAIL :_____________________
NÚMERO DE TELÉFONO :_____________________
=============================================
ENVIAR TODAS LAS CONSULTAS AL
Oficial de Relaciones Públicas. (P.R.O)

Usted PUEDE ver Nuestro Sitio Web párrafo Su Lectura:
http://www.un.org/News/Press/docs/2003/ik344.doc.htm


Correo electrónico: info.undp[ELIMINADO]@yahoo.com.hk

Gracias y Acepte mis sinceras felicitaciones de nuevo!

Le saluda atentamente,
El Sr. Moore Kelvin.

Ante todo debe notarse que el documento mencionado NO existe y por otro se solicita información personal del usuario, la cual debe ser enviada por correo electrónico a esa dirección de Yahoo!.

Este tipo de engaño se llama Scam (no confundir con el Phishing) y consiste en manipular al usuario para que brinde información persona al delincuente y que posteriormente será utilizada para robo de identidad u otro tipo de ataques al usuario.

De más está decir que la donación mencionada no existe y que nunca debe responderse este tipo de correo.

Cristian de la Redacción de Segu-Info

>Guía para el borrado seguro de datos en unidades de estado sólido (SSD, Solid-State Drive)

febrero 28, 2011 § Deja un comentario

>Hola,
El avance de la tecnologí­a es siempre un reto para las disciplinas que de ella dependen. El análisis forense no es una excepción, y aquí­ aplica igualmente el adaptarse o morir.

El tema que nos ocupa hoy son las unidades de estado sólido (SSD, Solid-State Drive) que están cada dí­a más cerca de los usuarios. Siguen siendo suficientemente costosas (en torno a 2.5 – 3 Euros por GB) para que no sean un producto tan extendido como los discos de platos tradicionales (donde es frecuente encontrar productos en la franja de los 0,04 Euros por GB) pero es de prever que la tecnologí­a de estado sólido baje fuertemente de precio en el futuro y que eventualmente se convierta en un producto con la misma popularidad y extensión de uso que los discos tradicionales hoy en dí­a. El paulatino desarrollo de mayores y mejores chips de memoria NAND para la construcción de discos SSD, y el más que previsible abaratamiento de sus costes de fabricación parecen indicar que la tecnologí­a SSD tiene mucho recorrido en este sentido, y que esto no ha hecho más que comenzar.

Prueba de la probable futura masificación de la tecnologí­a SSD es la progresiva implementación de métodos de tratamiento específicos en los sistemas operativos. Por citar un ejemplo, Microsoft introdujo soporte especializado para SSDs en Windows 7, desactivando funciones especí­ficas para solventar problemas de rendimiento en unidades tradicionales que ya no son necesarias cuando se emplean unidades de estado sólido, como la desfragmentación del medio, o las tecnologí­as de aceleración y precarga como prefetching/superfetching o ReadyBoost.

Una de los pilares básicos en el análisis forense es el análisis de los medios. Gran parte de los procesos forenses hoy en dí­a giran en torno a la extracción de información de un medio determinado, como por ejemplo, una unidad de disco, con lo que los conceptos de tecnologí­as forenses y antiforenses se ha desarrollado en extremo en este campo. Uno de los conceptos fundamentales en las técnicas antiforenses es el borrado seguro de datos, que puede ser resumido como el conjunto de acciones a realizar sobre un medio determinado para impedir la recuperación posterior de los datos que contení­a el medio antes de ser saneado.

El borrado seguro de datos ha sido tradicionalmente un campo relativamente estable. Cientos de maneras de hacerlo han surgido estos años, desde los métodos extremos como el borrado Gutmann hasta la simple pasada unitaria de ceros bit a bit, que es la que yo particularmente veo más sensata en la gran mayorí­a de escenarios de utilización de discos de platos. Este era un mundo tranquilo, hasta que llegaron las SSD.

