Cursos de ISO 27001 e ISO 20000 de BSI en Madrid (España)
28/December/2006
28/December/2006
BSI (British Standards Institution) España ha abierto el plazo de inscripción a los siguientes cursos que se celebrarán en Madrid:
Curso de auditor líder de ISO 27001. Del 12 al 16 de Febrero 2007.
Curso de implantación de ISO 27001. Del 20 al 22 de Febrero 2007.
Curso de implantación de ISO 20000. 7 y 8 de Marzo 2007.
Para más información e inscripciones:
Telf: + 34 91 4008 620
Email: marketing.spain@bsi-global.com
Curso de auditor líder de ISO 27001. Del 12 al 16 de Febrero 2007.
Curso de implantación de ISO 27001. Del 20 al 22 de Febrero 2007.
Curso de implantación de ISO 20000. 7 y 8 de Marzo 2007.
Para más información e inscripciones:
Telf: + 34 91 4008 620
Email: marketing.spain@bsi-global.com
Security Now: Podcasts sobre seguridad de la información
28/December/2006
28/December/2006
Security Now ofrece una serie muy interesante de podcasts en inglés dedicados a diferentes temas de seguridad de la información.
Desde el 1 de Agosto de 2005, Steve Gibson y Leo Laporte, con larga experiencia en el mundo de la comunicación, abordan semanalmente con otros invitados un tema técnico de seguridad con un estilo muy fluido y radiofónico. Materias como spyware, contraseñas, ataques DDoS, encriptación, VPNs, wireless, IPSEC, virtualización, proxies, etc. han sido tratadas a lo largo de los 71 podcasts publicados hasta ahora. Mensualmente, también dedican uno a contestar preguntas recibidas de los oyentes.
Desde el 1 de Agosto de 2005, Steve Gibson y Leo Laporte, con larga experiencia en el mundo de la comunicación, abordan semanalmente con otros invitados un tema técnico de seguridad con un estilo muy fluido y radiofónico. Materias como spyware, contraseñas, ataques DDoS, encriptación, VPNs, wireless, IPSEC, virtualización, proxies, etc. han sido tratadas a lo largo de los 71 podcasts publicados hasta ahora. Mensualmente, también dedican uno a contestar preguntas recibidas de los oyentes.
Cursos de seguridad en Madrid (España)
28/December/2006
28/December/2006
La empresa GET (Grupo Estudios Técnicos. Publicaciones, Información, Consultoría y Formación Especializada en Seguridad) ofrece en Madrid los siguientes cursos:
Planes de Contingencia y Continuidad de Negocio, 30-31 de Enero de 2007. 16 horas, 850 euros.
Gestión de Sistemas de Control de Accesos e Intrusión, 14-15 de Febrero de 2007. 16 horas, 690 euros.
Planes de Contingencia y Continuidad de Negocio, 30-31 de Enero de 2007. 16 horas, 850 euros.
Gestión de Sistemas de Control de Accesos e Intrusión, 14-15 de Febrero de 2007. 16 horas, 690 euros.
Cursos del IIR España
27/December/2006
27/December/2006
El Institute for International Research ofrece en Madrid en próximas fechas los siguientes cursos y seminarios:
Disaster Recovery, 30-31 de Enero.
Aplicación técnico-legal del Reglamento LOPD, 30-31 de Enero.
WebSecurity2007, 13-14 de Febrero.
Seguridad y Optimización de VNPs, 21-22 de Febrero.
Seguridad en Wi-Fi, 28 de Febrero.
Indicadores y Métricas de Seguridad Informática, 27-28 de Marzo.
Disaster Recovery, 30-31 de Enero.
Aplicación técnico-legal del Reglamento LOPD, 30-31 de Enero.
WebSecurity2007, 13-14 de Febrero.
Seguridad y Optimización de VNPs, 21-22 de Febrero.
Seguridad en Wi-Fi, 28 de Febrero.
Indicadores y Métricas de Seguridad Informática, 27-28 de Marzo.
Curso de Seguridad Informática
27/December/2006
27/December/2006
El 24 de Enero próximo comenzará a impartirse en Majadahonda (Madrid) el primer módulo de los tres que conforman el Curso de Seguridad Informática (CSI) de Belt Ibérica.
El temario de los tres módulos es:
MÓDULO 7G: Seguridad de Sistemas, Redes e Internet. (24 horas lectivas)
* Seguridad en Sistemas Operativos.
* Seguridad en redes inalámbricas.
* Herramientas de Seguridad (Firewalls, VPNs, IDS, etc).
* Firma Electrónica/Criptografía/ Infraestructura de Clave Pública (PKI).
* Fases de un Proyecto PKI / Configuración de Servidores Seguros.
MÓDULO 8G: Auditoría y Análisis de Riesgos de Sistemas de la Información. (24 horas lectivas)
* Análisis de Riesgos Informáticos
* Seguridad en las aplicaciones informáticas y en bases de datos.
* Detección y eliminación de vulnerabilidades: Obtención de información.
* Detección y eliminación de vulnerabilidades: Técnicas activas.
* Auditoría Informática.
* Casos prácticos de Auditoría Informática.
* Normas y Procedimientos de Seguridad Informática.
* Seguridad de la documentación.
MÓDULO 9G: Casos Prácticos de Seguridad de la Información. (24 horas lectivas)
* La experiencia de la Comunidad de Madrid en la protección de datos de carácter personal.
* La experiencia del BBVA en la Seguridad de la Información.
* La Protección de Datos en un Servicio de Emergencias.
* La protección de la información en la Guardia Civil.
* Unidad de delitos informáticos de la DGP.
Más información en BELT.
El temario de los tres módulos es:
MÓDULO 7G: Seguridad de Sistemas, Redes e Internet. (24 horas lectivas)
* Seguridad en Sistemas Operativos.
* Seguridad en redes inalámbricas.
* Herramientas de Seguridad (Firewalls, VPNs, IDS, etc).
* Firma Electrónica/Criptografía/ Infraestructura de Clave Pública (PKI).
* Fases de un Proyecto PKI / Configuración de Servidores Seguros.
MÓDULO 8G: Auditoría y Análisis de Riesgos de Sistemas de la Información. (24 horas lectivas)
* Análisis de Riesgos Informáticos
* Seguridad en las aplicaciones informáticas y en bases de datos.
* Detección y eliminación de vulnerabilidades: Obtención de información.
* Detección y eliminación de vulnerabilidades: Técnicas activas.
* Auditoría Informática.
* Casos prácticos de Auditoría Informática.
* Normas y Procedimientos de Seguridad Informática.
* Seguridad de la documentación.
MÓDULO 9G: Casos Prácticos de Seguridad de la Información. (24 horas lectivas)
* La experiencia de la Comunidad de Madrid en la protección de datos de carácter personal.
* La experiencia del BBVA en la Seguridad de la Información.
* La Protección de Datos en un Servicio de Emergencias.
* La protección de la información en la Guardia Civil.
* Unidad de delitos informáticos de la DGP.
Más información en BELT.
Espionaje industrial y robo de propiedad intelectual
27/December/2006
27/December/2006
NoticeBored hace referencia a un artículo de CSO Online en el que se aborda el espionaje industrial y el robo de propiedad intelectual.
En él, se parte de dos ideas equivocadas que tienen una gran parte de los altos directivos de las empresas: que el espionaje industrial sólo afecta a las empresas que poseen fórmulas o diseños secretos (p. ej., Coca-Cola) y que sus empresas afrontan este problema eficazmente (cuando, generalmente, no han adaptado su estrategia al nuevo escenario de globalización económica y de desarrollo de las TI).
A lo largo del artículo se mencionan muchos casos que se han producido en los últimos años, cuando la propiedad intelectual de las empresas pasa a estar en el punto de mira de tres diferentes grupos: personal interno y competidores, gobiernos y organizaciones criminales.
En él, se parte de dos ideas equivocadas que tienen una gran parte de los altos directivos de las empresas: que el espionaje industrial sólo afecta a las empresas que poseen fórmulas o diseños secretos (p. ej., Coca-Cola) y que sus empresas afrontan este problema eficazmente (cuando, generalmente, no han adaptado su estrategia al nuevo escenario de globalización económica y de desarrollo de las TI).
A lo largo del artículo se mencionan muchos casos que se han producido en los últimos años, cuando la propiedad intelectual de las empresas pasa a estar en el punto de mira de tres diferentes grupos: personal interno y competidores, gobiernos y organizaciones criminales.
Documento sobre la protección del uso de Internet en la empresa
27/December/2006
27/December/2006
Realtime Publishers publica regularmente guías gratuitas en inglés sobre distintos aspectos de seguridad de la información.
En esta ocasión, se trata de un documento de 75 páginas dedicado a la protección del uso de Internet en la empresa, que aborda en 4 amplios capítulos cómo preservar la integridad del negocio, la protección del acceso a Internet, el ciclo de vida de los sistemas de protección de acceso a Internet y las tendencias en sistemas de protección de acceso a Internet.
El documento, previa inscripción, puede descargarse de Realtime Nexus.
En esta ocasión, se trata de un documento de 75 páginas dedicado a la protección del uso de Internet en la empresa, que aborda en 4 amplios capítulos cómo preservar la integridad del negocio, la protección del acceso a Internet, el ciclo de vida de los sistemas de protección de acceso a Internet y las tendencias en sistemas de protección de acceso a Internet.
El documento, previa inscripción, puede descargarse de Realtime Nexus.
El 14 de Febrero próximo finaliza el plazo de inscripción temprana (con descuentos en el coste del examen) para los exámenes de ISACA para la obtención de las certificaciones de Certified Information Systems Auditor y Certified Information Security Manager que tendrán lugar el 9 de Junio de 2007.
La fecha límite de inscripción final (sin descuentos) es el 11 de Abril.
Para más detalles e inscripciones: ISACA.
La fecha límite de inscripción final (sin descuentos) es el 11 de Abril.
Para más detalles e inscripciones: ISACA.
Documentación y herramientas para gestión de continuidad de negocio
27/December/2006
27/December/2006
Con la reciente publicación del código de buenas prácticas BS 25999-1:2006 para la gestión de continuidad de negocio (que tendrá una segunda parte certificable: BS 25999-2:2007), BSI (British Standards Institution) pone a disposición de los interesados un software online de análisis de continuidad de negocio y un libro que enfoca la continuidad de negocio desde el punto de vista de la gestión del riesgo.
Tecnologías de la información para profesionales financieros
26/December/2006
26/December/2006
IFAC (International Federation of Accountants) es una asociación internacional que tiene entre otros objetivos el desarrollo de estándares en las áreas de contabilidad, auditoría e información financiera.
Hace unos meses, ha publicado un borrador de estándar que ayude a determinar los conocimientos y técnicas en cuanto a tecnologías de la información que deben poseer los profesionales de la contabilidad en sus diferentes facetas (contable, controller, director financiero, auditor de cuentas, diseñador de sistemas de información financieros, consultor, etc.). Para cada uno de los distintos roles, se proponen los conocimientos que debieran poseerse.
El draft puede descargarse de IFAC.
Hace unos meses, ha publicado un borrador de estándar que ayude a determinar los conocimientos y técnicas en cuanto a tecnologías de la información que deben poseer los profesionales de la contabilidad en sus diferentes facetas (contable, controller, director financiero, auditor de cuentas, diseñador de sistemas de información financieros, consultor, etc.). Para cada uno de los distintos roles, se proponen los conocimientos que debieran poseerse.
El draft puede descargarse de IFAC.
3.233 empresas certificadas en ISO 27001 y BS 7799-2 en el mundo
22/December/2006
22/December/2006
En Diciembre, se ha llegado a 3.233 empresas certificadas en ISO 27001 y BS 7799-2 en el mundo.
En ISO 27001 son concretamente 638, cifra que incluye 259 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 379 nuevas certificaciones.
Encabeza la lista Japón, con 1.850 certificaciones, y le siguen el Reino Unido, con 333, y la India con 255.
Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.
Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:
México, 11.
España, 9.
Argentina, 3.
Colombia, 2.
Chile, 1.
Perú, 1.
Uruguay, 1.
Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.
En ISO 27001 son concretamente 638, cifra que incluye 259 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 379 nuevas certificaciones.
Encabeza la lista Japón, con 1.850 certificaciones, y le siguen el Reino Unido, con 333, y la India con 255.
Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.
Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:
México, 11.
España, 9.
Argentina, 3.
Colombia, 2.
Chile, 1.
Perú, 1.
Uruguay, 1.
Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.
Nuevos podcasts de Symantec
22/December/2006
22/December/2006
Ejemplo de ingeniería social
22/December/2006
22/December/2006
Dark Reading publica un artículo en el que Steve Stasiukonis, de Secure Network Technologies Inc., relata nuevamente un caso de ingeniería social.
Su empresa fue contratada por un banco para evaluar su seguridad. Además de un test de intrusión, se les encargó también una comprobación de la concienciación del personal.
Steve relata en su artículo con todo lujo de detalles cómo, disfrazados de técnicos de fotocopiadoras, consiguieron acceder al edificio, conectar su portátil en la toma de red de una fotocopiadora, escanear el tráfico y hacerse con la contraseña de la persona que les había contratado, que pegaron en un papel bajo la fotocopiadora como prueba de su éxito en la intrusión.
Su empresa fue contratada por un banco para evaluar su seguridad. Además de un test de intrusión, se les encargó también una comprobación de la concienciación del personal.
Steve relata en su artículo con todo lujo de detalles cómo, disfrazados de técnicos de fotocopiadoras, consiguieron acceder al edificio, conectar su portátil en la toma de red de una fotocopiadora, escanear el tráfico y hacerse con la contraseña de la persona que les había contratado, que pegaron en un papel bajo la fotocopiadora como prueba de su éxito en la intrusión.
Reutilización y sustitución segura de dispositivos de almacenamiento
22/December/2006
22/December/2006
Recientemente, el Observatorio de la Seguridad de la Información, adscrito a INTECO (Instituto Nacional de Tecnologías de la Comunicación), publicó un documento sobre la reutilización y sustitución segura de dispositivos de almacenamiento.
En él se describe de forma resumida y sencilla la necesidad de realizar un borrado seguro o destrucción de la información contenida en soportes informáticos y se indican una serie de direcciones de Internet relacionadas con la materia.
El documento está disponible en INTECO
En él se describe de forma resumida y sencilla la necesidad de realizar un borrado seguro o destrucción de la información contenida en soportes informáticos y se indican una serie de direcciones de Internet relacionadas con la materia.
El documento está disponible en INTECO
Lista de herramientas para tests de seguridad
22/December/2006
22/December/2006
Javier Cao informa sobre un documento de InfosecWriters que ofrece un listado de herramientas de evaluación de la seguridad, y sus correspondientes páginas web, clasificadas según la fase del test de intrusión en donde se utilizan.
La lista está disponible en InfosecWriters
La lista está disponible en InfosecWriters
Entrevista a Bruce Schneier
22/December/2006
22/December/2006
Gary McGraw, en "The Silver Bullet Security Podcast", entrevista a Bruce Schneier, el famoso gurú de la seguridad informática.
Durante la entrevista, se tratan temas como la conexión entre seguridad física y tecnológica, derechos de autor, gestión del riesgo, vigilancia global, economía y seguridad, "teatro de la seguridad" (seguridad ficticia), el enfoque de Microsoft en cuanto a seguridad del software e, incluso, vinos (Bruce es también crítico gastronómico).
Durante la entrevista, se tratan temas como la conexión entre seguridad física y tecnológica, derechos de autor, gestión del riesgo, vigilancia global, economía y seguridad, "teatro de la seguridad" (seguridad ficticia), el enfoque de Microsoft en cuanto a seguridad del software e, incluso, vinos (Bruce es también crítico gastronómico).
Whitepaper sobre gestión de riesgos con BS7799-3
22/December/2006
22/December/2006
El pasado mes de Noviembre, Ken Biery publicó en el SANS Institute un whitepaper donde propone un enfoque de gestión de riesgos alineado con el estándar BS7799-3.
A lo largo de 69 páginas, va proponiendo un método práctico de abordar la evaluación de riesgos a través de las fases de identificación de activos, valoración de los mismos, evaluación de amenazas y vulnerabilidades, clasificación de riesgos, tratamiento, métricas, etc.
El documento puede descargarse en: SANS
A lo largo de 69 páginas, va proponiendo un método práctico de abordar la evaluación de riesgos a través de las fases de identificación de activos, valoración de los mismos, evaluación de amenazas y vulnerabilidades, clasificación de riesgos, tratamiento, métricas, etc.
El documento puede descargarse en: SANS
VIII Seminario Iberoamericano de Seguridad en TIC en La Habana
22/December/2006
22/December/2006
Del 12 al 16 de Febrero de 2007, tendrá lugar en La Habana (Cuba) el VIII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones.
Los temas a tratar serán:
Seguridad en Servidores y Servicios de Redes.
Software Antivirus y de Seguridad.
Seguridad en Aplicaciones.
Informática Forense.
Criptografía.
Ataques.
Auditoria a la Seguridad Informática.
Criterios de Evaluación de la Seguridad.
Mecanismos de Control y Autenticación.
Políticas y Estándares de Seguridad.
Planes de Contingencia y Recuperación de Desastres.
Aspectos Éticos y Legales de la Seguridad Informática.
Delitos Informáticos.
Experiencias de especialistas y entidades.
Información e inscripciones en: Segurmatica
Los temas a tratar serán:
Seguridad en Servidores y Servicios de Redes.
Software Antivirus y de Seguridad.
Seguridad en Aplicaciones.
Informática Forense.
Criptografía.
Ataques.
Auditoria a la Seguridad Informática.
Criterios de Evaluación de la Seguridad.
Mecanismos de Control y Autenticación.
Políticas y Estándares de Seguridad.
Planes de Contingencia y Recuperación de Desastres.
Aspectos Éticos y Legales de la Seguridad Informática.
Delitos Informáticos.
Experiencias de especialistas y entidades.
Información e inscripciones en: Segurmatica
Artículos de auditoría de sistemas UNIX de Sergio Hernando
22/December/2006
22/December/2006
Sergio Hernando ha comenzado a publicar hace unos días en su blog una serie de artículos dedicados a explicar diferentes temas relacionados con la auditoría de sistemas UNIX.
Guías del NIST durante 2006
22/December/2006
22/December/2006
Tal y como hemos ido informando a lo largo del año, el NIST (National Institute of Standards and Technology; EEUU) ha publicado o revisado durante 2006 las siguientes guías relacionadas con seguridad de la información (disponibles gratuitamente aquí):
SP 800-100 Information Security Handbook: A Guide for Managers
SP 800-96 PIV Card / Reader Interoperability Guidelines
SP 800-92 Guide to Computer Security Log Management
SP 800-90 Recommendation for Random Number Generation Using Deterministic Random Bit Generators
SP 800-89 Recommendation for Obtaining Assurances for Digital Signature Applications
SP 800-88 Guidelines for Media Sanitization
SP 800-87 Codes for the Identification of Federal and Federally-Assisted Organizations
SP 800-86 Guide to Integrating Forensic Techniques into Incident Response
SP 800-85B PIV Data Model Conformance Test Guidelines
SP 800-85A PIV Card Application and Middleware Interface Test Guidelines
SP 800-84 Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities
SP 800-81 Secure Domain Name System (DNS) Deployment Guide
SP 800-76 Biometric Data Specification for Personal Identity Verification
SP 800-73 Interfaces for Personal Identity Verification
SP 800-69 Guidance for Securing Microsoft Windows XP Home Edition: A NIST Security Configuration Checklist
SP 800-63 Electronic Authentication Guideline: Recommendations of the National Institute of Standards and Technology
SP 800-56A Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography
SP 800-53 Recommended Security Controls for Federal Information Systems
SP 800-18 Guide for Developing Security Plans for Federal Information Systems
SP 800-100 Information Security Handbook: A Guide for Managers
SP 800-96 PIV Card / Reader Interoperability Guidelines
SP 800-92 Guide to Computer Security Log Management
SP 800-90 Recommendation for Random Number Generation Using Deterministic Random Bit Generators
SP 800-89 Recommendation for Obtaining Assurances for Digital Signature Applications
SP 800-88 Guidelines for Media Sanitization
SP 800-87 Codes for the Identification of Federal and Federally-Assisted Organizations
SP 800-86 Guide to Integrating Forensic Techniques into Incident Response
SP 800-85B PIV Data Model Conformance Test Guidelines
SP 800-85A PIV Card Application and Middleware Interface Test Guidelines
SP 800-84 Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities
SP 800-81 Secure Domain Name System (DNS) Deployment Guide
SP 800-76 Biometric Data Specification for Personal Identity Verification
SP 800-73 Interfaces for Personal Identity Verification
SP 800-69 Guidance for Securing Microsoft Windows XP Home Edition: A NIST Security Configuration Checklist
SP 800-63 Electronic Authentication Guideline: Recommendations of the National Institute of Standards and Technology
SP 800-56A Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography
SP 800-53 Recommended Security Controls for Federal Information Systems
SP 800-18 Guide for Developing Security Plans for Federal Information Systems
ISEB Risk Management
22/December/2006
22/December/2006
ISEB (Information Systems Examinations Board) forma parte de la prestigiosa British Computer Society y ofrece una serie de certificaciones personales en tecnologías de la información, incluida también seguridad de la información.