El problema

Recientemente, como consecuencia de un trabajo de investigación realizado por el laboratorio de sistemas no volátiles de la UC San Diego, se diseñó un procedimiento mediante el cual es posible acceder directamente a los chips de memoria NAND de las unidades de estado sólido sin tener que pasar por la capa de traslación que correlaciona páginas de memoria flash lineal con las direcciones de bloques de disco, conocida como FTL (Flash Translation Layer). Los resultados aparecen en este gráfico:

Entender la tabla es sencillo: por cada 1000 MB de datos, es posible recuperar unos 100 MB de media, dependiendo del método, en cualquier unidad SSD, incluso habiendo aplicado un método de borrado seguro. Este estudio tiene una consecuencia inmediata: lo que tan bien funciona en discos de platos, no funciona en SSD. Los detalles del porqué son técnicamente algo complejos y están resumidos con todo lujo de detalles en el paper Reliably Erasing Data from Flash-Based Solid State Drives, para quien quiera ampliar detalles.

La razón de la permanencia de datos en el chip no es otra que las inconsistencias provocadas por las traslaciones entre bloques de disco y chip NAND a través de la capa FTL, que puede provocar que la unidad presente bloques vací­os que sin embargo tienen páginas de memoria asociadas repletas de datos. En estos casos, la FTL escribe nuevos datos en una ubicación distinta y actualiza sus í­ndices con dicha localización, pero los datos originales permanecen donde estaban, estando únicamente desvinculados en la FTL y no fí­sicamente eliminados en el chip. En cierta manera me recuerda a los sistemas EXT2/3, que años atrás no desvinculaban los bloques indirectos de datos al hacer operaciones en el sistema de ficheros, lo que permití­a recuperar información en espacio no asignado.

¿Soluciones?

El problema definitivamente escapa a los usuarios en el sentido que las técnicas de borrado seguro tradicionales no garantizan la desaparición de los datos, tal y como hemos visto, y poco o nada podemos hacer para prevenir el comportamiento erróneo de las implementaciones FTL descritas.

Ante el escenario descrito parece que lo más sensato, si se quiere realizar un borrado seguro de una unidad SSD, es someterla a cifrado completo y luego realizar una limpieza de los datos y las llaves criptográficas, lo que solventarí­a los casos hipotéticos en los que alguien pueda recuperar datos directamente de los chips, puesto que la información estarí­a cifrada. Es por esto que lo más sensato para usuarios de discos SSD es, como punto de partida, realizar cifrados completos de disco nada más instalar el sistema operativo que los gobernará.

El borrado seguro ideal requerirá, cuando se quiera ejecutar, la eliminación de las llaves criptográficas utilizadas para el cifrado del disco y la sobreescritura de cada página de memoria del chip NAND. Habida cuenta que esto requerirá desmantelar la unidad para operar directamente sobre el chip si se quiere realizar un saneado completo en una pasada, podemos intentar que el número de datos remanentes perdidos en los mapeos de la FTL sea mí­nimo aumentando el número de pasadas. De acuerdo al estudio, el grueso de unidades probadas consiguió eliminar completamente los datos tras ejecutar dos pasadas, lo que abre un nuevo frente de problemas: cada pasada requirió entre 58 y 121 horas, lo que harí­a que 2 pasadas puedan hacer que el saneado de la unidad se vaya a las 220 horas (casi 10 dí­as) lo que provoca que el método sea inviable en muchos escenarios.

A modo de resumen estas reglas pueden hacer que se minimice el riesgo de sufrir recuperaciones no deseadas de nuestros discos de estado sólido:

  1. Para todo los casos, cifrar el disco nada más instalar el sistema operativo. Por ejemplo, con TrueCrypt.
  2. Si se quiere reutilizar el disco sin cambiar de propiedad, un formateo convencional o una pasada simple de ceros es suficiente.
  3. Si se quiere reutilizar el disco cambiando de propiedad, por ejemplo, porque vamos a regalarlo o venderlo, realizar dos pasadas con un método seguro. Se puede utilizar alguno de los métodos presentes en DBAN.
  4. Si se quiere desechar el disco, los métodos de desmagnetización no sirven en las SSDs. Recurrid a un servicio de gestión de medios especializado, o desmantelad la unidad y destruid fí­sicamente los chips NAND. Aunque sea rústico, someter a martillazos una unidad es muchas veces la mejor manera de impedir la recuperación de datos 🙂

Un saludo,
Fuente: Sergio Hernando

>Los 4 mejores antivirus para Android

febrero 28, 2011 § 1 comentario

>Luego de ver la evolución del malware en Android, instalar un antivirus en el teléfono móvil es de gran importancia para evitar perder datos valiosos a causa de un virus. Y es que a día de hoy, con la acción constante de conectar el móvil al PC para transferir datos, es alta la posibilidad de infectar el teléfono con un virus o malware.

Estos son cuatro de los mejores antivirus para dispositivos Android:

Fuente: BlogAntivirus

>Evolución del malware en dispositivos Android

febrero 28, 2011 § Deja un comentario

>Desde hace unos meses se ha podido observar cómo el desarrollo de malware ha sufrido un considerable aumento para dispositivos basados en el sistema operativo desarrollado por Google. Fruto de ello es en gran parte la laxitud por parte del usuario en temas de seguridad y el triunfo cada vez mayor en el uso de esta nueva plataforma.

Es un hecho indiscutible que cada vez las tareas cotidianas que realizábamos desde nuestro equipo personal queden relegadas a un segundo plano gracias a la comodidad y el confort que nos produce tener un dispositivo de capacidades similares y que podamos portar a cualquier sitio.

A esto le debemos sumar que la frontera que divide el uso personal del uso corporativo no está bien definida y por tanto su uso puede adoptar nuevas funcionalidades como el acceso a una VPN de la empresa, administrar el correo o manejar temas bancarios por poner sendos ejemplos. Es cuestión de tiempo que acabemos por tener la misma funcionalidad de un equipo en nuestro smartphone, algo más fácil ahora con la llegada de las tablets.

Esto es algo de lo que los desarrolladores de malware son bastante conscientes y que evidentemente no dejan pasar por alto, prueba de ello es la frecuencia con la que se están sucediendo nuevos ataques, cada vez más efectivos y elaborados.

El objetivo de esta entrada, es recoger a modo de resumen la evolución que se ha ido desarrollando en los últimos meses relacionada con aplicaciones maliciosas para sistemas Android.

Contenido completo en SdB

>Phishing a Bradesco

febrero 27, 2011 § Deja un comentario

>En las últimas horas nos han reportado varios casos de correos que dicen provenir de Bradesco pero que en realidad conducen a sitios falsos de dicho banco. En este caso el sitio falso está alojado en un hosting gratuito italiano y se llega al mismo a través de una redirección en un sitio de Hong Kong. Desde Segu-Info ya nos hemos puesto en contacto con ambos sitios para que se proceda a la baja de los mismos.

Como siempre en los casos de Bradesco, los delincuentes buscan robar todos los datos de acceso a la entidad bancaria, comenzado con el número de agencia y la cuenta de la víctima:

Posteriormente siguen con el nombre de usuario, contraseña:

Luego buscan robar los 70 códigos de tres posiciones que conforman la tarjeta de coordenadas que el banco entrega al cliente para su seguridad y el código PIN para la utilización de la tarjeta de débito:

Finalmente, con todos los datos robados, se invoca a un script en un sitio ruso que los almacena y conduce al usuario al sitio verdadero de la entidad bancaria:

En varios de los casos reportados es posible ver todos los archivos PHP almacenados en directorios de los sitios vulnerados:

Desde Segu-Info ya hemos procedido a realizar las denuncias pertinentes para bloquear y dar de baja los sitios falsos.

Cristian de la Redacción de Segu-Info

>CMM y CMMI

febrero 27, 2011 § Deja un comentario

>Cuando el responsable del departamento de desarrollo me dijo que íbamos a implantar un modelo de calidad llamado CMMI – CMMI (Wikipedia CMMWikipedia CMMI) o Modelos de Capacidad y Madurez – , pensé “Oh! Dios mío esto va a ser muy, muy aburrido”.

Me pasó el documento con el modelo y mis peores pensamientos se confirmaron. Por si alguno de vosotros no ha visto el modelo de calidad CMM – CMMI el lomo tiene más de cuatro dedos de grosor, tu pones la mano encima de la mesa y el modelo CMMI sobresale.