Una de las certificaciones disponibles es la de "Practitioner Certificate in Information Risk Management (PCiIRM)".
BSI (British Standards Institution) va a ofrecer por primera vez un curso de preparación al examen correspondiente, del 12 al 16 de Febrero en Londres.
Más información en: BSI
Una de las certificaciones disponibles es la de "Practitioner Certificate in Information Risk Management (PCiIRM)".
BSI (British Standards Institution) va a ofrecer por primera vez un curso de preparación al examen correspondiente, del 12 al 16 de Febrero en Londres.
Más información en: BSI
Seguridad de la Información como práctica de negocio
12/December/2006
12/December/2006
Este artículo trata del papel que juega la seguridad de la información en las organizaciones. Históricamente, las organizaciones han delegado la seguridad de la información en aspectos tecnologicos y que el negocio en sí no necesitaba tratar. Las organizaciones también han tratado seguridad de la información como característica adicional y a posteriori. La seguridad de la información debe llegar a ser inculcada en la cultura de la organización para asegurar la coformidad en todas las facetas de la compañía.
Las organizaciones que están comenzando a madurar en seguridad de la información pueden elegir entre investigar e implantar sistemas establecidos y de soporte de los sistemas de información. Sistemas como ITIL e ISO/IEC 17799 se pueden utilizar como fundamento para el desarrollo de procesos de la seguridad de la información.
Independientemente de cómo las organizaciones acercan a seguridad de la información, deben comenzar a prever seguridad de la información como problema global de negocio. Si las organizaciones pueden abarcar el cambio cultural y extender la seguridad de la información a todos los aspectos de un negocio, la seguridad de la información se convertirá en una práctica establecida seguida por todos.
Artículo en PDF en infosecwriters
Fellowes Ibérica, filial en España del principal fabricante mundial de destructoras de documentos en formato papel y CD, advierte sobre los riesgos que representa la inadecuada gestión y destrucción de información confidencial en las Pymes.
Se puede decir que, en general, las empresas están fallando a la hora de establecer medidas que les protejan a sí mismos y a sus clientes del robo de identidades. Esa es la principal conclusión que se extrae del estudio llevado a cabo en el Reino Unido y dado a conocer por Fellowes, con motivo de la celebración de la National Identity Fraud Prevention Week 2006, un evento sin precedentes celebrado en este país y dirigido a concienciar a la sociedad sobre este grave problema.
Artículo e Información completa en Cibersur
Se puede decir que, en general, las empresas están fallando a la hora de establecer medidas que les protejan a sí mismos y a sus clientes del robo de identidades. Esa es la principal conclusión que se extrae del estudio llevado a cabo en el Reino Unido y dado a conocer por Fellowes, con motivo de la celebración de la National Identity Fraud Prevention Week 2006, un evento sin precedentes celebrado en este país y dirigido a concienciar a la sociedad sobre este grave problema.
Artículo e Información completa en Cibersur
CeBit 2007
12/December/2006
12/December/2006
CefIS, el centro para la seguridad de la información, es la principal atracción del área dedicada a la seguridad de CeBit 2007, que se celebra entre el 15 y el 21 de marzo en la feria de Hanover (Alemania). El enfoque multiaplicación será una de las características de este espacio, que se situará en un área del pabellón 7 que ocupará casi 1.000 metros cuadrados. CefIS se centrará en todos los aspectos de disponibilidad corporativa, integridad y continuidad de los recursos y datos de tecnologías de la información, independientemente de si están en riesgo como consecuencia de la manipulación de información o redes o por fallos relativos a la infraestructura técnica, al fuego o al sabotaje.
Información completa en CeBit
Nuevo reglamento de protección de datos
12/December/2006
12/December/2006
La experiencia obtenida en los años transcurridos desde la entrada en vigor de la LOPD, la doctrina, tanto jurisdiccional como la que ha ido sentando la propia Agencia, así como la propia evolución de la sociedad y del estado de las tecnologías, han sido elementos esenciales que al ser tomados en consideración y analizados con la profundidad con que se ha hecho, han contribuido a elevar el nivel del trabajo realizado y de los resultados alcanzados. Confiemos en que, tras la aprobación de este Proyecto, prevista para este año, su aplicación y la práctica futura consiga realmente una mayor clarificación de la normativa reguladora de este derecho fundamental y que la AEPD sea verdaderamente capaz de hacer frente, con la eficacia que se espera de ella, a los retos que se plantean de cara al próximo futuro.
Artículo de José Luis Piñar Mañas, Director de la Agencia Española de Protección de Datos en Red Seguridad
Consideraciones forenses en la banca electrónica
12/December/2006
12/December/2006
De acuerdo con investigaciones recientes ( Análisis de tendencias en seguridad informática. Algunos referentes internacionales para revisar, 2006), la seguridad de la información es un reto cada vez más complejo para las organizaciones. Grandes inversiones, largas horas de ajustes y monitoreo permanente son las características más sobresalientes de las empresas que gestionan, día a día, la seguridad informática. Sin embargo, el crecimiento de los fallos de seguridad, intrusiones y vulnerabilidades superan las expectativas de los encargados de la seguridad informática en las organizaciones.
Ante esta realidad, las organizaciones deben procurar la administración de la inseguridad de la información formulando umbrales de confianza que conforme a los recursos, características y negocios de las organizaciones, puedan estructurarse alrededor de la administración de riesgos establecida por la empresa. En este sentido, no es posible tener seguridad total, pues riesgo cero no existe.
Artículo de Jeimy J. Cano para el especial seguridad en el sector financiero en Red Seguridad
Cada día son más las personas que utilizan la banca ‘on-line’. Sin duda, la comodidad, rapidez y facilidad de realizar movimientos y operaciones, pagos y consultas de nuestras cuentas bancarias mediante Internet, son algunas de las ventajas que ofrece este servicio. Pero hechos delictivos ya conocidos como ‘phishing’, ‘pharming’ o ‘spam’, añadidos a otros problemas como los de auteticación del usuario, timos varios, chantajes, ataques corporativos, inseguridad de los medios de pago..., obligan a que usuarios y entidades financieras estén alerta y apliquen no sólo los conocimientos y las medidas de seguridad oportunas -que son necesarios-, sino recordar siempre el sentido común.
Especial seguridad en el sector financiero en Red Seguridad
Trazabilidad de las Operaciones Electrónicas
12/December/2006
12/December/2006
El documento publicado por ISACA en 2005 y liberado recientemente para su libre consulta plantea una propuesta inicial sobre la trazabilidad de las operaciones en las aplicaciones corporativas.Es un marco de discusión básico para mejorar y desarrollar el concepto en profundidad, fundamentado en características técnicas y administrativas requeridas en arquitecturas de cómputo. El constante avance de la tecnología y los procedimientos internos de las organizaciones, sugieren elementos nuevos que deben ser revisados para enriquecer la temática de la trazabilidad.
Acceso al documento de Jeimy J. Cano en ISACA
Quien es Quien en la Unión Europea
12/December/2006
12/December/2006
Segunda versión ampliada y puesta al día del "directorio 2006 Quien es Quien en tema de Redes y seguridad de la Información". Esta versión ha sido ampliada y todos los 25 Estados Miembro de la Unión Europea y todos los Miembros del EEA (Islandia, Liechtenstein y Noruega) han proporcionado información.Este Directorio actúa a modo de "páginas Amarillas" sobre Redes y seguridad de la información en Europa. Es un instrumento útil de contactos y el Directorio ahora incluye una sección que proporciona información sobre instituciones y cuerpos de la Unión Europea y cuerpos que actúan en estos campos.
Documento PDF completo en ENISA
Este documento explica por qué el SPIT (Spam sobre telefonía IP) es más difícil de filtrar que el spam convencional mediante correos electrónicos, indica panoramas y posibles medidas para evitarlo y presenta un prototipo para un sistema de gestión de disponibilidad para filtrar SPIT que se está desarrollando actualmente en el proyecto SPIT-AL.Artículo en español del Independent Centre for Data Protection en Madrid.org
"Un sistema basado en normativas y estándares reconocidos, que sea aplicable, que se pueda mantener, evaluar en la operación del día a día y que al final de proceso, permita obtener la certificación, es una garantía del cumplimiento de los principios de seguridad en el tratamiento de datos personales. Dicho sistema refuerza a su vez, la confianza del responsable del tratamiento en sus obligaciones del cumplimiento del resto de los principios de protección de datos.""... Por este motivo, el sector de las tecnologías están potenciando y fomentando, junto con la implantación de medidas tecnológicas de seguridad, el desarrollo de nuevos servicios de seguridad, entre los que se encuentran : Planes Directores de Seguridad, Sistemas de Gestión de la Seguridad de la Información (SGSI), Oficinas de Seguridad, Herramientas Automatizadas de cumplimiento, que permitan garantizar a todos los sujetos que interactúan con sistemas de información (servicios públicos, empresas, profesionales, ciudadanos) los principios de seguridad en términos de confidencialidad, disponibilidad, exactitud y auditabilidad requeridos por el marco jurídico, y a su vez, faciliten el acceso autorizado de éstos sujetos a la información y a los servicios interactivos a través de Internet."
Artículo completo de Mar Martínez. en Madrid.org
El derecho a la protección de datos personales en México
12/December/2006
12/December/2006
El presente trabajo tiene como propósito presentar y analizar, de manera sucinta, la actualidad legislativa en México en torno al derecho a la protección de datos personales.En ese sentido, se llevará a cabo una breve descripción de los antecedentes del derecho de referencia en México, a partir de la entrada en vigor de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y de su consecuente aplicación.
Hecho lo anterior, se analizarán aspectos relevantes de las dos iniciativas de reforma constitucional, presentadas y/o aprobadas en alguna de las Cámaras del Poder Legislativo a nivel federal hasta el momento.
Artículo completo en Madrid.org
Nueva edición del magazine (IN)Secure
12/December/2006
12/December/2006
Entre los temas de este número se incluyen:
- Effectiveness of security by admonition: a case study of security warnings in a web browser setting
- Interview with Kurt Sauer, CSO at Skype
- Web 2.0 defense with AJAX fingerprinting and filtering
- Hack In The Box Security Conference 2006
- Where iSCSI fits in enterprise storage networking
- Recovering user passwords from cached domain records
- Do portable storage solutions compromise business security?
- Enterprise data security - a case study
- Creating business through virtual trust: how to gain and sustain a competitive advantage using information security
Descarga del número disponible en INSECURE 1.9
El estándar, que ha substituido eficazmente al viejo BS 7799, ha convencido a muchas organizaciones que la certificación puede tener sentido para ellas. Según el grupo BSI, casi las dos terceras partes de las certificaciones eran nuevas organizaciones en vez de simples actualizaciones de BS 7799.
Según BSI, uno de los motivos para el fuerte aumento de en la actividad de certificaciones en ISO 27001 se debe a que cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el sector privado, estipulan ya que el proveedor apropiado debería tener la certificación en ISO 27001 de Seguridad de la Información.
URM, especialista en certificación ISO 27001 y en la gestión de riesgos, cree que el aumento del interés es porque el estándar se ha convertido en una obligación más que una opción accesoria para cualquier organización que opere en el sector público o en el sector de los grandes mercados privados.
Con el aumento en los niveles de gobierno, URM cree que la certificación ISO 27001 también está siendo vista como un ejercicio de 'impermeabilización de cara al futuro ' para muchas empresas. Si ellos no lo hacen ahora, saben que probablemente tendrán que hacerlo en el futuro. De hecho, algunas empresas que ya tienen la certificación ISO 27001 harán de lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga.
Por tanto, si usted no quiere perder mercado de negocio, certifíquese.
Artículo completo de CWSecurity Professionals en ComputerWeekly
La defensa de los datos en el punto de mira para el 2007
04/December/2006
04/December/2006
Los requisitos reguladores y el aumento de las preocupaciones del consumidor por las brechas en seguridad de la información están convirtiendo en prioridad los controles de la seguridad a nivel de datos, según managers TI del Computer Security Institute .
Tras años de implantar tecnologías como cortafuegos y sistemas de la intrusión-detección para mantener los perímetros a salvo, las compañías ahora deben incorporar controles similares en niveles inferiores y a nivel de datos, indicaron.
"los datos son importantes por encima de todo," dijo a Juan Ceraolo, director de la seguridad de la información en JM Family Enterprises Inc.
Artículo de Jaikumar Vijayan en Computerworld.
Tras años de implantar tecnologías como cortafuegos y sistemas de la intrusión-detección para mantener los perímetros a salvo, las compañías ahora deben incorporar controles similares en niveles inferiores y a nivel de datos, indicaron.
"los datos son importantes por encima de todo," dijo a Juan Ceraolo, director de la seguridad de la información en JM Family Enterprises Inc.
Artículo de Jaikumar Vijayan en Computerworld.
Crece el reconocimiento de la seguridad de información por parte de las organizaciones como conductor de la mejora en el negocio
El noveno estudio anual sobre seguridad de la información de Ernst & Young recoge las opiniones de 1200 profesionales de la seguridad de la información tanto en organizaciones públicas como privadas en 48 países.
Según el estudio, sobre tres cuartos de los encuestados citó la protección de la privacidad y de los datos como un punto significativo que requiere una inversión adicional - por primera vez en los nueve años de historia del estudio. Esos encuestados dijeron que continuarían invirtiendo la mayoría de su tiempo, dinero y recursos en procedimientos formales para capturar, almacenar y compartir datos.
Richard Brown, Jefe de tecnología y servicios de riesgos en seguridad de Ernst & Young declara: "los negocios están solamente despertando frente a los peligros de tener pocas o ninguna política de privacidad para manejar datos sensibles. El punto clave parece ser el crecimiento de la preocupación y concienciación del consumidor - el hurto de la identidad, la pérdida de datos personales, los ataques phishing y otras infracciones relativas a los datos no son asuntos que únicamente se oyen, sino que han sucedido probablemente a alguien a quién conoces."
"Esta presión que se intensifica por parte del consumidor en el tratamiento de la privacidad ha forzado a las compañías a reevaluar sus prácticas y procedimientos del riesgo en los datos, particularmente en el sector de los servicios financieros."
Artículo completo en SCMagazine.
Estudio disponible en PDF en 2006 Global Information Security Survey.
El noveno estudio anual sobre seguridad de la información de Ernst & Young recoge las opiniones de 1200 profesionales de la seguridad de la información tanto en organizaciones públicas como privadas en 48 países.
Según el estudio, sobre tres cuartos de los encuestados citó la protección de la privacidad y de los datos como un punto significativo que requiere una inversión adicional - por primera vez en los nueve años de historia del estudio. Esos encuestados dijeron que continuarían invirtiendo la mayoría de su tiempo, dinero y recursos en procedimientos formales para capturar, almacenar y compartir datos.
Richard Brown, Jefe de tecnología y servicios de riesgos en seguridad de Ernst & Young declara: "los negocios están solamente despertando frente a los peligros de tener pocas o ninguna política de privacidad para manejar datos sensibles. El punto clave parece ser el crecimiento de la preocupación y concienciación del consumidor - el hurto de la identidad, la pérdida de datos personales, los ataques phishing y otras infracciones relativas a los datos no son asuntos que únicamente se oyen, sino que han sucedido probablemente a alguien a quién conoces."
"Esta presión que se intensifica por parte del consumidor en el tratamiento de la privacidad ha forzado a las compañías a reevaluar sus prácticas y procedimientos del riesgo en los datos, particularmente en el sector de los servicios financieros."
Artículo completo en SCMagazine.
Estudio disponible en PDF en 2006 Global Information Security Survey.
Las 10 principales amenazas informáticas para el 2007
04/December/2006
04/December/2006
McAfee resalta que los creadores de virus, programas espías y spam se están convirtiendo en profesionales, con mayores recompensas económicas. Por ello vislumbra técnicas más sofisticadas. Qué se espera para el 2007
De acuerdo con los datos de McAfee Avert Labs, con más de 217.000 tipos diferentes de amenazas conocidas y miles más que aún no se han identificado, está claro que el malware está siendo distribuido cada vez más por profesionales y criminales organizados.
En julio de 2006, McAfee anunció oficialmente el lanzamiento de su protección para la amenaza Nº 200.000 en su base de datos. Desde el 1 de enero de 2006, McAfee ha agregado aproximadamente 50.000 nuevas amenazas a su base de datos y avanza a superar 225.000 nuevas amenazas a fines del año. Dadas las tendencias actuales, McAfee espera que se identifique la amenaza Nº 300.000 hacia fines de 2007, con lo que se demuestra su potencial de crecimiento.
A continuación se presentan las diez principales amenazas de seguridad informadas por McAfee Avert Labs para el año 2007 (sin orden en particular):
1- Aumentará la cantidad de sitios Web para robar contraseñas mediante el uso de páginas de inicio falsas para servicios en línea populares como eBay
2- El volumen del spam, en particular del spam con imágenes que consume gran ancho de banda, seguirá aumentando
3- La popularidad del uso compartido del video en la Web hace inevitable que los hackers comiencen a usar archivos MPEG como un medio de distribuir código malicioso
4- Los ataques a teléfonos móviles se harán más frecuentes a medida que los dispositivos móviles se hagan más "inteligentes" y con mayor conexión
5- Los programas publicitarios fortalecerán su dominio siguiendo el aumento de los Posibles programas no deseados (PUP, Potentially Unwanted Programs) comerciales
6- Los robos de identidad y la pérdida de datos seguirán siendo un problema público: el origen de estos crímenes a menudo se encuentra en el robo de computadores, la pérdida de respaldos y el compromiso de sistemas de información
7- Se incrementará el uso de bots, programas computacionales que realizan tareas automatizadas, como una herramienta favorita para los hackers
8- Reaparecerá el malware parasitario, o virus que modifican los archivos existentes en un disco
9- Se registrará un aumento en la cantidad de rootkits en plataformas de 32 bits; sin embargo, las capacidades de protección y reparación también se potenciarán
10- Las vulnerabilidades seguirán causando preocupaciones fomentadas por el mercado clandestino de las vulnerabilidades
Información completa en Infobae.
De acuerdo con los datos de McAfee Avert Labs, con más de 217.000 tipos diferentes de amenazas conocidas y miles más que aún no se han identificado, está claro que el malware está siendo distribuido cada vez más por profesionales y criminales organizados.
En julio de 2006, McAfee anunció oficialmente el lanzamiento de su protección para la amenaza Nº 200.000 en su base de datos. Desde el 1 de enero de 2006, McAfee ha agregado aproximadamente 50.000 nuevas amenazas a su base de datos y avanza a superar 225.000 nuevas amenazas a fines del año. Dadas las tendencias actuales, McAfee espera que se identifique la amenaza Nº 300.000 hacia fines de 2007, con lo que se demuestra su potencial de crecimiento.
A continuación se presentan las diez principales amenazas de seguridad informadas por McAfee Avert Labs para el año 2007 (sin orden en particular):
1- Aumentará la cantidad de sitios Web para robar contraseñas mediante el uso de páginas de inicio falsas para servicios en línea populares como eBay
2- El volumen del spam, en particular del spam con imágenes que consume gran ancho de banda, seguirá aumentando
3- La popularidad del uso compartido del video en la Web hace inevitable que los hackers comiencen a usar archivos MPEG como un medio de distribuir código malicioso
4- Los ataques a teléfonos móviles se harán más frecuentes a medida que los dispositivos móviles se hagan más "inteligentes" y con mayor conexión
5- Los programas publicitarios fortalecerán su dominio siguiendo el aumento de los Posibles programas no deseados (PUP, Potentially Unwanted Programs) comerciales
6- Los robos de identidad y la pérdida de datos seguirán siendo un problema público: el origen de estos crímenes a menudo se encuentra en el robo de computadores, la pérdida de respaldos y el compromiso de sistemas de información
7- Se incrementará el uso de bots, programas computacionales que realizan tareas automatizadas, como una herramienta favorita para los hackers
8- Reaparecerá el malware parasitario, o virus que modifican los archivos existentes en un disco
9- Se registrará un aumento en la cantidad de rootkits en plataformas de 32 bits; sin embargo, las capacidades de protección y reparación también se potenciarán
10- Las vulnerabilidades seguirán causando preocupaciones fomentadas por el mercado clandestino de las vulnerabilidades
Información completa en Infobae.
FinancialTech Magazine es una publicación de Prensa Internet S.L., empresa especializada en creación de contenidos tecnológicos y consultoría en temas de comunicación, marketing y desarrollo de negocios para empresas e instituciones relacionadas con las Tecnologías de la Información e Internet.
El director de FinancialTech Magazine es Oski Goldfryd, destacado periodista especializado en Tecnologías de la Información e Internet, con más de veinte años de experiencia en la dirección y colaboración en publicaciones técnicas, especializadas y de divulgación en España.
Tal como indica Inza Financial Tech Magazine cumple 100 ediciones: Financial Tech.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
El director de FinancialTech Magazine es Oski Goldfryd, destacado periodista especializado en Tecnologías de la Información e Internet, con más de veinte años de experiencia en la dirección y colaboración en publicaciones técnicas, especializadas y de divulgación en España.
Tal como indica Inza Financial Tech Magazine cumple 100 ediciones: Financial Tech.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
NTT Europe Online, especializada en soluciones y servicios gestionados online, ha anunciado que ha logrado el estándar de gestión de la información ISO 27001, el certificado de seguridad más avanzado.Esta certificación, con la que sólo cuentan dos compañías del sector de las telecomunicaciones, asegura que NTT Europe Online cumple los más avanzados requerimientos de seguridad en cuanto al tratamiento de los datos y la información, y garantiza que trata de la manera más segura posible los datos de todos sus clientes.
Para Gonzalo Salsas, director general de NTT Europe Online “contar con esta certificación será una obligación para cualquier empresa que quiera competir en el mercado”, y apunta que “se deben exigir mutuamente niveles concretos y adecuados de seguridad informática. Además son necesarios si se desean interrelacionar sistemas entre diferentes organizaciones, o se abrirían brechas de seguridad entre sí”.
Como parte de la acreditación ISO27001, NTT Europe Online mantiene su propio plan de continuidad y equipo de gestión de seguridad de la información, así como un conjunto de procedimientos internos sometidos a auditoría externa cada seis meses por parte del departamento de Aseguramiento de la Calidad de Lloyd’s Register.
Artículo completo en Finantial Tech magazine
Gartner Symposium ITxpo, España
04/December/2006
04/December/2006
Se celebrará del 20 al 23 de Mayo en el Palu de Congressos de Catalunya.
Confirmación del programa y asistentes en próximas fechas en Gartner.com.
Confirmación del programa y asistentes en próximas fechas en Gartner.com.
Nuevo número de Diciembre de Information Security
04/December/2006
04/December/2006
Los contenidos de este número, entre otros, son:
- Protect What's Precious by Marcia Savage
We asked and you answered: Insiders, information leaks, compliance and the bottom line are your front-and-center priorities for 2007.
- Don't Just Kick the Tires by Ed Skoudis
Powerful new security tools examine your security investments to ensure you won't be stuck with a lemon.
- Don't Wait for Disaster by Marcia Savage
Security managers are covering their bases to curb the effects of an avian flu pandemic. We look at what some are doing.
- Judgment Day by Bill Brenner
PCI auditors are coming: They lay out the missteps of others so you can be spared a similar fate.
La revista está disponible online en Informartionsecurity
Visite nuestra sección de Boletines.
- Protect What's Precious by Marcia Savage
We asked and you answered: Insiders, information leaks, compliance and the bottom line are your front-and-center priorities for 2007.
- Don't Just Kick the Tires by Ed Skoudis
Powerful new security tools examine your security investments to ensure you won't be stuck with a lemon.
- Don't Wait for Disaster by Marcia Savage
Security managers are covering their bases to curb the effects of an avian flu pandemic. We look at what some are doing.
- Judgment Day by Bill Brenner
PCI auditors are coming: They lay out the missteps of others so you can be spared a similar fate.
La revista está disponible online en Informartionsecurity
Visite nuestra sección de Boletines.
I Congreso itSMF España
04/December/2006
04/December/2006
"Evento importante sin duda. Motivos, múltiples: tema, número de asistentes, nivel de los mismos, ponentes, … Me refiero al I Congreso de itSMF España que tuvo lugar el pasado jueves en la capital. Estimé que no podía faltar al evento por lo interesante de las ponencias y por los contactos e intercambios de información que en el mismo podría hacer referentes a ITIL e ISO 20000. Aun cuando hace casi una semana desde el mismo, no puedo dejar la ocasión de dejar esta referencia al mismo.
Para los que no conozcan itSMF España, comentar que es un foro creado en nuestro país en octubre de 2005 de cara a facilitar el desarrollo de una comunidad de habla hispana en torno a la Gestión de Servicios IT (GSIT), proporcionar información y orientación sobre los estándares, mejores prácticas y metodologías referentes a GSIT, promover el intercambio de casos prácticos españoles sobre la aplicación de estos/as y realizar un seguimiento del estado de madurez de la GSIT en España frente a otros países europeos y del resto del mundo."
Evento comentado por José Manuel Fernández en blog personal iso9001-iso27001-gestion.blogspot.com.
Para los que no conozcan itSMF España, comentar que es un foro creado en nuestro país en octubre de 2005 de cara a facilitar el desarrollo de una comunidad de habla hispana en torno a la Gestión de Servicios IT (GSIT), proporcionar información y orientación sobre los estándares, mejores prácticas y metodologías referentes a GSIT, promover el intercambio de casos prácticos españoles sobre la aplicación de estos/as y realizar un seguimiento del estado de madurez de la GSIT en España frente a otros países europeos y del resto del mundo."
Evento comentado por José Manuel Fernández en blog personal iso9001-iso27001-gestion.blogspot.com.
Artículo "ISO 27001: Requisitos"
04/December/2006
04/December/2006
Tras el artículo de "Introducción a la norma ISO 27001" del pasado Abril, Alfonso Calvo Orra, Licenciado en Informática (UPM) y Auditor Informático Certificado CISM, CISA y Auditor Jefe SGSI publica en la revista "Auditoría y Seguridad" (ver Boletines www.iso27000.es) este segundo artículo de la serie sobre la norma en el que se identifican los requisitos más significativos que debe cumplir un SGSI (Sistema para la Gestión de la Seguridad de la Información).
Fuente e información completa: Auditoría y Seguridad
Fuente e información completa: Auditoría y Seguridad
Publicaciones y Herramientas BITS
04/December/2006
04/December/2006
BITS es un consorcio sin ánimo de lucro formado por CEOs, cuyos miembros pertenecen a 100 de las mayores instituciones de EEUU. BITS se fundó por CEOs de estas instituciones como un espacio estratégico de pensamiento para la industria de servicios financieros en áreas como el comercio electrónico, gestión del riesgo, retribuciones y tecnología.
Entre las publicaciones que BITS ofrece en libre acceso desde su página Web destacamos:
- Toolkit de protección contra el Fraude
- Toolkit de confidencialidad del consumidor: seguridad de los datos y servicios financieros
- Consideraciones clave para la seguridad de los datos en su almacenamiento y transporte.
- Calculadora BITS(hoja de cálculo): Herramienta de evaluación del riesgo operacional de la seguridad de la información.
- Calculadora BITS(ejemplo hoja de cálculo): Herramienta de evaluación del riesgo operacional de la seguridad de la información.
Enlace BITS BITS
Valtech India lográ la certificación ISO 27001
04/December/2006
04/December/2006
Valtech India Systems Pvt Ltd. ha sido certificada por TUV Rheinland Industries Services en la norma ISO/IEC 27001:2005.El principal énfasis de un Sistema de Gestión de la Seguridad de la Información es la prevención.
El ámbito de la certificación es el estudio, análisis, diseño, programación y pruebas en las áreas de desarrollo de productos software, servicios de desarrollo de proyectos utilizando el modelo Agile, proyectos de Mantenimiento y Reingeniería en el área de servicios financieros, aeroespacial, producción, venta, viajes y telecomunicaciones.
"Hemos integrado el SGSI con el Sistema de Gestión de la Calidad que cubría las mejores prácticas de ISO 9001/ Agile /CMM Level 5. La seguridad de la información es vital para nosotros y para todos nuestros clientes. Esta certificación ayuda a mejorar nuestras prácticas en seguridad y también nuestros procesos de desarrollo del software. Estas prácticas nos ayudan a ganar un mayor crédito y nivel de confianza por parte de nuestros clientes y del Gobierno.", declaró Sujatha Balakrishman, CISO y Vicepresidente de Calidad y Pruebas de Valtech.
"Estamos encantados de haber logrado esta certificación, la cual prueba nuestro compromiso en la toma de medidas proactivas para la prevención de brechas de seguridad. Es absolutamente necesario proporcionar a nuestros clientes los más altos niveles de competencia en la gestión de la seguridad de la información", concluye Oliver Cavrel, CEO de Valtech India.
Fundada en 1993, Valtech Corporation es una importante compañía dedicada a servicios de consultoría de negocio y tecnología. Dispone de unos 1100 empleados y opera en 16 oficinas localizadas en EEUU, Europa y Asia.
Artículo completo en Valtech.co.uk
Certificación ISO 27001 de e-Dialog
04/December/2006
04/December/2006
e-Dialog se convirtió recientemente en el primer proveedor de servicios de Correo Electrónico en lograr la certificación ISO 27001.La compañía anunció el pasado mes de Septiembre el logro de la certificación y la fuerte protección que supone para la confidencialidad, integridad y disponibilidad de más de 10 Terabytes de información que e-Dialog maneja de sus clientes.
Forrester Research, en su informe de noviembre de 2005, "ISO 27001: Los Negocios ya pueden lograr una certificación ISO en seguridad" escribió que " las organizaciones que procuren ligar los controles de seguridad de la información dentro de su cultura y utilicen la certificación para manejar sus riesgos de seguridad, obtendrán el mayor beneficio de este esfuerzo."
Una de las muchas ventajas que el informe cita es que "las organizaciones adoptarán este estándar para validar la seguridad de un cliente, de los socios de negocio, servicios externalizados o cualquier tercero asociado con la organización. Las empresas que se decidan a lograr esta certificación rápidamente pueden perder rápidamente terreno dentro de la economía global en favor de competidores dispuestos a estar certificados."
Artículo completo en: E-Dialog
Podcast: Entrevista con Vicente Aceituno
28/November/2006
28/November/2006
Ampliamos nuestra sección de podcasts con una entrevista a Vicente Aceituno.
Vicente es el autor principal de ISM3 (pronúnciese ISM cubo), que es un modelo de madurez de gestión de seguridad de la información. Este modelo persigue facilitar la creación de SGSIs alineados con el negocio, ser aplicable a cualquier tipo de organización, permitir a las organizaciones priorizar y optimizar sus inversiones en seguridad de la información, apoyar la mejora continua de los SGSIs y dar soporte al externalización de procesos de seguridad. ISM3 es compatible con ITIL, ISO 27001, ISO 9001 y CobiT. En este podcast, Vicente Aceituno comentará todos estos aspectos.
Recordamos que dentro de esta serie de entrevistas, ya se han publicado:
Podcast Laura Prats, Applus+. Certificaciones ISO 27001 y UNE 71502, acreditación de entidades de certificación.
Podcast promotores CAMERSEC. Certificación SGSIs en pymes andaluzas.
Podcast Miguel Banegas, Telefónica Empresas. Implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid).
Podcast Miguel Ángel Thomas, Everis (DMR Consulting). Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002).
Podcast Alejandro García, BSI. Estado actual y evolución en la certificación ISO 27001.
Podcast Álvaro Rodríguez de Roa, SGS ICS. Proceso de certificación de un SGSI.
Podcast Agustín Lerma, Nextel. Gestión de riesgos.
Podcast José Manuel Fernández, Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández, Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001, www.ISO27000.es.
Vicente es el autor principal de ISM3 (pronúnciese ISM cubo), que es un modelo de madurez de gestión de seguridad de la información. Este modelo persigue facilitar la creación de SGSIs alineados con el negocio, ser aplicable a cualquier tipo de organización, permitir a las organizaciones priorizar y optimizar sus inversiones en seguridad de la información, apoyar la mejora continua de los SGSIs y dar soporte al externalización de procesos de seguridad. ISM3 es compatible con ITIL, ISO 27001, ISO 9001 y CobiT. En este podcast, Vicente Aceituno comentará todos estos aspectos.
Recordamos que dentro de esta serie de entrevistas, ya se han publicado:
Podcast Laura Prats, Applus+. Certificaciones ISO 27001 y UNE 71502, acreditación de entidades de certificación.
Podcast promotores CAMERSEC. Certificación SGSIs en pymes andaluzas.
Podcast Miguel Banegas, Telefónica Empresas. Implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid).
Podcast Miguel Ángel Thomas, Everis (DMR Consulting). Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002).
Podcast Alejandro García, BSI. Estado actual y evolución en la certificación ISO 27001.
Podcast Álvaro Rodríguez de Roa, SGS ICS. Proceso de certificación de un SGSI.
Podcast Agustín Lerma, Nextel. Gestión de riesgos.
Podcast José Manuel Fernández, Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández, Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001, www.ISO27000.es.
Conferencia FIST en Barcelona el 1 de Diciembre
28/November/2006
28/November/2006
El viernes 1 de Diciembre, a partir de las 18:00, se celebrará una nueva edición de las conferencias F.I.S.T. en Barcelona.
Es un evento gratuito y abierto al público en el que voluntarios realizan una serie de presentaciones y coloquios sobre diversos aspectos relacionados con los Test de Intrusión y la Seguridad de la Información.
El evento tendrá lugar en la sala Paranimf de la Universitat Ramon Lull - La Salle
Más información e inscripciones en: FIST Conference
Aquí están disponibles las presentaciones de las anteriores ediciones de las conferencias.
Es un evento gratuito y abierto al público en el que voluntarios realizan una serie de presentaciones y coloquios sobre diversos aspectos relacionados con los Test de Intrusión y la Seguridad de la Información.
El evento tendrá lugar en la sala Paranimf de la Universitat Ramon Lull - La Salle
Más información e inscripciones en: FIST Conference
Aquí están disponibles las presentaciones de las anteriores ediciones de las conferencias.
InfoSecurity en San Juan (Puerto Rico)
28/November/2006
28/November/2006
Por tercer año consecutivo, tendrá lugar en San Juan (Puerto Rico) el evento InfoSecurity organizado por la empresa I-SEC Information Security.
Se celebrará los próximos 6 y 7 de Diciembre en el San Juan Hotel & Casino y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
Se celebrará los próximos 6 y 7 de Diciembre en el San Juan Hotel & Casino y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
La gerencia de las empresas y la seguridad de la información
28/November/2006
28/November/2006
Bruce Schneier comenta en su blog un reciente informe sobre la poca importancia que dan los directivos de las empresas a la seguridad de la información.
En una larga lista de comentarios, muchos lectores de su blog expresan interesantes opiniones acerca de lo que piensan pueden ser los motivos de este desinterés, sus experiencias personales y posibles formas de abordar el problema.
En una larga lista de comentarios, muchos lectores de su blog expresan interesantes opiniones acerca de lo que piensan pueden ser los motivos de este desinterés, sus experiencias personales y posibles formas de abordar el problema.
Nuevo número de la revista (In)secure
28/November/2006
28/November/2006
Está disponible para su descarga el último número de la revista (In)Secure.
A lo largo de 78 páginas, se tratan temas como:
* Effectiveness of security by admonition: a case study of security warnings in a web browser setting
* Interview with Kurt Sauer, CSO at Skype
* Web 2.0 defense with AJAX fingerprinting and filtering
* Hack In The Box Security Conference 2006
* Where iSCSI fits in enterprise storage networking
* Recovering user passwords from cached domain records
* Do portable storage solutions compromise business security?
* Enterprise data security - a case study
* Creating business through virtual trust: how to gain and sustain a competitive advantage using information security
A lo largo de 78 páginas, se tratan temas como:
* Effectiveness of security by admonition: a case study of security warnings in a web browser setting
* Interview with Kurt Sauer, CSO at Skype
* Web 2.0 defense with AJAX fingerprinting and filtering
* Hack In The Box Security Conference 2006
* Where iSCSI fits in enterprise storage networking
* Recovering user passwords from cached domain records
* Do portable storage solutions compromise business security?
* Enterprise data security - a case study
* Creating business through virtual trust: how to gain and sustain a competitive advantage using information security
Build Security In Software Assurance Initiative (BSI) es un proyecto de la National Cyber Security Division (NCSD) del Department of Homeland Security de EEUU.
Su objetivo principal es la reducción de vulnerabilidades en el software a través de la concienciación de la necesidad de implementar la seguridad en los desarrollos de software desde las fases iniciales de diseño.
Su página web ofrece información, artículos, noticias, eventos, enlaces, etc., muy útiles para desarrolladores de software que quieran diseñar sistemas seguros y fiables.
Su objetivo principal es la reducción de vulnerabilidades en el software a través de la concienciación de la necesidad de implementar la seguridad en los desarrollos de software desde las fases iniciales de diseño.
Su página web ofrece información, artículos, noticias, eventos, enlaces, etc., muy útiles para desarrolladores de software que quieran diseñar sistemas seguros y fiables.
NIST 800-100. Information Security Handbook: A Guide for Managers
28/November/2006
28/November/2006
El NIST (National Institute of Standards and Technology) ha publicado el pasado mes de Octubre un manual de seguridad de la información.
En la habitual línea de rigor del NIST, se abordan a lo largo de 176 páginas temas como el buen gobierno de la seguridad de la información, el ciclo de vida de desarrollo de sistemas, formación y concienciación, control de inversiones, interconexión de sistemas, mediciones de rendimiento, planificación de la seguridad, planificación de contingencias, gestión de riesgos, certificación y evaluación de la seguridad, compra de productos y servicios de seguridad, respuesta ante incidentes y gestión de configuraciones.
El manual es de descarga gratuita. Vea nuestra sección de Guías y publicaciones
En la habitual línea de rigor del NIST, se abordan a lo largo de 176 páginas temas como el buen gobierno de la seguridad de la información, el ciclo de vida de desarrollo de sistemas, formación y concienciación, control de inversiones, interconexión de sistemas, mediciones de rendimiento, planificación de la seguridad, planificación de contingencias, gestión de riesgos, certificación y evaluación de la seguridad, compra de productos y servicios de seguridad, respuesta ante incidentes y gestión de configuraciones.
El manual es de descarga gratuita. Vea nuestra sección de Guías y publicaciones
Manual de defensa en profundidad de CERT
28/November/2006
28/November/2006
El pasado mes de Septiembre, el Software Engineering Institute de la Universidad Carnegie Mellon publicó en CERT un libro de 368 páginas dedicado a la defensa en profundidad de sistemas de información.