Sin embargo, al final de este camino, la implantación de procesos de gestión y desarrollo de proyectos ha sido una de las cosas más enriquecedoras que he podido hacer. Si, porque al instalar procesos te permite trabajar con personas, que aunque siempre es difícil, también es muy satisfactorio.

Por aquel entonces lo poco que había oído de modelos de calidad era sobre la ISO 9000, también había oído la mayoría de las empresas realmente les importa muy poco la calidad de lo que producen si no más bien tener la certificación y poner dicho sello en su publicidad. Muchas de ellas siguen todavía esta filosofía.

Pero como soy muy curioso y confío más en la Web que en los estándares oficiales para entender las cosas, me puse a investigar (cotillear) por la web.
De mis experiencias en estos 2 años con el modelo CMM – CMMI voy a intentar explicaros de una forma clara y sencilla en que consiste este modelo de calidad del software.

El nacimiento de CMM – CMMI

El departamento de defensa de los estados unidos tenía muchos problemas con el software que encargaba desarrollar a otras empresas, los presupuestos se disparaban, las fechas alargaban más y más. ¿Quién no se ha encontrado con este tipo de problemas si ha trabajado con una empresa de software?
Como esta situación les parecía intolerable convocó un comité de expertos para que solucionase estos problemas, en el año 1983 dicho comité concluyó “Tienen que crear un instituto de la ingeniería del software, dedicado exclusivamente a los problemas del software, y a ayudar al Departamento de Defensa”.
Convocaron un concurso público en el que dijeron: “Cualquiera que quiera enviar una solicitud tiene que explicar como van a resolver estos 4 problemas”, se presentaron diversos estamentos y la Universidad Carnegie Mellon ganó el concurso en 1985, creando el SEI.

El SEI (Software Engineering Institute) es el instituto que creó y mantiene el modelo de calidad CMM – CMMI.

A partir de noviembre de 1986 el SEI, a requerimiento del Gobierno Federal de los Estados Unidos de América (en particular del Departamento de Defensa, DoD), desarrolló una primera definición de un modelo de madurez de procesos en el desarrollo de software, que se publicó en septiembre de 1987. Este trabajo evolucionó al modelo CMM o SW-CMM (CMM for Software), cuya última versión (v1.1) se publicó en febrero de 1993.

El Modelo de Madurez de Capacidades en la Ingeniería de Sistemas (CMMI) fue publicado por el SEI en noviembre de 1995. Está dedicado a las actividades de ingeniería de sistemas.
Define 18 áreas de proceso divididas en tres grupos:

  • Ingeniería (7)
  • Proyectos (5)
  • Organizativas (6)

¿Qué es el CMM – CMMI?

El CMM – CMMI es un modelo de calidad del software que clasifica las empresas en niveles de madurez. Estos niveles sirven para conocer la madurez de los procesos que se realizan para producir software.

Niveles CMM – CMMI

Los niveles CMM – CMMI son 5:

  • Inicial o Nivel 1 CMM – CMMI. Este es el nivel en donde están todas las empresas que no tienen procesos. Los presupuestos se disparan, no es posible entregar el proyecto en fechas, te tienes que quedar durante noches y fines de semana para terminar un proyecto. No hay control sobre el estado del proyecto, el desarrollo del proyecto es completamente opaco, no sabes lo que pasa en él.

    Es el típico proyecto en el que se da la siguiente situación:

    – ¿Cómo va el proyecto?
    – Bien, bien.

    Dos semanas después…
    – ¿Cómo va el proyecto?
    – Bien, bien.

    Tres semanas después…
    – El lunes hay que entregar el proyecto.- No se por qué pero los proyectos se entregan los lunes.
    – El lunes !!?. Todavía falta mucho!!
    – ¿Cómo? Me dijiste que el proyecto iba bien!! Arréglatelas como quieras, pero el proyecto tiene que estar terminado para el lunes.