Se trata de un manual en inglés de introducción a la materia, escrito en un lenguaje claro, y que trata temas como fundamentos del aseguramiento de la información, gestión de conformidad, gestión de riesgos, gestión de identidades, gestión de autorizaciones, monitorización, gestión de la disponibilidad, gestión de configuraciones y gestión de incidencias.
El manual es de descarga gratuita. Vea nuestra sección de Guías y publicaciones
Se trata de un manual en inglés de introducción a la materia, escrito en un lenguaje claro, y que trata temas como fundamentos del aseguramiento de la información, gestión de conformidad, gestión de riesgos, gestión de identidades, gestión de autorizaciones, monitorización, gestión de la disponibilidad, gestión de configuraciones y gestión de incidencias.
El manual es de descarga gratuita. Vea nuestra sección de Guías y publicaciones
Ponencias del Congreso Internacional de Profesionales IT
27/November/2006
27/November/2006
Los pasados 21 y 22 de noviembre se celebró en el Palacio de la Misión de la Casa de Campo de Madrid el VIII Congreso Internacional de Profesionales IT, organizado por la Fundación Dintel.
Asistieron más de trescientas personas a 8 sesiones técnicas y una sesión de clausura, con un total de 37 ponentes.
Entre otros muchos temas relacionados con las TIC, también se habló de seguridad de la información, auditoría, gestión de riesgos, normativas, etc.
En la página web de Dintel pueden descargarse ponencias como las siguientes:
"BSM, ITIL y la ISO 20000: Evolución en la Gestiónde Servicios de TI"
"Tendencias en Certificación y Firma Electrónica - Experiencias del Gobierno de Aragón"
"Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda - CERES Entidad Pública de Certificación electrónica"
"Tendencias en Certificación y Firma Electrónica"
"Tendencias en Auditoría y Seguridad de la Información"
"Cumplimiento Legal y Gestión de la Seguridad"
"La gestión de riesgos TI como factor estratégico: una visión del futuro"
"Evolución del fraude digital"
"Cumplimientode Normativas: una realidad para las TI"
"Tendencias tecnológicas en disponibilidad de sistemas TIC"
"Seguridad más allá de los estándares"
Asistieron más de trescientas personas a 8 sesiones técnicas y una sesión de clausura, con un total de 37 ponentes.
Entre otros muchos temas relacionados con las TIC, también se habló de seguridad de la información, auditoría, gestión de riesgos, normativas, etc.
En la página web de Dintel pueden descargarse ponencias como las siguientes:
"BSM, ITIL y la ISO 20000: Evolución en la Gestiónde Servicios de TI"
"Tendencias en Certificación y Firma Electrónica - Experiencias del Gobierno de Aragón"
"Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda - CERES Entidad Pública de Certificación electrónica"
"Tendencias en Certificación y Firma Electrónica"
"Tendencias en Auditoría y Seguridad de la Información"
"Cumplimiento Legal y Gestión de la Seguridad"
"La gestión de riesgos TI como factor estratégico: una visión del futuro"
"Evolución del fraude digital"
"Cumplimientode Normativas: una realidad para las TI"
"Tendencias tecnológicas en disponibilidad de sistemas TIC"
"Seguridad más allá de los estándares"
AENOR comenzará a certificar según ISO 20000
27/November/2006
27/November/2006
Según una nota informativa de AENOR, a finales de Diciembre se dispondrá de las dos partes de ISO 20000 (Gestión de Servicios TI) en español.
A partir del primer trimestre de 2007, AENOR comenzará a certificar en base a esta norma.
Para más información:
División de Desarrollo Estratégico y Corporativo de AENOR
c/Génova 6
28004 Madrid
Tel. +34 91 432.60.04
A partir del primer trimestre de 2007, AENOR comenzará a certificar en base a esta norma.
Para más información:
División de Desarrollo Estratégico y Corporativo de AENOR
c/Génova 6
28004 Madrid
Tel. +34 91 432.60.04
Revista Auditoría y Seguridad
27/November/2006
27/November/2006
La revista Auditoría y Seguridad, de la Fundación Dintel, pasará a publicarse mensualmente, en lugar de bimensualmente como hasta ahora.
Asimismo, en los primeros meses de 2007, comenzará a publicarse la edición Iberoamericana de la revista. La impresión de la revista de realizará en Ecuador y desde allí se distribuirá a toda Iberoamérica. Los contenidos reflejarán la realidad tanto americana como española y europea.
Asimismo, en los primeros meses de 2007, comenzará a publicarse la edición Iberoamericana de la revista. La impresión de la revista de realizará en Ecuador y desde allí se distribuirá a toda Iberoamérica. Los contenidos reflejarán la realidad tanto americana como española y europea.
El Cluster TIC Asturias organiza el Seminario "La Seguridad de la Información" que tendrá lugar el miércoles 29 de Noviembre en el Parque Científico y Tecnológico de Gijón. En este seminario participarán dos empresas del Grupo SIGEA: LEGAL PROTECT y CONTEIN XXI que expondrán el caso de éxito del proyecto y harán una demo del software de Análisis de Riesgos de Seguridad GxSGSI.
Más información e inscripciones en: Legal Protect
Más información e inscripciones en: Legal Protect
Como anunciamos ya hace unas semanas, los días 29 y 30 de noviembre se celebrará en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT de la Universidad Politécnica de Madrid, el Primer Congreso de la Cátedra UPM-Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI y el Día Internacional de la Seguridad de la Información DISI. Lo organizan la EUITT, Applus+ y la UPM, bajo el patrocinio de la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones ASIMELEC, AFINA, el Centro Criptológico Nacional CCN y Red Seguridad, y con la colaboración de la Asociación de Técnicos de Informática ATI, la Information Systems Security Association ISSA, la Asociación de Ingenieros en Informática AI2, Hispasec Sistemas y Hakin9.
El miércoles 29 y la mañana del jueves 30, se celebrará el congreso CAPSDESI. El jueves 30 por la tarde, el Día Internacional de la Seguridad de la Información DISI.
El costo de la inscripción a todo el evento es de 350 Euros, vía Asimelec.
La inscripción a DISI, totalmente gratuita, se deberá realizar a través de la cátedra Capsdesi.
Programa completo disponible en formato PDF: Capsdesi
Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una nueva entrevista a Laura Prats Abadía, Auditor jefe de Sistemas de Gestión de Seguridad de la Información y responsable de producto de certificación de Applus+.
En el podcast se tratan, entre otros:
- aportaciones de la norma UNE 71502
- estado actual de la seguridad de la información en España
- el paso de las certificaciones UNE 71502 a ISO 27001
- ventajas de la certificación en las empresas
- la expectativa de crecimiento en el número de certificaciones
- el perfil profesional de un auditor de SGSI
- el proceso de acreditación por ENAC de entidades certificadoras de SGSI para España
La entrevista está disponible en: Artículos y Podcast
Esta sección seguirá recibiendo nuevos podcasts y ampliando las aportaciones en relación a los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast promotores CAMERSEC. Certificación SGSIs en pymes andaluzas
Podcast Miguel Ángel Thomas, Gerente de Everis (antes DMR Consulting). Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002)
Podcast Alejandro García de BSI.Estado actual y evolución en la certificación ISO 27001
Podcast Alvaro Rodríguez de Roa.Certificación de un SGSI.
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
En el podcast se tratan, entre otros:
- aportaciones de la norma UNE 71502
- estado actual de la seguridad de la información en España
- el paso de las certificaciones UNE 71502 a ISO 27001
- ventajas de la certificación en las empresas
- la expectativa de crecimiento en el número de certificaciones
- el perfil profesional de un auditor de SGSI
- el proceso de acreditación por ENAC de entidades certificadoras de SGSI para España
La entrevista está disponible en: Artículos y Podcast
Esta sección seguirá recibiendo nuevos podcasts y ampliando las aportaciones en relación a los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast promotores CAMERSEC. Certificación SGSIs en pymes andaluzas
Podcast Miguel Ángel Thomas, Gerente de Everis (antes DMR Consulting). Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002)
Podcast Alejandro García de BSI.Estado actual y evolución en la certificación ISO 27001
Podcast Alvaro Rodríguez de Roa.Certificación de un SGSI.
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
Bleum, uno de los proveedores líder en el desarrollo de servicios de software a medida, anunció el pasado 24 de Octubre que su centro de desarrollo de Shanghai había sido examinado en la norma ISO 27001 por BSI. La certificación en ISO 27001 demuestra que la compañía dispone de un sistema de gestión de seguridad con los controles adecuados y apropiados implantados. China está incrementando su importancia como destino estratégico de outsourcing para muchas de las compañías Fortune 1000 pero algunos de los obstáculos para crecer en este sector están relacionados con los derechos de propiedad intelectual y de capacidad, por este motivo, es importante que las compañías Chinas que prestan servicios de externalización de software demuestren su fortaleza en estas áreas.
En relación a la certificación, Eric Rongley, fundador de Bleum y CEO comenta, "Convertirse en una de las primeras compañías de software de China en obtener la certificación ISO 27001, junto a la certificación del nivel 5 en CMM que recibimos el año pasado, realmente prueba nuestra posición número uno dentro de los proveedores de servicios outsourcing de China en cuanto a calidad, excelencia y capacidad. Adicionalmente, este tipo de acreditación internacional hace posible que los usuarios finales dispongan de un mayor conciencia y referencia de la calidad y estándares que pueden esperar de nosotros".
Excepcionalmente, Bleum ha prescindido de la ayuda de consultores externos y desde el inicio del diseño de la implantación hasta la visita de certificación han transcurrido 9 meses, con dos visitas previas de auditores de BSI. Para el mantenimiento, Bleum recibirá dos visitas de seguimiento al año. Artículo completo en: Sys-Con Media
Certificación ISO 27001 de First Data International
20/November/2006
20/November/2006
First Data International es una compañía independiente líder en el procesamiento de transacciones en Europa, Oriente Medio y África con más de 20 años de experiencia en procesos de pago en Europa, unos 100 clientes en 27 países y 5000 empleados. La compañía presta servicios a otras instituciones financieras y actualmente líder en servicios de pago y comercio electrónico.Olivier Burrows, Director para el aseguramiento de la calidad de First Data comenta: "Estamos en el negocio de servicios financieros y a veces tenemos que suministrar cheques para clientes. Requerimos del estándar ISO 27001 para poder ofrecer este servicio a nuestros actuales clientes potenciales. Disponer del estándar 9001 es un añadido, por el que nuestros clientes pueden estar a salvo sabiendo que disponemos de un sistema fuerte y robusto."
Además, el mantenernos actualizados en los cambios que se producen en el negocio de servicios financieros, como las normativas de MasterCard y el Visa, es también un reto. Sin embargo, teniendo tanto la ISO 9001 como 27001 implantadas significa que su cumplimiento esta cubierto.
La implantación de ISO 27001 se facilitó con el apoyo de dirección y colaboración de gente clave dentro de cada departamento para tirar del proyecto hacia adelante.
Olivier Burrows comenta: "Teníamos 9001 implantado desde hacía unos años y el proceso comenzó con la adquisición de la gente clave de la parte alta del organigrama, para ayudar a conducir el proyecto por toda la empresa. Disponíamos por tanto de 'campeones' dentro de cada departamento que 'cogieron el toro por los cuernos' y lograron que cada sección estuviera dispuesta para la certificación, y así es como aún hoy desarrollamos el estándar.
27001 certifica únicamente el servicio postal y de impresión pero el estándar era utilizado por nuestro equipo de seguridad TI. Utilizamos el mismo proceso y, aunque debería haber requerido de 12 a 18 meses para conseguirlo, estamos contentos de decir que completamos el proyecto en 4 meses. Esto es el resultado de mucho trabajo duro por parte de todos los implicados."
La entidad de certificación en otorgar la certificación fue BSI y First Data se beneficia ahora de la producción de cheques para actuales y nuevos clientes atraídos por la certificación.
De cara al futuro Olivier Burrows comenta "ISO 27001 e ISO 9001 nos ayudarán a mantener nuestros clientes actuales, estimulándoles a mantener sus contratos. Es también nuestro punto de referencia para la mejora continua. Esperamos ganar más cuota de mercado en el futuro mediante clientes que no habían contratado los servicios de First Data anteriormente."
Información completa en: BSI Newsletter
Contenidos: Nuevo número de la revista auditoría y seguridad
20/November/2006
20/November/2006
Número 6 y último del año 2006 correspondiente a Noviembre-Diciembre, de la revista Auditoría y Seguridad.
El jueves 25 de enero de 2007 a las 7 de la tarde (un año después del lanzamiento de la revista) tendrá lugar en el Palacio de la Misión la Gran Fiesta DINTEL´2007 en la que se anuncirán importantes novedades, entre otras:
- La frecuencia de publicación pasará a ser mensual.
- La publicación del Boletín «El Faro de la Seguridad» con periodicidad semanal, como complemento de actualidad permanente de la propia Revista.
- El inicio de la publicación en papel desde Ecuador y para toda Iberoamérica de la edición iberoamericana de la revista.
La revista está disponible online en www.revista-ays.com
Visite nuestra sección de Boletines.
El jueves 25 de enero de 2007 a las 7 de la tarde (un año después del lanzamiento de la revista) tendrá lugar en el Palacio de la Misión la Gran Fiesta DINTEL´2007 en la que se anuncirán importantes novedades, entre otras:
- La frecuencia de publicación pasará a ser mensual.
- La publicación del Boletín «El Faro de la Seguridad» con periodicidad semanal, como complemento de actualidad permanente de la propia Revista.
- El inicio de la publicación en papel desde Ecuador y para toda Iberoamérica de la edición iberoamericana de la revista.
La revista está disponible online en www.revista-ays.com
Visite nuestra sección de Boletines.
Adare Group logra la acreditación en 4 estándares
20/November/2006
20/November/2006
Adare ha alcanzado cuatro prestigiosas certificaciones y la convierten en una de las primeras empresas del Reino Unido en ser registrada por BSI en un sistema de gestión integrado (IMS).
El excepcional logro tiene como resultado una única política que cubre calidad, medioambiente, salud y seguridad laboral, además de seguridad de la información. A partir de ahora se asegura que el proceso de revisión requerido por parte de la dirección cubre el sistema completo en vez de partes individuales.
Adare Lexicon había recibido ya el certificado de calidad según ISO 9001, de gestión medioambiental según ISO 14001, así como de salud y seguridad laboral según OHSAS 18001. Esto, unido a la satisfacción de criterios adicionales específicos, provocó la recompensa con el registro del IMS.
No obstante, la compañía fue un paso más lejos y se acreditó en ISO 27001 para la gestión de la seguridad de la información, convirtiéndola en una de las contadas compañías que disponen de todas estas acreditaciones bajo un único sistema de gestión integrado. Además del logro, Adare obtuvo este impresionante nivel en acreditación en menos de 10 meses.
Glyn Tomkins, responsable de calidad de Adare Lexicon comenta que "Adare ha sido registrada por BSI como un Sistema de Gestión Integrado, por el que las compañías tienen que cumplir con ciertos criterios además de los requisitos de los tres estándares individuales (ISO 9001, ISO 14001 e ISO 18001). Además, hemos integrado los requisitos de ISO 27001 dentro de las políticas y procedimientos, proporcionando a Adare un sistema completamente integrado."
"Ante todo, perseguimos ofrecer a los clientes el más alto nivel de servicio en cada punto de nuestra relación. Las acreditaciones son la prueba de que estamos midiendo y mantenemos consecuentemente estos niveles."
El tipo de acreditaciones significa que Adare puede ofrecer un ambiente completamente seguro a los clientes quienes, por contra, pueden confiar en que su información se almacena, imprime y disponible de la confidencialidad bajo los más duros regímenes.
Las acreditaciones también cubren salud y seguridad laboral, que se están convirtiendo en cada vez más importantes para las compañías que esperan que los suministradores demuestren que están protegiendo a su personal y proporcionan un entorno de trabajo seguro. Asimismo, muchas compañías Británicas animan a sus suministradores a salvaguardar el ambiente y animan el reciclaje donde sea posible, tal y cómo se reconoce por ISO 14001.
Dos compañías más de Adare también han alcanzado la acreditación en el reciente estándar ISO 27001, demostrando la importancia que la compañía pone en alcanzar lo más alto en cuestión de estándares. Adare Halcyon y el especialista en seguridad y soluciones de impresión, Kalamazoo Security Print, agregaron ISO 27001 a sus credenciales que ya incluían la certificación APACS Bank Giro Credit y la acreditación CPAS para la producción de giros y cheques.
Barry Crich, director de operaciones de Adare agrega: “que estas compañías ganen la acreditación en ISO 27001 tan rápidamente después de su introducción es un logro fantástico. Es muy positiva y un gratificación adicional el que también hayamos alcanzado el certificado en un Sistema de Gestión Integrado.
"Asegurar la impresión y los servicios de mensajería es una parte integral de las operaciones que realiza Adare y muchos de los sistemas y de los procedimientos requeridos para la certificación estaban ya establecidos con anterioridad. Muchos de los clientes de Adare son del sector de los servicios financieros, donde la seguridad de la información es extraordinaria. Los estándares cubren cada aspecto de la seguridad de la información, desde la contratación y uso del email, pasando por la producción y el almacenamiento de bienes y la seguridad física en el entorno."
"El proceso de aplicación implicó a todas las áreas del negocio y nuestro éxito refleja el duro trabajo y compromiso de cada uno para la mejora de los estándares y servicios en cada parte de la organización."
Más información en: Adare
El excepcional logro tiene como resultado una única política que cubre calidad, medioambiente, salud y seguridad laboral, además de seguridad de la información. A partir de ahora se asegura que el proceso de revisión requerido por parte de la dirección cubre el sistema completo en vez de partes individuales.
Adare Lexicon había recibido ya el certificado de calidad según ISO 9001, de gestión medioambiental según ISO 14001, así como de salud y seguridad laboral según OHSAS 18001. Esto, unido a la satisfacción de criterios adicionales específicos, provocó la recompensa con el registro del IMS.
No obstante, la compañía fue un paso más lejos y se acreditó en ISO 27001 para la gestión de la seguridad de la información, convirtiéndola en una de las contadas compañías que disponen de todas estas acreditaciones bajo un único sistema de gestión integrado. Además del logro, Adare obtuvo este impresionante nivel en acreditación en menos de 10 meses.
Glyn Tomkins, responsable de calidad de Adare Lexicon comenta que "Adare ha sido registrada por BSI como un Sistema de Gestión Integrado, por el que las compañías tienen que cumplir con ciertos criterios además de los requisitos de los tres estándares individuales (ISO 9001, ISO 14001 e ISO 18001). Además, hemos integrado los requisitos de ISO 27001 dentro de las políticas y procedimientos, proporcionando a Adare un sistema completamente integrado."
"Ante todo, perseguimos ofrecer a los clientes el más alto nivel de servicio en cada punto de nuestra relación. Las acreditaciones son la prueba de que estamos midiendo y mantenemos consecuentemente estos niveles."
El tipo de acreditaciones significa que Adare puede ofrecer un ambiente completamente seguro a los clientes quienes, por contra, pueden confiar en que su información se almacena, imprime y disponible de la confidencialidad bajo los más duros regímenes.
Las acreditaciones también cubren salud y seguridad laboral, que se están convirtiendo en cada vez más importantes para las compañías que esperan que los suministradores demuestren que están protegiendo a su personal y proporcionan un entorno de trabajo seguro. Asimismo, muchas compañías Británicas animan a sus suministradores a salvaguardar el ambiente y animan el reciclaje donde sea posible, tal y cómo se reconoce por ISO 14001.
Dos compañías más de Adare también han alcanzado la acreditación en el reciente estándar ISO 27001, demostrando la importancia que la compañía pone en alcanzar lo más alto en cuestión de estándares. Adare Halcyon y el especialista en seguridad y soluciones de impresión, Kalamazoo Security Print, agregaron ISO 27001 a sus credenciales que ya incluían la certificación APACS Bank Giro Credit y la acreditación CPAS para la producción de giros y cheques.
Barry Crich, director de operaciones de Adare agrega: “que estas compañías ganen la acreditación en ISO 27001 tan rápidamente después de su introducción es un logro fantástico. Es muy positiva y un gratificación adicional el que también hayamos alcanzado el certificado en un Sistema de Gestión Integrado.
"Asegurar la impresión y los servicios de mensajería es una parte integral de las operaciones que realiza Adare y muchos de los sistemas y de los procedimientos requeridos para la certificación estaban ya establecidos con anterioridad. Muchos de los clientes de Adare son del sector de los servicios financieros, donde la seguridad de la información es extraordinaria. Los estándares cubren cada aspecto de la seguridad de la información, desde la contratación y uso del email, pasando por la producción y el almacenamiento de bienes y la seguridad física en el entorno."
"El proceso de aplicación implicó a todas las áreas del negocio y nuestro éxito refleja el duro trabajo y compromiso de cada uno para la mejora de los estándares y servicios en cada parte de la organización."
Más información en: Adare
Alhambra-Eidos, empresa especializada en facilitar soluciones a las necesidades empresariales en el ámbito de las Tecnologías de la Información y las Comunicaciones, ha programado para la segunda semana de diciembre la primera certificación que ofrecerá la compañía en CHFI (Computer Hacking Forensic Investigator).
El curso, que comienza el 11 de diciembre, es una de las más innovadoras certificaciones ofrecidas en seguridad informática del mercado. Incluido dentro del programa de certificación de EC-Council trata de dar a conocer el proceso de detección de los ataques de los hackers y extraer las pruebas que llevarán al “crimen cibernético” tanto para conocer la autoría, como para intentar que no se vuelva a repetir.
ALHAMBRA-EIDOS cuenta con una amplia experiencia ofreciendo soluciones DRP (Disaster Recovery Plan) a las organizaciones y se convirtió el pasado mes de Septiembre en centro de certificación en seguridad de la mano de EC-COUNCIL.
Las sesiones CHFI tienen una duración de cinco días, en jornada completa de lunes a jueves y el viernes en horario de mañana. Además se incluye el examen de certificación que hay que superar.
La inscripción al curso finaliza cinco días antes de la fecha de inicio y se impartirá en las aulas de Alhambra-Eidos (C/ Albasanz, 16).
Más información en el teléfono 902 313 505 o en la propia Web de Alhambra-Eidos
El curso, que comienza el 11 de diciembre, es una de las más innovadoras certificaciones ofrecidas en seguridad informática del mercado. Incluido dentro del programa de certificación de EC-Council trata de dar a conocer el proceso de detección de los ataques de los hackers y extraer las pruebas que llevarán al “crimen cibernético” tanto para conocer la autoría, como para intentar que no se vuelva a repetir.
ALHAMBRA-EIDOS cuenta con una amplia experiencia ofreciendo soluciones DRP (Disaster Recovery Plan) a las organizaciones y se convirtió el pasado mes de Septiembre en centro de certificación en seguridad de la mano de EC-COUNCIL.
Las sesiones CHFI tienen una duración de cinco días, en jornada completa de lunes a jueves y el viernes en horario de mañana. Además se incluye el examen de certificación que hay que superar.
La inscripción al curso finaliza cinco días antes de la fecha de inicio y se impartirá en las aulas de Alhambra-Eidos (C/ Albasanz, 16).
Más información en el teléfono 902 313 505 o en la propia Web de Alhambra-Eidos
Homologación QSA de VISA a S21Sec
20/November/2006
20/November/2006
S21SEC ha recibido la homologación por parte de VISA como Qualified Security Assessors (QSA), convirtiéndose en la única empresa española homologada por VISA para llevar a cabo las auditorías in situ requeridas por el estándar de seguridad promovido por la industria, denominado, Payment Card Industry (PCI) - Data Security Standard.Adicionalmente, S21sec ha conseguido en el presente año los tres certificados que reconoce la Asociación Española de Normalización y Certificación (AENOR) a la gestión de la Seguridad en base a la norma UNE 71502:2004, gestión de la Calidad según la norma UNE-EN ISO 9001:2000 y gestión de I+D+i en base a la norma UNE 166002: 2006.
Más información sobre el estándar y autorización de partners en: PCI Security Standards
Una de las bases sobre las que se sustentan las relaciones humanas es la confianza. Jamás se hace firmar a una persona un documento que la comprometa a ser buena amiga y manejar con mucha confidencialidad la información que se le revele. Ni siquiera a una pareja; en su caso, se limita más bien a la firma de un contrato matrimonial que nada tiene que ver con el uso correcto de la información.En el plano laboral las cosas son muy distintas, o al menos deberían serlo. Las empresas no sólo están protegiendo sus activos intangibles –como datos, propiedad intelectual y secretos industriales– contra los ojos espías de hackers y rivales, están tomando también medidas para que sus propios empleados no divulguen éstos de forma intencional o accidental.
No pueden limitarse sólo a lo que venga de fuera. Pero implementar mecanismos de defensa contra ataques internos no basta: la educación de los empleados debe convertirse en una tarea permanente. De nada sirve hacerles leer un manual, una lista de políticas y firmar una carta responsiva si no se reafirma el mensaje constantemente.
Artículo completo de Norberto Gaona Vásquez en: Bsecure
Una de las principales preocupaciones de la gente de seguridad informática es mantenerse al día. Los libros son una opción pero tardan aproximadamente un año en estar disponibles. Es decir, el tiempo que transcurre entre el momento en que el autor lo escribió y que el libro se encuentra disponible para el lector, es de un año. No es necesario comentar todo lo que pudo cambiar en ese lapso.
Una opción para mantenerse al día es subscribirse a una lista de interés en seguridad informática. Sin embargo el área de seguridad informática abarca muchas tecnologías e intereses diferentes. En la página de insecure, donde se encuentra la lista de las 100 herramientas más populares, dan a conocer un listado sobre listas de seguridad informática. La mayor parte de ellas es manejada por la gente de la página de Security Focus...
Artículo completo de Roberto Gómez en: Bsecure
Manual Básico de Cateo y Aseguramiento de Evidencia Digital
20/November/2006
20/November/2006
El presente manual tiene por objeto servir como una breve guía de las acciones y mecanismos mínimos a aplicar para el cateo o aseguramiento de los equipos electrónicos para que se pueda utilizar la evidencia digital durante la averiguación previa y descubrir o formar los elementos del delito o descubrir la identidad del sujeto activo, y luego, en su caso aportar la misma al proceso penal a fin de poder obtener la condena del mismo
Trabajo de Gabriel Andres Campoli disponible en: Alfa-Redi
Trabajo de Gabriel Andres Campoli disponible en: Alfa-Redi
Masters en Seguridad Informática y Auditoría
20/November/2006
20/November/2006
El próximo 23 de Noviembre, a las 19:00, tendrá lugar en el Instituto de Ingeniería de España (c/ General Arrando, 38. Madrid) la sesión informativa correspondiente a la VI edición de los Masters en Seguridad Informática y en Auditoría Informática. Estos masters están organizados por ALI (Asociación de Ingenieros e Ingenieros Técnicos en Informática) y su titulación está otorgada por la Universidad Politécnica de Madrid.
Es necesario confirmar la asistencia en secretec@ali.es o mediante contacto teléfono en +34 91 523 86 20
Información e incripciones disponibles en: Masters ALI
Mejora continua de un SGSI segun ISO 27001
20/November/2006
20/November/2006
Uno de los mejores aportes que nos brindan los estándares de gestión es el concepto de mejora continua. La mejora continua es el motor impulsor de cualquier sistema de gestión, incluyéndose, como no, los Sistemas de Gestión de Seguridad de la Información (SGSI).
La mejora de nuestro SGSI viene recogida en todo el Capítulo 8 de ISO 27001:2005. Incluye como apartados: 8.1 ‘Mejora continua’, 8.2 ‘Acción correctiva’ y 8.3 ‘Acción preventiva’.
José Manuel Fernández hace un detallado e interesante repaso en su blog a la mejora continua de un SGSI según ISO 27001 y en línea con el recientemente publicado sobre auditoría interna de un SGSI según ISO 27001.
La mejora de nuestro SGSI viene recogida en todo el Capítulo 8 de ISO 27001:2005. Incluye como apartados: 8.1 ‘Mejora continua’, 8.2 ‘Acción correctiva’ y 8.3 ‘Acción preventiva’.
José Manuel Fernández hace un detallado e interesante repaso en su blog a la mejora continua de un SGSI según ISO 27001 y en línea con el recientemente publicado sobre auditoría interna de un SGSI según ISO 27001.
Estrategia en Seguridad
20/November/2006
20/November/2006
La estrategia de seguridad debe ser definida en función de la estrategia de negocio de la empresa y decidirse antes de la realización del análisis de riesgo o la implantación de cualquier contramedida (aparte de las reactivas, por supuesto). Como reconoce el estándar internacional ISO 17799:2005, " la estrategia global de negocio de la organización y los objetivos están identificados como una de las fuentes para la definición de los requisitos de seguridad, junto a las exigencias legales y operacionales."
Desde el punto de vista del negocio, la seguridad es un coste y por tanto, debe ser añadido a aquellos costes incluidos en la cadena de valor de los productos o servicios suministrados por la organización. Cada dólar añadido a los costes de un producto o servicio debe ser percibido por el cliente como diferenciador, es decir, el cliente debe estar dispuesto a pagar el dinero extra por disponer de ese nivel de seguridad o sino la empresa perderá ventaja competitiva.
Artículo completo en: Blog Radajo (RAul, DAvid and JOrge Security Blog)
Garantizando la seguridad de la información
20/November/2006
20/November/2006
No existe bala de plata para garantizar la seguridad de la información, por tanto, debemos atacar el problema con munición de cartuchos.
Síntoma de este enfoque es la variedad de esquemas y certificaciones utilizadas para proporcionar garantías en puntos diferentes del sistema.
Este artículo habla de los distintos marcos disponibles y más frecuentemente utilizados en EE UU, que ofrecen certificación de alguna tipo y son relevantes para el sector comercial. Sin embargo, existen muchos otros excelentes esquemas aparte de los mencionados. Por favor tenga en cuenta, que la discusión es en general y los ejemplos específicos escogidos ilustran la taxonomía de la seguridad de la información en la actualidad.
Artículo publicado en: Information Storage+Security Journal
Síntoma de este enfoque es la variedad de esquemas y certificaciones utilizadas para proporcionar garantías en puntos diferentes del sistema.
Este artículo habla de los distintos marcos disponibles y más frecuentemente utilizados en EE UU, que ofrecen certificación de alguna tipo y son relevantes para el sector comercial. Sin embargo, existen muchos otros excelentes esquemas aparte de los mencionados. Por favor tenga en cuenta, que la discusión es en general y los ejemplos específicos escogidos ilustran la taxonomía de la seguridad de la información en la actualidad.
Artículo publicado en: Information Storage+Security Journal
Creando negocio mediante la confianza virtual
20/November/2006
20/November/2006
Kenneth F. Belva y Sam H. DeKay reflexionan sobre cómo obtener y mantener ventajas competitivas mediante la seguridad de la información.
El documento que contiene el texto completo del trabajo está precedido de una entrevista (parte I) a modo de introducción y sumario de los conceptos utilizados en el trabajo y la "Confianza Virtual".
El documento desarrolla una perspectiva que actualmente existe pero que está en gran parte inactiva dentro del campo de la seguridad de la información. Los autores mantienen que la seguridad de la información puede estar activamente implicada en la creación de negocio y que las habilidades requeridas para crear actividad comercial deben añadirse al perfil de los profesionales en seguridad.
También presentan pruebas en base a casos reales (con el de la compañía Apple entre otros) para demostrar la capacidad de la seguridad para crear negocio, mediante lo que designan por el término "confianza virtual ", como paradigma dominante en el futuro en el que pensar en relación a la seguridad de la información.
Descarga del documento en PDF: Infosecwriters
El documento que contiene el texto completo del trabajo está precedido de una entrevista (parte I) a modo de introducción y sumario de los conceptos utilizados en el trabajo y la "Confianza Virtual".
El documento desarrolla una perspectiva que actualmente existe pero que está en gran parte inactiva dentro del campo de la seguridad de la información. Los autores mantienen que la seguridad de la información puede estar activamente implicada en la creación de negocio y que las habilidades requeridas para crear actividad comercial deben añadirse al perfil de los profesionales en seguridad.
También presentan pruebas en base a casos reales (con el de la compañía Apple entre otros) para demostrar la capacidad de la seguridad para crear negocio, mediante lo que designan por el término "confianza virtual ", como paradigma dominante en el futuro en el que pensar en relación a la seguridad de la información.
Descarga del documento en PDF: Infosecwriters
The NebraskaCERT Conference
20/November/2006
20/November/2006
El pasado mes de Agosto tuvo lugar en Nebraska la conferencia CERT del 2006 sobre la seguridad y protección de la información. Se trataron diversos temas como la auditoría Linux, el ataque y defensa de servicios Web, Cobit, técnicas forenses, Google Hacking, autorización y autenticación en Outsourcing, Seguridad en Windows Vista, entre otros.De entre la abundante selección de presentaciones disponibles destacamos en relación a ISO 27001:
- Information Risk
- The Information Security Management Process Based on ISO 27001
- The Pursuit of ISO 27001 Certifications
- How to perform a Security Risk Assessment Like a Professional
Acceso a todas las presentaciones en: Certconf Nebraska
En Asturias, se ha creado la empresa SIGEA (Sistemas de Gestión Avanzados), especializada en implantación y auditoría de SGSIs. Surge como alianza de tres empresas activas ya en diversos campos relacionados con los sistemas de gestión de seguridad de la información.
Innova aporta a SIGEA su experiencia y metodología en el campo de la normativa y los sistemas de gestión y calidad.
Contein XXI, certificada en UNE 71502, se encarga de la división de Seguridad Informática y del desarrollo y soporte de la aplicación GxSGSI, una herramienta de gestión de Análisis de Riesgos.
Legal Protect, certificada en UNE 71502, aporta su experiencia en el campo de la protección de datos, propiedad intelectual e industrial y la adaptación al resto de la normativa legal vigente que caiga dentro del ámbito de la conformidad exigida por la norma.
Más información en: SIGEA
Innova aporta a SIGEA su experiencia y metodología en el campo de la normativa y los sistemas de gestión y calidad.
Contein XXI, certificada en UNE 71502, se encarga de la división de Seguridad Informática y del desarrollo y soporte de la aplicación GxSGSI, una herramienta de gestión de Análisis de Riesgos.
Legal Protect, certificada en UNE 71502, aporta su experiencia en el campo de la protección de datos, propiedad intelectual e industrial y la adaptación al resto de la normativa legal vigente que caiga dentro del ámbito de la conformidad exigida por la norma.
Más información en: SIGEA
SIGEA presenta "GxSGSI", un software de análisis de riesgos
15/November/2006
15/November/2006
SIGEA, empresa formada por la alianza de Innova, Legal Protect y Contein XXI, ha presentado en la edición del SIMO recién celebrada, un software de análisis de riesgos de seguridad de la información llamado GxSGSI, orientado a ISO 27001 y UNE 71502, desarrollado a medida por su equipo de profesionales y utilizado para la implantación de sus propios sistemas de gestión de seguridad de la información.
El programa, en su versión básica, incorpora módulos que permiten realizar de manera fácil e intuitiva cualquiera de las tareas incluidas en los siguientes módulos:
- Inventario de Activos
- Árbol de Dependencias de Activos
- Definición y Valoración de Amenazas
- Establecimiento y Cuantificación de Vulnerabilidades
- Análisis de Impactos
- Cálculos de Riesgo Intrínseco
- Documento de Selección de Controles
- Establecimiento y medición de contramedidas
- Análisis de Riesgo Residual
- Inventario de Soportes
- Gestión de Incidencias
Adicionalmente, incorpora una selección de informes que permiten dar cumplimiento a los requerimientos de las normas anteriormente citadas.
En su versión avanzada, GxSGSI incluye además un componente de simulación de fallos, mediante el cual puede generar, de manera ficticia, un fallo en cualquiera de los equipos del sistema de información con el fin de analizar las amenazas y vulnerabilidades que lo afectan o podrían afectar y detectar el número y coste de las contramedidas necesarias.
Más información y presentación del programa en: SIGEA
El programa, en su versión básica, incorpora módulos que permiten realizar de manera fácil e intuitiva cualquiera de las tareas incluidas en los siguientes módulos:
- Inventario de Activos
- Árbol de Dependencias de Activos
- Definición y Valoración de Amenazas
- Establecimiento y Cuantificación de Vulnerabilidades
- Análisis de Impactos
- Cálculos de Riesgo Intrínseco
- Documento de Selección de Controles
- Establecimiento y medición de contramedidas
- Análisis de Riesgo Residual
- Inventario de Soportes
- Gestión de Incidencias
Adicionalmente, incorpora una selección de informes que permiten dar cumplimiento a los requerimientos de las normas anteriormente citadas.
En su versión avanzada, GxSGSI incluye además un componente de simulación de fallos, mediante el cual puede generar, de manera ficticia, un fallo en cualquiera de los equipos del sistema de información con el fin de analizar las amenazas y vulnerabilidades que lo afectan o podrían afectar y detectar el número y coste de las contramedidas necesarias.
Más información y presentación del programa en: SIGEA
Auditoría interna de un SGSI
15/November/2006
15/November/2006
José Manuel Fernández hace un interesante repaso en su blog al tema de auditoría interna de un SGSI según ISO 27001.
El pasado 6 de Noviembre, ISACA envió un e-mail a todos sus asociados anunciando la publicación de la segunda edición del documento "IT Control Objectives for Sarbanes-Oxley" del IT Governance Institute.
Este documento de 128 páginas, escrito con el rigor habitual de ISACA y el IT Governance Institute, aporta información sobre el papel de las tecnologías de la información en el diseño e implantación de controles internos sobre el reporte financiero de las organizaciones.
Con respecto a la versión anterior, de 2004 (que ha sido descargada más de 250.000 veces), introduce bastantes novedades, fruto de las lecciones aprendidas en estos años en la implantación de Sarbanes-Oxley. Uno de los aspectos que más ha evolucionado en este tiempo es la constatación de que es necesario un enfoque basado en el análisis de riesgos, para garantizar que se presta la suficiente atención a las áreas de mayor riesgo.
El documento, en inglés, puede descargarse en PDF gratuitamente de: ISACA.
Este documento de 128 páginas, escrito con el rigor habitual de ISACA y el IT Governance Institute, aporta información sobre el papel de las tecnologías de la información en el diseño e implantación de controles internos sobre el reporte financiero de las organizaciones.
Con respecto a la versión anterior, de 2004 (que ha sido descargada más de 250.000 veces), introduce bastantes novedades, fruto de las lecciones aprendidas en estos años en la implantación de Sarbanes-Oxley. Uno de los aspectos que más ha evolucionado en este tiempo es la constatación de que es necesario un enfoque basado en el análisis de riesgos, para garantizar que se presta la suficiente atención a las áreas de mayor riesgo.
El documento, en inglés, puede descargarse en PDF gratuitamente de: ISACA.
Curso de auditor de ISO 27001 en Bogotá (Colombia)
15/November/2006
15/November/2006
La empresa ETEK ofrece en colaboración con BSI (British Standards Institution) un curso de 36 horas de auditor de sistemas de gestión de seguridad de la información según ISO 27001 en Bogotá del 27 al 30 de Noviembre.
Para más información e inscripciones: ETEK.
Para más información e inscripciones: ETEK.
ENISA (European Network and Information Security Agency) ha publicado un extenso informe sobre las diferentes iniciativas de concienciación y sensibilización en seguridad de la información que hay en la Unión Europea, además de incluir recomendaciones de buenas prácticas, guías de cómo acometer campañas de concienciación e información sobre indicadores de gestión (KPI).
Para más información y descarga del informe: ENISA.
Para más información y descarga del informe: ENISA.
En su boletín informativo de Octubre, la empresa peruana Eficiencia Gerencial publica un artículo con referencias de paquetes de software específicos para la gestión de continuidad de negocio.
Además, incluye los artículos:
Comité BASILEA publica el Lineamiento de Gobierno Corporativo para Organizaciones Bancarias.
Principios de Alto Nivel para Business Continuity (Joint Forum - BASILEA II).