    Si no sabes el tamaño del proyecto y no sabes cuanto llevas hecho, nunca sabrás cuando vas a terminar.

  • Repetible o Nivel 2 CMM – CMMI. Quiere decir que el éxito de los resultados obtenidos se pueden repetir. La principal diferencia entre este nivel y el anterior es que el proyecto es gestionado y controlado durante el desarrollo del mismo. El desarrollo no es opaco y se puede saber el estado del proyecto en todo momento.
    Los procesos que hay que implantar para alcanzar este nivel son:
    • Gestión de requisitos
    • Planificación de proyectos
    • Seguimiento y control de proyectos
    • Gestión de proveedores
    • Aseguramiento de la calidad
    • Gestión de la configuración

  • Definido o Nivel 3 CMM – CMMI. Resumiéndolo mucho, este alcanzar este nivel significa que la forma de desarrollar proyectos (gestión e ingeniería) esta definida, por definida quiere decir que esta establecida, documentada y que existen métricas (obtención de datos objetivos) para la consecución de objetivos concretos.
    Los procesos que hay que implantar para alcanzar este nivel son:
    • Desarrollo de requisitos
    • Solución Técnica
    • Integración del producto
    • Verificación
    • Validación
    • Desarrollo y mejora de los procesos de la organización
    • Definición de los procesos de la organización
    • Planificación de la formación
    • Gestión de riesgos
    • Análisis y resolución de toma de decisiones

    La mayoría de las empresas que llegan al nivel 3 paran aquí, ya que es un nivel que proporciona muchos beneficios y no ven la necesidad de ir más allá porque tienen cubiertas la mayoría de sus necesidades.

  • Cuantitativamente Gestionado o Nivel 4 CMM – CMMI. Los proyectos usan objetivos medibles para alcanzar las necesidades de los clientes y la organización. Se usan métricas para gestionar la organización.
    Los procesos que hay que implantar para alcanzar este nivel son:
    • Gestión cuantitativa de proyectos
    • Mejora de los procesos de la organización

  • Optimizado o Nivel 5 CMM – CMMI. Los procesos de los proyectos y de la organización están orientados a la mejora de las actividades. Mejoras incrementales e innovadoras de los procesos que mediante métricas son identificadas, evaluadas y puestas en práctica.
    Los procesos que hay que implantar para alcanzar este nivel son:
    • Innovación organizacional
    • Análisis y resolución de las causas

    Normalmente las empresas que intentan alcanzar los niveles 4 y 5 lo realizan simultáneamente ya que están muy relacionados.

A grandes rasgos os he intentado introducir el modelo de calidad del software CMM – CMMI para aquella gente que se encuentra por primera vez con él. La implantación de un modelo de estas características es un proceso largo y costoso que puede costar varios años de esfuerzo. Aun así el beneficio obtenido para la empresa es mucho mayor que lo invertido.

“Y a este respecto se debe tener en cuenta hasta qué punto no hay cosa más difícil de tratar, ni más dudosa de conseguir, ni más peligrosa de conducir, que hacerse promotor de la implantación de nuevas instituciones.
La causa de tamaña dificultad reside en que el promotor tiene por enemigos a todos aquellos que sacaban provecho del viejo orden y encuentra unos defensores tímidos en todos los que se verían beneficiados por el nuevo.
Esta timidez nace en parte al temor de los adversarios, que tienen la ley de su lado, y en parte también la incredulidad de los hombres, quienes -en realidad- nunca creen en lo nuevo hasta que adquieren una firme experiencia en ello.
De ahí nace que, siempre que los enemigos encuentran la ocasión de atacar, lo hacen con ánimo faccioso, mientras los demás sólo proceden a la defensa con tibieza, de lo cual resulta un serio peligro para el príncipe y para ellos.”

El Principe, Nicolás Maquiavelo, 1513

Si os interesa profundizar más en el conocimiento de los procesos de calidad CMM-CMMI, podéis empezar con introduciros en el Nivel 2 de CMM-CMMI.

Fuente: Ingeniero Software

¿Dónde estoy?

Actualmente estás viendo los archivos para febrero, 2011 en Seguridad Informática.