Disponible en: eficienciagerencial.com.
Además, incluye los artículos:
Comité BASILEA publica el Lineamiento de Gobierno Corporativo para Organizaciones Bancarias.
Principios de Alto Nivel para Business Continuity (Joint Forum - BASILEA II).
Disponible en: eficienciagerencial.com.
Cursos de seguridad de la información en Mondragón (Euskadi)
14/November/2006
14/November/2006
La Universidad de Mondragón tiene programados para 2007 un curso avanzado en seguridad informática de 120 horas y una versión extendida de experto en seguridad informática de 250 horas.
El primero se desarrolla del 30 de Enero al 17 de Abril, los martes y jueves de 8:00 a 14:00, con un coste de 1.950 euros y, el segundo, del 30 de Enero al 7 de Junio, los martes y jueves de 8:00 a 14:00, con un coste de 2.700 euros.
Más información en: Curso avanzado y Curso experto
El primero se desarrolla del 30 de Enero al 17 de Abril, los martes y jueves de 8:00 a 14:00, con un coste de 1.950 euros y, el segundo, del 30 de Enero al 7 de Junio, los martes y jueves de 8:00 a 14:00, con un coste de 2.700 euros.
Más información en: Curso avanzado y Curso experto
Manual de seguridad de la información
14/November/2006
14/November/2006
Gary Hinson hace referencia a un manual publicado en tres tomos sobre seguridad de la información.
El libro, de 3.366 páginas en total, publicado a finales de 2005 en la editorial Wiley por Hossein Bidgoli y disponible, p. ej., en Amazon o Wiley, cubre los siguientes temas:
Part 1: Key Concepts and Applications Related to Information Security
* Internet Basics
* Digital Economy
* Online Retail Banking: Security Concerns, Breaches , and Controls
* E-Mail and Instant Messaging
* Internet Relay Chat
* Online Communities
* Groupware: Risks, Threats, and Vulnerabilities In The Internet Age
* Search Engines: Security, Privacy, and Ethical Issues
* Web Services
* Electronic Commerce
* EDI Security
* Electronic Payment Systems
* Intranets: Principles, Privacy, and Security Considerations
* Extranets: Applications. Development, Security, and Privacy
* Business-to-Business Electronic Commerce
* Click-and-Brick Electronic Commerce
* Mobile Commerce
* E-Education and Information Privacy and Security
* Security in E-Learning
* E-Government
* E-Government Security Issues and Measures
* International Security Issues of E-Government
Part 2: Infrastructure for the Internet, Computer Networks, and Secure Information Transfer
* Conducted Communication Media
* Routers and Switches
* Radio Frequency and Wireless Communications Security
* Wireless Channels
* Security in Circuit, Message, and Packet Switching
* Digital Communication
* Local Area Networks
* Wide Area and Metropolitan Area Networks
* Home Area Networking
* Public Network Technologies and Security
* Client/Server Computing: Principles and Security Considerations
* Peer-to-Peer Security
* Security Middleware
* Internet Architecture
* TCP/IP Suite
* Voice-over Internet Protocol (VoIP)
* Security and Web Quality of Service
* Mobile Devices and Protocols
* Bluetooth Technology
* Wireless Local Area Networks
* Security in Wireless Sensor Networks
* Cellular Networks
* Mobile IP
* IP Multicast and Its Security
* TCP over Wireless Networks
* Air Interface Requirements for Mobile Data Services
* Wireless Internet: A cellular Perspective
* Security of Satellite Networks
* Ad Hoc Network Security
Part 3: Standards and Protocols for Secure Information Transfer
* Standards for Product Security Assessment
* Digital Certificates
* Internet E-Mail Architecture
* PKI (Public Key Infrastructure)
* S/MIME (Secure MIME)
* PGP (Pretty Good Privacy)
* SMTP (Simple Mail Transfer Protocol)
* Internet Security Standards
* Kerberos
* IPsec: AH and ESP
* IPsec: IKE (Internet Key Exchange)
* Secure Sockets Layer (SSL)
* PKCS (Public Key Cryptography Standards
* Public Key Standards: Secure Shell
* Security and the Wireless Application Protocol
* Wireless Network Standards and Protocol (802.11)
* P3P (Platform for Privacy Preferences Project
El libro, de 3.366 páginas en total, publicado a finales de 2005 en la editorial Wiley por Hossein Bidgoli y disponible, p. ej., en Amazon o Wiley, cubre los siguientes temas:
Part 1: Key Concepts and Applications Related to Information Security
* Internet Basics
* Digital Economy
* Online Retail Banking: Security Concerns, Breaches , and Controls
* E-Mail and Instant Messaging
* Internet Relay Chat
* Online Communities
* Groupware: Risks, Threats, and Vulnerabilities In The Internet Age
* Search Engines: Security, Privacy, and Ethical Issues
* Web Services
* Electronic Commerce
* EDI Security
* Electronic Payment Systems
* Intranets: Principles, Privacy, and Security Considerations
* Extranets: Applications. Development, Security, and Privacy
* Business-to-Business Electronic Commerce
* Click-and-Brick Electronic Commerce
* Mobile Commerce
* E-Education and Information Privacy and Security
* Security in E-Learning
* E-Government
* E-Government Security Issues and Measures
* International Security Issues of E-Government
Part 2: Infrastructure for the Internet, Computer Networks, and Secure Information Transfer
* Conducted Communication Media
* Routers and Switches
* Radio Frequency and Wireless Communications Security
* Wireless Channels
* Security in Circuit, Message, and Packet Switching
* Digital Communication
* Local Area Networks
* Wide Area and Metropolitan Area Networks
* Home Area Networking
* Public Network Technologies and Security
* Client/Server Computing: Principles and Security Considerations
* Peer-to-Peer Security
* Security Middleware
* Internet Architecture
* TCP/IP Suite
* Voice-over Internet Protocol (VoIP)
* Security and Web Quality of Service
* Mobile Devices and Protocols
* Bluetooth Technology
* Wireless Local Area Networks
* Security in Wireless Sensor Networks
* Cellular Networks
* Mobile IP
* IP Multicast and Its Security
* TCP over Wireless Networks
* Air Interface Requirements for Mobile Data Services
* Wireless Internet: A cellular Perspective
* Security of Satellite Networks
* Ad Hoc Network Security
Part 3: Standards and Protocols for Secure Information Transfer
* Standards for Product Security Assessment
* Digital Certificates
* Internet E-Mail Architecture
* PKI (Public Key Infrastructure)
* S/MIME (Secure MIME)
* PGP (Pretty Good Privacy)
* SMTP (Simple Mail Transfer Protocol)
* Internet Security Standards
* Kerberos
* IPsec: AH and ESP
* IPsec: IKE (Internet Key Exchange)
* Secure Sockets Layer (SSL)
* PKCS (Public Key Cryptography Standards
* Public Key Standards: Secure Shell
* Security and the Wireless Application Protocol
* Wireless Network Standards and Protocol (802.11)
* P3P (Platform for Privacy Preferences Project
Del 5 al 7 de Diciembre, BSI (British Standards Institution) ofrece en Londres un seminario de introducción al nuevo estándar
BS 25999 "Code of Practice for Business Continuity Management". Tendrán lugar diversas ponencias, casos de estudio y workshops prácticos.
Para más información e inscripciones: BSI.
Para más información e inscripciones: BSI.
Endava, compañía de servicios sofware que actua en los sectores de finanzas, tecnología, medios de comunicación y telecomunicaciones, se ha convertido en la primera compañía de la República de Moldova certificada en ISO/IEC 27001:2005. El Sistema de Gestión de la Seguridad de la Información (SGSI) fue puesto en ejecución en base al marco existente de sistema de gestión de la calidad, reutilizando las mejores prácticas de la compañía para aplicar otras nuevas en relación a la seguridad de la información..
Noticia completa en: Businessstandards.
Pirean, proveedor lider en servicios TI predica con el ejemplo
06/November/2006
06/November/2006
Pirean, uno de los principales proveedores de servicios TI del Reino Unido ha probado a sus clientes potenciales que predica con el ejemplo, alcanzando la certificación a ISO/IEC 27001 para la gestión de la seguridad de la información, ISO 9001 para la gestión de la calidad y BS 15000 para la gestión de los servicios TI.
Con base en Fareham, Hampshire, Reino Unido, la compañía se ocupa de soluciones de outsourcing, consultoría, formación e implantación de soluciones de diseño, reparación, e-business y de empresa.
Noticia completa en: Businessstandards.
Contenidos: Nueva edición de Enisa
06/November/2006
06/November/2006
European Network and Information Security Agency pone también a disposición su último número trimestral con interesantes contenidos sobre temas de normativas y seguridad.
Los contenidos de este número son:
* Good Practices for Managing Emerging Vulnerabilities
* On Exploiting a File Sharing System for DDoS Attacks
* Fasten Your Seatbelts, Please!
* Study on Security and Antispam Measures
* ENISA Workshop on Risk Management
* Online Inventory of Methods and Tools for Risk Assessment and Risk Management
* ISSE2006
* Europe Meets to Raise Information Security Awareness
* ‘CERTS in Europe’
* Information Security Awareness Programmes in th EU
* The Need for a Clear and Coherent Information Policy Framework in Europe
* Germany’s Federal Government Software Strategy and Aspects of OSS
* Reducing the Negative Impact of Security Incidents (Lithuania)
* Lessons Learned from Risk Analysis in National Networks (The Netherlands)
* Information Security Certification Workshop
* ENISA Workshop on Authentication Methods
Descarga disponible en formato PDF: Enisa
Visite nuestra sección de Boletines.
Los contenidos de este número son:
* Good Practices for Managing Emerging Vulnerabilities
* On Exploiting a File Sharing System for DDoS Attacks
* Fasten Your Seatbelts, Please!
* Study on Security and Antispam Measures
* ENISA Workshop on Risk Management
* Online Inventory of Methods and Tools for Risk Assessment and Risk Management
* ISSE2006
* Europe Meets to Raise Information Security Awareness
* ‘CERTS in Europe’
* Information Security Awareness Programmes in th EU
* The Need for a Clear and Coherent Information Policy Framework in Europe
* Germany’s Federal Government Software Strategy and Aspects of OSS
* Reducing the Negative Impact of Security Incidents (Lithuania)
* Lessons Learned from Risk Analysis in National Networks (The Netherlands)
* Information Security Certification Workshop
* ENISA Workshop on Authentication Methods
Descarga disponible en formato PDF: Enisa
Visite nuestra sección de Boletines.
Contenidos: Nueva edición "Business Standards"
06/November/2006
06/November/2006
Revista trimestral en inglés publicada por BSI (British Standards Institution) con novedades sobre los estándares.
Visite nuestra sección de Boletines.
Visite nuestra sección de Boletines.
Expo 2007 de Gestión del Riesgo: Continuidad de negocio
06/November/2006
06/November/2006
Del 28 al 29 de Marzo en Excel, Docklands, Londres (Reino Unido).
La exposición muestra soluciones y los productos prácticos mientras que explora en las mejores prácticas, estándares y estrategias que permiten a una organización proteger sus activos vitales, atenuar riesgo, manejar situaciones crisis y recuperarse después de un desastre.
Información sobre la Expo de 2007 en Business Continuity Expo 2007.
Presentaciones sobre la pasada Expo de 2006 en PDF Business Continuity Expo 2006.
Reducir los riesgos de pérdida o robo de datos
06/November/2006
06/November/2006
El estrago de la pérdida de datos sensibles y el coste que supone si se pierde o roba puede suceder en cualquier momento. En este webcast, expertos de la industria comparten las mejores maneras de prevenir esta amenaza. Opininiones sobre tendencias y recomendaciones para la protección de la confindencialidad del cliente y reducción de los costes.
Webcast de PGP Company
Webcast de PGP Company
Un aumento en el acceso desautorizado a datos sensibles y pérdida de ficheros de datos de los consumidores está costando un peaje en la confianza del consumidor en las transacciones electrónicas. Aprenda por qué las compañías pierden efectividad en los canales de comunicaciones electrónicas a menos que se tomen medidas rápidamente para realzar la seguridad.
Podcast descargable en MP3 de Gartner
Podcast descargable en MP3 de Gartner
El robo de propiedad virtual en redes informáticas, (parte I)
06/November/2006
06/November/2006
Los ordenadores se han convertido en parte indispensable de nuestra vida cotidiana en tal grado, que el número de usuarios y organizaciones que recurren a ellos para guardar su propiedad virtual no cesa de incrementarse. Mientras la mayoría de nosotros nos preocupamos por nuestra propiedad tangible, tendemos a ser menos cuidadosos con nuestra propiedad virtual.
La mayoría de los usuarios cree que nadie se interesa en ellos, que no hay nada en sus ordenadores que pueda ser de valor para los delincuentes cibernéticos y que los programas maliciosos ni se fijarán en ellos. Consideremos este asunto desde otro punto de vista, el de los cibernautas delincuentes.
Artículo completo en español de Yury Mashevsky para Viruslist.com
La mayoría de los usuarios cree que nadie se interesa en ellos, que no hay nada en sus ordenadores que pueda ser de valor para los delincuentes cibernéticos y que los programas maliciosos ni se fijarán en ellos. Consideremos este asunto desde otro punto de vista, el de los cibernautas delincuentes.
- Robo
- Estafas
- Extorsión
- Consejos para evitar ser víctima de los delincuentes cibernéticos
- Conclusiones
Artículo completo en español de Yury Mashevsky para Viruslist.com
Seminario gratuito ISO 20000, ITIL
06/November/2006
06/November/2006
La creciente demanda del mercado de servicios TI de calidad hará que crezca el interés estratégico de las organizaciones en certificar su Sistema de Gestión de Servicios TI.
Applus+ y New Horizons organizan el próximo 23 de Noviembre en Madrid un seminario gratuito para los profesionales de los sectores financiero, telecomunicaciones y administración pública.
Se desarrollarán los siguientes contenidos:
1. Introducción a la calidad de la Gestión de los servicios TI.
2. El soporte de la ISO 20000: ITIL
3. Comparativa ISO 20000 / ISO 9001
4. Certificación individual y empresa
5. Beneficios para la empresa y mercado actual
Lugar de celebración:
New Horizons Madrid, 91 417 6417
Plaza Carlos Trías Bertrán, 7, Planta 1ª
Edificio "Sollube" (AZCA), 28020 Madrid
Inscripción y contacto: luis.hogrefe@nhmadrid.com
Applus+ y New Horizons organizan el próximo 23 de Noviembre en Madrid un seminario gratuito para los profesionales de los sectores financiero, telecomunicaciones y administración pública.
Se desarrollarán los siguientes contenidos:
1. Introducción a la calidad de la Gestión de los servicios TI.
2. El soporte de la ISO 20000: ITIL
3. Comparativa ISO 20000 / ISO 9001
4. Certificación individual y empresa
5. Beneficios para la empresa y mercado actual
Lugar de celebración:
New Horizons Madrid, 91 417 6417
Plaza Carlos Trías Bertrán, 7, Planta 1ª
Edificio "Sollube" (AZCA), 28020 Madrid
Inscripción y contacto: luis.hogrefe@nhmadrid.com
Los días 29 y 30 de noviembre de 2006 se celebrará en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT de la Universidad Politécnica de Madrid, el Primer Congreso de la Cátedra UPM-Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI y el Día Internacional de la Seguridad de la Información DISI. Organizan la EUITT, Applus+ y la UPM, bajo el patrocinio de la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones ASIMELEC, AFINA, el Centro Criptológico Nacional CCN y Red Seguridad, y con la colaboración de la Asociación de Técnicos de Informática ATI, la Information Systems Security Association ISSA, la Asociación de Ingenieros en Informática AI2, Hispasec Sistemas y hakin9.
El miércoles 29 y la mañana del jueves 30, congreso CAPSDESI. El jueves 30 por la tarde, Día Internacional de la Seguridad de la Información DISI.
El costo de la inscripción a todo el evento es de 350 Euros, vía Asimelec.
La inscripción a DISI totalmente gratuita se deberá realizar a través de la cátedra Capsdesi.
Programa completo disponible en formato PDF: Capsdesi
Infosecurity Europe: Eventos para el próximo 2007
06/November/2006
06/November/2006
Infosecurity es el eventos nº 1 en Europa, dedicados a la SEGURIDAD y el ALMACENAMIENTO de la INFORMACIÓN para Pymes, Grandes Empresas y Administraciones Públicas.
Fiel a un concepto que es un éxito en Europa, Infosecurity es el punto de encuentro más enfocado para los profesionales de la Seguridad y la Integridad de la información.
Las próximas citas y lugares de celebración:
Francia.
India.
Italia.
España.
Bélgica.
Reino Unido.
Fiel a un concepto que es un éxito en Europa, Infosecurity es el punto de encuentro más enfocado para los profesionales de la Seguridad y la Integridad de la información.
Las próximas citas y lugares de celebración:
Francia.
India.
Italia.
España.
Bélgica.
Reino Unido.
Secure Paris 2007: Conferencia de seguridad de (ISC)²
06/November/2006
06/November/2006
El próximo 1 de Febrero se celebrará en La Maison des Arts et Métiers, 9 bis, avenue d'Iéna Paris, 75116, France "Secure Paris 2007" con los siguientes sesiones programadas:
| Keynote Address: Security Professionalism S1: Cybercrime Part 1: Legal Aspect in France S1: Cybercrime Part 2: Police Perspective S1: Cybercrime Part 3: Legal Procedures of Computer and Network  Misuse in EU Countries Cybercrime Discussion S2: ISO 27001- A Standard you will Have to Deal With S3: Governance and Information Security Round Table Part 1 S3: Governance and Information Security Round Table Part 2 S3: Governance and Information Security Round Table Part 3 Governance and Information Security Round Table Discussion S4: Biometry: State of Art S5: Business Continuity Planning (BCP) Exercise Methodologies, Planning and Lessons Learned S6: The Centennial Flood in Paris - Anticipating and Taking Actions for Disasters |
Un cliente probablemente perdonará a una empresa la primera vez que una violación de la seguridad de los datos ocurra y alguna información personal del cliente sea puesta en peligro. Pero si la violación proviene de manos de un tercero que trabaja para la empresa original, los clientes probablemente estarán menos dispuestos a perdonar y se largarán a otra empresa para sus productos y servicios.
Estas son algunas de las conclusiones del informe "Estudio 2006 sobre el coste de la fuga de datos" comunicado recientemente por el Instituto Ponemon LLC, firma que se preocupa por las prácticas en gestión de la privacidad de la información en los negocios y el gobierno.
"Resulta que uno de los costes principales es la pérdida de oportunidades de negocio " cuando los clientes ya no confían más en las empresas con las que han trabajado y buscan nuevas relaciones de negocio, dijo Larry Ponemon, fundador y presidente del Instituto Ponemon. Considerando el reciente incremento en las brechas de seguridad en datos corporativos en relación a ordenadores portátiles perdidos, ordenadores robados y redes hackeadas, Ponemon indicó que preveía que la gente se desensibilizara del problema y estuviera satisfecha.
No es lo que su investigación mostró.
"Ellos no se insensibilizan y realmente se preocupan y abandonan las relaciones de negocio con las empresas que no protegen adecuadamente su información personal", dijo. El estudio, patrocinado por los vendedores de software de seguridad PGP Corp. de Palo Alto, California y Vontu de San Francisco, está basado en las encuestas a 31 empresas que habían tenido fugas de datos a inicios de este año. Este es el segundo año de estudio, que el año pasado consideró 14 empresas que sufrieron fugas de datos.
La fuga de información este año han supuesto un coste a las empresas afectadas de un promedio de 182 dólares por cliente, en comparación a los 138 dólares por cliente del estudio para el 2005 (un aumento del 31 %, según el informe). Aproximadamente tres cuartas partes del coste fueron pagados por las llamadas telefónicas para notificar a los clientes de la fuga de datos, los servicios gratuitos o descuentos para compensar las pérdidas de datos y las pérdidas incurridas cuando los clientes se llevaron su negocio a otra parte.
El coste de las brechas en seguridad a las empresas comprendió desde los 226,000 dólares a más de 22 millones de dólares, con un promedio de 4.7 millones de dólares, según el informe.
El estudio descubre que a los clientes no les gusta que la información personal se transmita a terceros para el tratamiento o almacenamiento sin su conocimiento, indicó Ponemon. "Esto es lo que hemos encontrado. Ellos tienen una relación de confiada con la empresa original, con la cual ellos decidieron hacer el negocio", añadió, "ellos perdonarán una vez, pero dirán, 'No permitas que pase otra vez' en contraste con '¿Por qué tiene este tercero mi información? ' ".
El último estudio también descubrió que las empresas que han tenido fugas de datos mejoran si aprenden de los incidentes y sobre cómo mantener sistemas de detección de fugas y prevenir nuevas brechas, dijo. " El año pasado en la categoría de detección del estudio, muchas empresas no hacían análisis en profundidad sobre como prevenir nuevas brechas en el futuro. Muchas empresas lo están haciendo mejor ahora porque analizan los procesos y la información para impedir que les suceda otra vez. "
El estudio indica que el 72 % de las brechas ocurrió porque la información digital no fue protegida correctamente, mientras que el 14 % ocurrió debido a ataques maliciosos o de personal interno. Aproximadamente el 94 % de las empresas tomó algún tipo de acción preventiva en respuesta a los incidentes, según indica el estudio.
Las brechas que fueron estudiadas afectan a un número que comprende entre los 2.500 y más de 160.000 clientes. La pérdida o robo de ordenadores portátiles, ordenadores de escritorio, PDAs o unidades removibles contabilizaron el 45 %, o 14 de los eventos. Archivos perdidos o robados adquiridos o utilizados por terceras partes contabilzaron el 29% de las brechas, o 9 acontecimientos. La pérdida o robo de cintas de backup u otros medios fueron el 26% de los incidentes, o 8 eventos. Y exsitieron cuatro incidentes que implicaron la pérdida o robo de registros en papel, que supusieron el 13 % de las brechas.
Las empresas que participaron en el estudio incluyeron a un vendedor de software, varios bancos, una empresa de servicios de tarjetas de crédito, un minorista de venta por catálogo, un hotel, una empresa farmacéutica, una línea aérea, una empresa de préstamos, una empresa de servicios y una institución educativa. Su nombre no ha sido mencionado.
Artículo de Todd R.Weiss en Computerworld.
Informe Ponemon completo en PDF: Vontu.
Artículo relacionado recientemente publicado sobre privacidad y oportunidades de negocio: iso27000.es.
Estas son algunas de las conclusiones del informe "Estudio 2006 sobre el coste de la fuga de datos" comunicado recientemente por el Instituto Ponemon LLC, firma que se preocupa por las prácticas en gestión de la privacidad de la información en los negocios y el gobierno.
"Resulta que uno de los costes principales es la pérdida de oportunidades de negocio " cuando los clientes ya no confían más en las empresas con las que han trabajado y buscan nuevas relaciones de negocio, dijo Larry Ponemon, fundador y presidente del Instituto Ponemon. Considerando el reciente incremento en las brechas de seguridad en datos corporativos en relación a ordenadores portátiles perdidos, ordenadores robados y redes hackeadas, Ponemon indicó que preveía que la gente se desensibilizara del problema y estuviera satisfecha.
No es lo que su investigación mostró.
"Ellos no se insensibilizan y realmente se preocupan y abandonan las relaciones de negocio con las empresas que no protegen adecuadamente su información personal", dijo. El estudio, patrocinado por los vendedores de software de seguridad PGP Corp. de Palo Alto, California y Vontu de San Francisco, está basado en las encuestas a 31 empresas que habían tenido fugas de datos a inicios de este año. Este es el segundo año de estudio, que el año pasado consideró 14 empresas que sufrieron fugas de datos.
La fuga de información este año han supuesto un coste a las empresas afectadas de un promedio de 182 dólares por cliente, en comparación a los 138 dólares por cliente del estudio para el 2005 (un aumento del 31 %, según el informe). Aproximadamente tres cuartas partes del coste fueron pagados por las llamadas telefónicas para notificar a los clientes de la fuga de datos, los servicios gratuitos o descuentos para compensar las pérdidas de datos y las pérdidas incurridas cuando los clientes se llevaron su negocio a otra parte.
El coste de las brechas en seguridad a las empresas comprendió desde los 226,000 dólares a más de 22 millones de dólares, con un promedio de 4.7 millones de dólares, según el informe.
El estudio descubre que a los clientes no les gusta que la información personal se transmita a terceros para el tratamiento o almacenamiento sin su conocimiento, indicó Ponemon. "Esto es lo que hemos encontrado. Ellos tienen una relación de confiada con la empresa original, con la cual ellos decidieron hacer el negocio", añadió, "ellos perdonarán una vez, pero dirán, 'No permitas que pase otra vez' en contraste con '¿Por qué tiene este tercero mi información? ' ".
El último estudio también descubrió que las empresas que han tenido fugas de datos mejoran si aprenden de los incidentes y sobre cómo mantener sistemas de detección de fugas y prevenir nuevas brechas, dijo. " El año pasado en la categoría de detección del estudio, muchas empresas no hacían análisis en profundidad sobre como prevenir nuevas brechas en el futuro. Muchas empresas lo están haciendo mejor ahora porque analizan los procesos y la información para impedir que les suceda otra vez. "
El estudio indica que el 72 % de las brechas ocurrió porque la información digital no fue protegida correctamente, mientras que el 14 % ocurrió debido a ataques maliciosos o de personal interno. Aproximadamente el 94 % de las empresas tomó algún tipo de acción preventiva en respuesta a los incidentes, según indica el estudio.
Las brechas que fueron estudiadas afectan a un número que comprende entre los 2.500 y más de 160.000 clientes. La pérdida o robo de ordenadores portátiles, ordenadores de escritorio, PDAs o unidades removibles contabilizaron el 45 %, o 14 de los eventos. Archivos perdidos o robados adquiridos o utilizados por terceras partes contabilzaron el 29% de las brechas, o 9 acontecimientos. La pérdida o robo de cintas de backup u otros medios fueron el 26% de los incidentes, o 8 eventos. Y exsitieron cuatro incidentes que implicaron la pérdida o robo de registros en papel, que supusieron el 13 % de las brechas.
Las empresas que participaron en el estudio incluyeron a un vendedor de software, varios bancos, una empresa de servicios de tarjetas de crédito, un minorista de venta por catálogo, un hotel, una empresa farmacéutica, una línea aérea, una empresa de préstamos, una empresa de servicios y una institución educativa. Su nombre no ha sido mencionado.
Artículo de Todd R.Weiss en Computerworld.
Informe Ponemon completo en PDF: Vontu.
Artículo relacionado recientemente publicado sobre privacidad y oportunidades de negocio: iso27000.es.
Mientras las organizaciones de Oriente Medio han sido ampliamente criticadas por no hacer suficiente en la protección de sus sistemas de información, existe ahora un número de empresas que surgen de la crisis en seguridad TI adoptando normas internacionales.
Según eHosting Datafort, empresa dedicada al Hosting gestionado y consultoría en seguridad, tres empresas de la región se han certificado en ISO 27001 - Dubai Aluminium Company (Dubal), Saudi Binladin Group en Arabia Saudita y Mobile Telecommunications Company (MTC) Vodafone en Bahrain - con el Tribunal de Justicia de Dubai a continuación.
Ehosting indicó que trabaja con otras ocho empresas con el objetivo de alcanzar la certificación y existen conversaciones con otra docena más.
Ahmed Baig, gerente en consultoría de seguridad de eHosting indicó que la certificación en ISO 27001 es un signo muy positivo y " bastante alentador porque en este pequeño mercado estos números son bastante grandes, ".
Añadió, "Las empresas van tomando conciencia y tratan de entender, cuáles son las mejores formas de protegerse. "
Ibrahim Awad, oficial de seguridad de la información en el Tribunal de Justicia de Dubai, que está en proceso de ser certificado, explicó que la seguridad de la información es particularmente importante para su organización, porque proporciona servicios TI compartidos por todos los departamentos gubernamentales en Dubai.
"Tenemos un departamento de recursos de información gubernamental que mantiene datos de otros departamentos en un sistema ERP y facilitamos este sistema a departamentos gubernamentales como el departamento de policía y del Municipio, " dijo Awad.
"También tenemos su información de finanzas, regsitros de recursos humanos y datos de logística. Por tanto, necesitamos de la tecnología probada que garantice la seguridad de estos datos así como la de la infraestructura TI. "
Añadió que el gobierno está en conversaciones para poner en práctica ISO 27001 en todos los distintos departamentos.
Dubal completó el proceso en agosto y es ahora totalmente la ISO 27001 certificado.
El gerente de arquitectura TI de la firma, Jagan Rao, dijo que la empresa está ahora mejor capacitada para proteger los datos de valor contenidos en sus sistemas de información, tales como ofertas de los proyectos, peticiones de clientes, información de los contratos de ventas e información de planificación financiera o presupuestaria.
"La Información es uno de nuestros activos principales; debemos protegerla y disponemos de una fuerte infraestructura y métodos implantados para protegerla contra el hacking o ataques de denegación de servicio y fuga de información o espionaje," dijo Rao
"Nos ayuda a alinearnos con las mejores prácticas y normas internacionales. Y esto nos proporciona a nosotros y la Dirección la garantía de que las cosas se hacen del modo correcto, " añadió.
Baig dijo que es particularmente importante para las empresas de los Emiratos Árabes certificarse, donde el gobierno ha promulgado recientemente una nueva ley, que requerirá que las empresas supervisen la información que mantienen, así como, el contenido de los correos electrónicos que se envían desde la empresa por los empleados.
Artículo de Diana Milde en de ITP.net.
Según eHosting Datafort, empresa dedicada al Hosting gestionado y consultoría en seguridad, tres empresas de la región se han certificado en ISO 27001 - Dubai Aluminium Company (Dubal), Saudi Binladin Group en Arabia Saudita y Mobile Telecommunications Company (MTC) Vodafone en Bahrain - con el Tribunal de Justicia de Dubai a continuación.
Ehosting indicó que trabaja con otras ocho empresas con el objetivo de alcanzar la certificación y existen conversaciones con otra docena más.
Ahmed Baig, gerente en consultoría de seguridad de eHosting indicó que la certificación en ISO 27001 es un signo muy positivo y " bastante alentador porque en este pequeño mercado estos números son bastante grandes, ".
Añadió, "Las empresas van tomando conciencia y tratan de entender, cuáles son las mejores formas de protegerse. "
Ibrahim Awad, oficial de seguridad de la información en el Tribunal de Justicia de Dubai, que está en proceso de ser certificado, explicó que la seguridad de la información es particularmente importante para su organización, porque proporciona servicios TI compartidos por todos los departamentos gubernamentales en Dubai.
"Tenemos un departamento de recursos de información gubernamental que mantiene datos de otros departamentos en un sistema ERP y facilitamos este sistema a departamentos gubernamentales como el departamento de policía y del Municipio, " dijo Awad.
"También tenemos su información de finanzas, regsitros de recursos humanos y datos de logística. Por tanto, necesitamos de la tecnología probada que garantice la seguridad de estos datos así como la de la infraestructura TI. "
Añadió que el gobierno está en conversaciones para poner en práctica ISO 27001 en todos los distintos departamentos.
Dubal completó el proceso en agosto y es ahora totalmente la ISO 27001 certificado.
El gerente de arquitectura TI de la firma, Jagan Rao, dijo que la empresa está ahora mejor capacitada para proteger los datos de valor contenidos en sus sistemas de información, tales como ofertas de los proyectos, peticiones de clientes, información de los contratos de ventas e información de planificación financiera o presupuestaria.
"La Información es uno de nuestros activos principales; debemos protegerla y disponemos de una fuerte infraestructura y métodos implantados para protegerla contra el hacking o ataques de denegación de servicio y fuga de información o espionaje," dijo Rao
"Nos ayuda a alinearnos con las mejores prácticas y normas internacionales. Y esto nos proporciona a nosotros y la Dirección la garantía de que las cosas se hacen del modo correcto, " añadió.
Baig dijo que es particularmente importante para las empresas de los Emiratos Árabes certificarse, donde el gobierno ha promulgado recientemente una nueva ley, que requerirá que las empresas supervisen la información que mantienen, así como, el contenido de los correos electrónicos que se envían desde la empresa por los empleados.
Artículo de Diana Milde en de ITP.net.
Como anunciamos en su momento, el pasado 26 de Octubre tuvo lugar en Málaga la presentación del proyecto CAMERSEC, por el cual la Cámara de Comercio de Málaga y las empresas Nexus Consultores y Auditores y Tecnotur 3000 proponen a las pymes andaluzas la implantación -y posterior certificación- de un sistema de gestión de seguridad de la información.
www.iso27000.es tuvo la oportunidad de asistir a la presentación, que fue un éxito de participación, pues se completó el aforo previsto.
Guillermo Hurtado, de la Cámara de Comercio, Manuel Calderón, de Tecnotur 3000, José Manuel Fernández, de Nexus Consultores y Auditores e Igor Pérez, de AENOR, por orden de intervención, fueron desgranando los detalles del proyecto, incluyendo un desglose pormenorizado de las jornadas de consultoría previstas y los costes asociados.
Una vez que el proyecto consiga el número suficiente de adhesiones de empresas interesadas, quedará acogido a las subvenciones de la Junta de Andalucía, que pueden llegar hasta un 50%.
Finalizado el evento, los promotores del proyecto hablaron para www.iso27000.es, entrevista que puede escucharse en nuestra sección de Artículos y podcasts.
www.iso27000.es tuvo la oportunidad de asistir a la presentación, que fue un éxito de participación, pues se completó el aforo previsto.
Guillermo Hurtado, de la Cámara de Comercio, Manuel Calderón, de Tecnotur 3000, José Manuel Fernández, de Nexus Consultores y Auditores e Igor Pérez, de AENOR, por orden de intervención, fueron desgranando los detalles del proyecto, incluyendo un desglose pormenorizado de las jornadas de consultoría previstas y los costes asociados.
Una vez que el proyecto consiga el número suficiente de adhesiones de empresas interesadas, quedará acogido a las subvenciones de la Junta de Andalucía, que pueden llegar hasta un 50%.
Finalizado el evento, los promotores del proyecto hablaron para www.iso27000.es, entrevista que puede escucharse en nuestra sección de Artículos y podcasts.
Bankinter obtiene la certificación en ISO 27001
29/October/2006
29/October/2006
La entidad financiera española Bankinter, con fuerte presencia en banca minorista por Internet, ha publicado el pasado 23 de Octubre una nota de prensa en la que anuncia la obtención de la certificación en ISO 27001 para el alcance de "Identificación, Autenticación, Firma de Operaciones Financieras y sus respectivas evidencias electrónicas a través del canal Internet".
El proceso de implantación de controles ha llevado seis meses y se han dedicado otros seis meses a la maduración del sistema antes de abordar la auditoría de certificación, que ha sido realizada por BSI (British Standards Institution).
El proceso de implantación de controles ha llevado seis meses y se han dedicado otros seis meses a la maduración del sistema antes de abordar la auditoría de certificación, que ha sido realizada por BSI (British Standards Institution).
El próximo 16 de Noviembre, el Instituto de Fomento Empresarial organiza un seminario en el Hotel Palace de Madrid, presentando el nuevo reglamento de desarrollo de la LOPD.
La cuota de inscripción es de 1.183,62 euros + IVA.
Para más información e inscripciones: IFE
La cuota de inscripción es de 1.183,62 euros + IVA.
Para más información e inscripciones: IFE
Curso de planes de continuidad de negocio en Madrid (España)
29/October/2006
29/October/2006
El 29 y 30 de Noviembre próximos, la empresa Grupo Estudios Técnicos organiza en Madrid un curso sobre planes de continuidad de negocio, con un recorrido por sus fases de elaboración, implantación y prueba.
Para más información e inscripciones: GET
Para más información e inscripciones: GET
Tal y como anunciamos en su momento, el pasado 13 de Octubre, ENISA (European Network and Information Security Agency) organizó un workshop en Roma sobre gestión de riesgos.
Tanto las conclusiones como todas las presentaciones que hicieron los distintos ponentes están disponibles en: ENISA
Tanto las conclusiones como todas las presentaciones que hicieron los distintos ponentes están disponibles en: ENISA
Mike Karp propone en Network World seis pasos para implantar ILM en una organización.
ILM son las siglas de Information Life-Cycle Management (Gestión del Ciclo de Vida de la Información), que tiene por objeto el ayudar a las organizaciones a gestionar la vida útil de toda la información que tienen almacenada, manteniendo archivada únicamente aquella que sigue siendo relevante para el negocio o que deba estarlo por las diversas legislaciones en materia de retención de datos, y optimizando así los recursos dedicados a la gestión de la misma.
ILM son las siglas de Information Life-Cycle Management (Gestión del Ciclo de Vida de la Información), que tiene por objeto el ayudar a las organizaciones a gestionar la vida útil de toda la información que tienen almacenada, manteniendo archivada únicamente aquella que sigue siendo relevante para el negocio o que deba estarlo por las diversas legislaciones en materia de retención de datos, y optimizando así los recursos dedicados a la gestión de la misma.
La Cámara de Comercio de Sevilla organiza el próximo 9 de Noviembre una jornada en la que se tratarán la protección de datos desde el ámbito empresarial, el nuevo reglamento de medidas de seguridad, ISO 27001 y los sistemas de gestión de la seguridad de la información.
Para más información: Cámara Sevilla
Para más información: Cámara Sevilla
Desayunos de trabajo de ESA-Security
29/October/2006
29/October/2006
La empresa consultora especializada en seguridad de la información ESA-Security organiza regularmente en su sede de Las Rozas (Madrid) desayunos de trabajo, de asistencia gratuita, dedicados a distintos temas relacionados con ISO 27001 y los SGSI.
Los próximos a celebrar son:
Análisis y gestión de riesgos, el 2 de Noviembre.
Plan de continuidad de negocio, el 16 de Noviembre.
LOPD, el 23 de Noviembre.
Más información e inscripciones en ESA-Security.
Los próximos a celebrar son:
Análisis y gestión de riesgos, el 2 de Noviembre.
Plan de continuidad de negocio, el 16 de Noviembre.
LOPD, el 23 de Noviembre.
Más información e inscripciones en ESA-Security.
Del 21 al 23 de Noviembre, la empresa Orión organiza en Santiago de Chile un curso de Diseño y Gestión de un Plan de Continuidad del Negocio.
El curso será impartido por Alberto G. Alexander, experto en la materia.
Para más información: ORION
El curso será impartido por Alberto G. Alexander, experto en la materia.
Para más información: ORION
Curso de auditor líder ISO 27001 en Ciudad de México
29/October/2006
29/October/2006
BSI Americas ofrece un curso de 40 horas de auditor líder en ISO 27001 en Ciudad de México del 4 al 8 de Diciembre próximos.
Para más información e inscripciones: BSI Americas.
Para más información e inscripciones: BSI Americas.
Recordamos que esta semana tiene lugar la presentación en Málaga del Proyecto Camersec.Este proyecto, que promueven Nexus Consultores y Asesores, la Cámara de Comercio, Industria y Navegación de Málaga y la consultora tecnológica Tecnotur 3000, está orientado a la implantación de sistemas de gestión de seguridad de la información según ISO 27001.
Al mismo podrán adherirse todas las empresas que lo deseen, siendo las PyMEs andaluzas especialmente beneficiadas, ya que pueden entrar en la iniciativa acometida para incentivación del proyecto por parte de la Agencia IDEA de la Consejería de Innovación, Ciencia y Empresa de la Junta de Andalucía.
Los detalles del proyecto en concreto se abordarán en la Jornada de Presentación del mismo:
Lugar: Cámara de Comercio, Industria y Navegación de Málaga.
Dirección: c/ Cortina del Muelle, 23 - Palacio de Villalcázar. - Málaga
Fecha: 26 de Octubre de 2006.
Horario: 10:00 - 11:30 de la mañana.
Para más información e inscripción gratuita en la jornada de presentación: Nexus
Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una entrevista a Miguel Banegas, Consultor Senior de Telefónica Empresas, responsable de la implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid).
Gracias a su colaboración podemos conocer las metodologías, herramientas y recursos que han dedicado, así como principales claves y recomendaciones para asegurar la implantación con éxito de ISO 27001.
La entrevista está disponible en: Artículos y podcasts.
Además de la certificación del centro de Tres Cantos que se comenta en el presente Podcast, Telefónica ha certificado recientemente el "Portal del empleado" y tiene planificado extender las certificaciones en ISO 27001 al resto de CDGs de España y a los servicios que se prestan desde ellos.
Esta sección seguirá recibiendo nuevos podcasts y ampliando las aportaciones en relación a otras cláusulas y en relación a los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Miguel Angel Thomas de Everis (DMR Consulting).Cláusula 11 de control de accesos (ISO 17799).
Podcast Alejandro García de BSI.Estado actual y evolución en la certificación ISO 27001
Podcast Alvaro Rodríguez de Roa.Certificación de un SGSI.
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
Gracias a su colaboración podemos conocer las metodologías, herramientas y recursos que han dedicado, así como principales claves y recomendaciones para asegurar la implantación con éxito de ISO 27001.
La entrevista está disponible en: Artículos y podcasts.
Además de la certificación del centro de Tres Cantos que se comenta en el presente Podcast, Telefónica ha certificado recientemente el "Portal del empleado" y tiene planificado extender las certificaciones en ISO 27001 al resto de CDGs de España y a los servicios que se prestan desde ellos.
Esta sección seguirá recibiendo nuevos podcasts y ampliando las aportaciones en relación a otras cláusulas y en relación a los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Miguel Angel Thomas de Everis (DMR Consulting).Cláusula 11 de control de accesos (ISO 17799).
Podcast Alejandro García de BSI.Estado actual y evolución en la certificación ISO 27001
Podcast Alvaro Rodríguez de Roa.Certificación de un SGSI.
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
Jornada Seguridad 2006: Acceso a presentaciones
23/October/2006
23/October/2006
AENOR, S2 Grupo, Equipo Marzo y Metrored, con la colaboración de la Generalitat Valenciana y la Fundación Valenciana de la Calidad, organizaron el pasado 27 de septiembre la jornada Seguridad 2006, con el objetivo de presentar, desde un punto de vista práctico, las nuevas tendencias en la Gestión de la Seguridad de la Información, los focos calientes de desarrollo normativo y las posibilidades que las organizaciones, grandes o pequeñas, tienen de enfrentarse al entorno hostil en el que desarrollan su actividad.Gracias a la amabilidad de los ponentes, están a libre disposición las presentaciones que se proyectaron durante las charlas.
Código Penal y Seguridad de la Información – PDF-File, 328.8 KB
Seguridad en entornos transaccionales. Importancia de la Seguridad en el Portal de la Autoridad Portuaria Valenciana – PDF-File, 550.5 KB
Seguridad y Buen Gobierno. La Seguridad en el sector asegurador – PDF-File, 430.7 KB
La Seguridad no sólo es para empresas grandes – PDF-File, 493.2 KB
El papel del Plan Director de Seguridad en las organizaciones – PDF-File, 343.2 KB
El entorno empresarial ante las exigencias legales relacionadas con la seguridad – PDF-File, 287.7 KB
Planes de Contingencia. El papel del Datacenter en la continuidad de negocio de las empresas valencianas – PDF-File, 1.6 MB
Experiencias en la implantación de un Sistema de Gestión de Seguridad de la Información. Hacia la Gestión en Tiempo Real – PDF-File, 1.4 MB
La nueva familia de normas ISO 27000 – PDF-File, 1.3 MB
Acceso a la web del evento: Seguridad2006
¿Hora de actualizar su política de monitorización de empleados?
23/October/2006
23/October/2006
"....Entonces, ¿cuál es su estrategia para la supervisión de los empleados? Yo ofrecería cuatro recomendaciones:
1. Organice. Acuerde la formación de grupo para la privacidad de los empleados integrado por representantes de recursos humanos, legal, auditoría, seguridad física y TI y privacidad, y repase sus actuales prácticas y objetivos de supervisión.
2. Ponga al día su política. Haga que su política de privacidad del empleado sea coherente con su política del cliente, basando idealmente ambas en los principios de protección seguros.
3. Certifique. Publique su política en su Intranet y certifiquela para darle legitimidad.
4. Comunique. Informe regularmente y con frecuencia a sus empleados sobre su política de supervisión y los derechos que se les otorga mediante ella.
Si su compañía respeta la privacidad y la dignidad de sus empleados, habrá más posibilidades de que se dediquen realmente a la misión de su compañía. Pero tráteles como criminales y seguramente se alzarán o hundirán esas expectativas."
Artículo completo de Jay Cline en Computerworld.
1. Organice. Acuerde la formación de grupo para la privacidad de los empleados integrado por representantes de recursos humanos, legal, auditoría, seguridad física y TI y privacidad, y repase sus actuales prácticas y objetivos de supervisión.
2. Ponga al día su política. Haga que su política de privacidad del empleado sea coherente con su política del cliente, basando idealmente ambas en los principios de protección seguros.
3. Certifique. Publique su política en su Intranet y certifiquela para darle legitimidad.
4. Comunique. Informe regularmente y con frecuencia a sus empleados sobre su política de supervisión y los derechos que se les otorga mediante ella.
Si su compañía respeta la privacidad y la dignidad de sus empleados, habrá más posibilidades de que se dediquen realmente a la misión de su compañía. Pero tráteles como criminales y seguramente se alzarán o hundirán esas expectativas."
Artículo completo de Jay Cline en Computerworld.
Guías ASIS
23/October/2006
23/October/2006
La Comisión en Guías fue establecida a principios de 2001 por ASIS Internacional (ASIS) en respuesta a la demanda de directrices en cuestiones de seguridad de la información en los Estados Unidos.
Como organización de profesionales en seguridad a nivel mundial, ASIS juega un papel importante en la ayuda al sector privado para proteger su negocio e infraestructura crítica, en caso de catástrofes, accidentes o acciones planificadas, como ataques terroristas, vandalismo, etc.
Como resultado ASIA ofrece mediante acceso libre para descarga en PDF los siguientes trabajos:
- Business Continuity Guideline.
Acercamiento práctico para la preparación ante emergencias, gestión de crisis, y recuperación de desastres: perfila una serie de procesos interrelacionados y actividades, incluyendo la preparación, la prevención, la respuesta, la recuperación/reanudación, prueba y formación, y la evaluación y el mantenimiento, que ayudará en la creación, la evaluación, y el sostenimiento a un plan fácil de comprender para su aplicación en caso de una crisis que amenaza a la viabilidad y la continuidad de una organización.
- Chief Security Officer Guideline
Describe las responsabilidades claves, habilidades y capacidades, y cualificaciones que debe tener un directivo senior de seguridad de una organización.
- General Security Risk Assessment Guideline
Proceso de siete pasos que crea una metodología mediante la cual los riesgos en seguridad de una localidad determinada pueeden ser identificados y registrados junto a soluciones apropiadas.
- Private Security Officer Selection and Training Guideline
Requisitos mínimos para la selección y formación de oficiales de seguridad.
- Threat Advisory System Response Guideline
Acciones que pueden ser implantadas en organizaciones privadas y la industria en base a los niveles de alerta del Departamento de Defensa.
- Workplace Violence Prevention and Response Guideline
Guía que ofrece formas útiles de mantener un entorno de trabajo seguro mediante la identificación, evaluación y control de amenazas portenciales y formación e información de los empleados.
Otras guías en relación a la preselección de personal, la protección de activos de información y métricas de seguridad están en fase de desarrollo.
Acceso guías en Asis online.
Como organización de profesionales en seguridad a nivel mundial, ASIS juega un papel importante en la ayuda al sector privado para proteger su negocio e infraestructura crítica, en caso de catástrofes, accidentes o acciones planificadas, como ataques terroristas, vandalismo, etc.
Como resultado ASIA ofrece mediante acceso libre para descarga en PDF los siguientes trabajos:
- Business Continuity Guideline.
Acercamiento práctico para la preparación ante emergencias, gestión de crisis, y recuperación de desastres: perfila una serie de procesos interrelacionados y actividades, incluyendo la preparación, la prevención, la respuesta, la recuperación/reanudación, prueba y formación, y la evaluación y el mantenimiento, que ayudará en la creación, la evaluación, y el sostenimiento a un plan fácil de comprender para su aplicación en caso de una crisis que amenaza a la viabilidad y la continuidad de una organización.
- Chief Security Officer Guideline
Describe las responsabilidades claves, habilidades y capacidades, y cualificaciones que debe tener un directivo senior de seguridad de una organización.
- General Security Risk Assessment Guideline
Proceso de siete pasos que crea una metodología mediante la cual los riesgos en seguridad de una localidad determinada pueeden ser identificados y registrados junto a soluciones apropiadas.
- Private Security Officer Selection and Training Guideline
Requisitos mínimos para la selección y formación de oficiales de seguridad.
- Threat Advisory System Response Guideline
Acciones que pueden ser implantadas en organizaciones privadas y la industria en base a los niveles de alerta del Departamento de Defensa.
- Workplace Violence Prevention and Response Guideline
Guía que ofrece formas útiles de mantener un entorno de trabajo seguro mediante la identificación, evaluación y control de amenazas portenciales y formación e información de los empleados.
Otras guías en relación a la preselección de personal, la protección de activos de información y métricas de seguridad están en fase de desarrollo.
Acceso guías en Asis online.
El laberinto de la seguridad.
23/October/2006
23/October/2006
McAfee S.A.. ha publicado recientemente las conclusiones de una nueva investigación, que revela que el deseo de lograr una gestión de la seguridad TI más sencilla está siendo minado por la complejidad de las estrategias de compras en seguridad.A pesar que los directores TI exigen un único punto de monitorización de la seguridad TI, "demasiados proveedores de seguridad, soluciones y consolas de gestión están sobrecargando los negocios".
El estudio en 600 negocios a través de seis países europeos (Reino Unido, Francia, Alemania, Países Bajos, España y Italia) revela que, mientras a más de tres cuartas partes (77 por ciento) les gustaría tener una única vista de la seguridad de su infraestructura TI, casi un tercio (29 por ciento) actualmente usa cuatro o más consolas de gestión y la cuarta parte (24 por ciento) de empresas encuestadas tiene cinco o más proveedores de seguridad diferentes.
La investigación fue realizada por Ipsos MORI Research y financiada por McAfee para una mejor comprensión de las medidas de seguridad, cada vez más complejas, de muchas empresas europeas. La necesidad de aplicar actualizaciones a soluciones de software y renovar licencias con regularidad significa que la gestión de múltiples soluciones y de múltiples vendedores puede ser un auténtico dolor de cabeza para los directores TI.
La investigación revela que, además de los múltiples vendedores, muchos negocios despliegan un gran número de soluciones de seguridad en toda su organización. Casi un tercio (el 30 por ciento) emplea cinco o más soluciones de seguridad mientras que una de cada cinco empresas (el 22 por ciento) preguntadas tienen siete o más soluciones diferentes.
A largo y ancho de Europa la historia varía y las empresas holandesas son las que utilizan más a proveedores de seguridad. Un tercio de los negocios holandeses consultados tiene cinco o más proveedores mientras casi una de cada cinco empresas (19 por ciento) utiliza a más de 10 vendedores de seguridad. Por otra parte, en Francia uno de cada tres negocios utiliza a un único proveedor.
Las empresas británicas son las que utilizan más soluciones de seguridad con el 44 por ciento utilizando cinco o más y casi un tercio con siete o más. Un tercio de las empresas italianas también utiliza siete o más soluciones mientras en España, sólo una de cada cinco consultadas admitió el uso de cinco o más.
Otras conclusiones claves de la investigación incluyen:
* Las empresas de tamaño mediano (250 - 499 empleados) hacen uso de cada vez más vendedores, con un 42 por ciento utilizando tres o más proveedores de seguridad.
* El 26 por ciento de empresas de tamaño mediano ha desplegado cinco o más soluciones de seguridad en su organización.
* Sólo el 23 por ciento de los cuestionados está completamente satisfecho por el nivel de seguridad en sus sistemas y red.
* Una de las dificultades principales para las empresas que utilizan soluciones de múltiples vendedores está en la gestión de los parches. En este sentido, en Europa más de la mitad (el 51 por ciento) de los encuestados dijo que aplica parches al menos una vez al día. Las empresas italianas son las que más parchean (el 67 por ciento), seguidos por alemanes (el 61 por ciento).
Artículo completo de Marius Oiaga en Continuity Central.
III Jornadas de profesionales de Calidad y Testing de Software
23/October/2006
23/October/2006
Dos de los mayores expertos mundiales en Test de Software, Michael Bolton y Scott Barber, estarán presentes en expo:QA’06 ofreciendo un curso y una conferencia cada uno.Michael Bolton repetirá la experiencia de ofrecer el curso "Rapid Software Testing". Este curso ya lo ofreció en Barcelona de la mano de expo:QA y debido al éxito del mismo, repite en Madrid. El curso tiene una duración de 3 días y tendrá lugar entre el 28 y el 30 de Noviembre. Michael Bolton es la única persona autorizada para impartir las enseñanzas de James Bach. Posee 15 años de experiencia en la industria informática, testeando, desarrollando, gestionando y escribiendo sobre software. James Bach es uno de los fundadores de Context-Driven School of Software Testing.
Scott Barber es la persona que está detrás de perftestplus.com, es co-fundador de WOPR (the Workshop On Performance and Reliability) y un prolífico escritor. Es uno de los mayores expertos en Performace Testing y en Junio de 2006 fue elegido como Director Ejecutivo del AST (‘Association for Software Testing’), una asociación profesional sin ánimo de lucro dedicada al avance del testing de software. Scott Barber ofrecerá el curso “ Performance Testing Secrets in Context ” en el marco de expo:QA el día 27 de Noviembre.
Ambos estarán presentes también el día 30 de Noviembre con sendas conferencias.
Programa de cursos en Expoqa.com.
Contenidos: Más oportunidades de empleo con jobrapido
23/October/2006
23/October/2006
Añadimos un nuevo canal a nuestra sección de ofertas de empleo con objeto de facilitar la movilidad laboral y búsqueda de oportunidades a profesionales del sector de la seguridad de la información.
Es un buscador que considera más de 250.000 ofertas de empleo publicadas en miles de páginas web de empresas y agencias de empleo.
Visite nuestra sección de Ofertas de empleo.
Sugerencias sobre nuevos contenidos en Contacto.
Es un buscador que considera más de 250.000 ofertas de empleo publicadas en miles de páginas web de empresas y agencias de empleo.Visite nuestra sección de Ofertas de empleo.
Sugerencias sobre nuevos contenidos en Contacto.
Los documentos de políticas deben contestar a la cuestión de "¿por qué?." Establecen que disponemos de algunas reglas en el entorno. Requieren de documentación que describa lo que tiene que hacer o generar un control de seguridad con el propósito de cumplir con la política y esto, a su vez, tiene que apoyarse en documentación sobre qué sucede o está implantado en la actualidad.
Mientras que uno podría disponer de una política personal sobre la comida de la cena, el menú que describe todas las cosas que se podrían cenar y la carne que llega realmente al plato de esta noche son, claramente, cosas distintas.
Este documento explica la importancia de utilizar con claridad los conceptos y los propósitos de las políticas, mediante diversos ejemplos y apoyándose en guías de amplia difusión.
Artículo completo de Jon Espenschied en Computerworld.
Mientras que uno podría disponer de una política personal sobre la comida de la cena, el menú que describe todas las cosas que se podrían cenar y la carne que llega realmente al plato de esta noche son, claramente, cosas distintas.
Este documento explica la importancia de utilizar con claridad los conceptos y los propósitos de las políticas, mediante diversos ejemplos y apoyándose en guías de amplia difusión.
Artículo completo de Jon Espenschied en Computerworld.
Las organizaciones que necesitan proteger activos de información sensible para el cumplimineto de las políticas corporativas o legales, para proteger la ventaja competitiva o, simplemente, para habilitar nuevos procesos de negocio, han de reconocer "Host Intrusion Prevention" (HIP com un componente crítico para la defensa en profunidad de la estrategia de seguridad.
Este documento explica que debemos considerar en los productos HIP.
Mientras tanto, a unas millas de distancia, un hombre mediana edad extrae unas pulsaciones de tecla más tarde, datos de miles de pacientes que inmediatamente venderá para sacar limpias ganancias.
Artículo completo de New Treat Brigade en Infowriters.
Este documento explica que debemos considerar en los productos HIP.
Mientras tanto, a unas millas de distancia, un hombre mediana edad extrae unas pulsaciones de tecla más tarde, datos de miles de pacientes que inmediatamente venderá para sacar limpias ganancias.
Artículo completo de New Treat Brigade en Infowriters.
Típica mañana ajetreada en el hospital con todas las salas de operaciones ya reservadas. Mientras los médicos se preparan para posibles emergencias, en radiología, varios pacientes están siendo preparados para las resonancias magnéticas. Pero a las 08:35 de la mañana, el ritmo normal se rompe. Algo no va bien. Las puertas de las salas de operaciones no se abrirán. Las enfermeras de la UVI no se pueden logear en los ordenadores.
Alas 09:05, los buscas dejan de funcionar y a las 11 de la mañana, el aparato de resonancias mágnéticas se avería ante la desesperación de los ansiosos pacientes.
Mientras tanto, a unas millas de distancia, un hombre mediana edad extrae unas pulsaciones de tecla más tarde, datos de miles de pacientes que inmediatamente venderá para sacar limpias ganancias.
¿Thriller de Hollywood ambientada en un futuro lejano? Desafortunadamente no.
Artículo completo de New Treat Brigade en Infowriters.
Alas 09:05, los buscas dejan de funcionar y a las 11 de la mañana, el aparato de resonancias mágnéticas se avería ante la desesperación de los ansiosos pacientes.
Mientras tanto, a unas millas de distancia, un hombre mediana edad extrae unas pulsaciones de tecla más tarde, datos de miles de pacientes que inmediatamente venderá para sacar limpias ganancias.
¿Thriller de Hollywood ambientada en un futuro lejano? Desafortunadamente no.
Artículo completo de New Treat Brigade en Infowriters.
PAS 99:2006 "Specification of Common Management System Requirements as a Framework for Integration" ha sido realizada con el objeto de ayudar a las organizaciones a integrar requisitos comunes a todos los estándares y especificacioens relacionados con los sistemas de gestión y gestionar estos requisitos eficientemente. PAS 99 procura ayuda a las organizaciones a mejorar la visión del negocio y gestionar los riesgos de negocio, a reducir los conflictos y la duplicación de tareas y burocracia entre distintos sistemas y a mejorar la efectividad de los auditorías tanto internas como externas.
Se dirige inicialmente a organizaciones que están implantando requisitos para cubrir dos o más estándares con sistemas de gestión como son ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO/IEC 20000 y OHSAS 18001.
La relación de contenidos de las 30 páginas es:
* Foreword
* Introduction
* 1 Scope
* 2 Normative references
* 3 Terms and definitions
* 4 Common management system requirements
4.1 General requirements
4.2 Management system policy
4.3 Planning
4.4 Implementation and operation
4.5 Performance assessment
4.6 Improvement
4.7 Management review
* Annex A (informative) Guidance on the background and use of this specification
* Annex B (informative) Common requirements
* Bibliography
El precio es de £40.
Más información en BSI Global.
PAS 77:2006 explica los principios y algunas de las tecnicas recomendadas para la gestión de continuidad de los servicios TI.Procura ser de utilidad a todos aquellos responsables de implementar, dar soporte y gestionar servicios de continuidad TI en una organización.
Sirve de complemento a publicaciones como PAS 56, ISO/IEC 20000, ISO/IEC 17799:2005 e ISO 9001. No debería ser interpretada como una guía que implanta ITSCM paso a paso, más bien una guía en aspectos ITSCM que las organizaciones deberían considerar cuando deciden invertir en este área.
Los contenidos son:
* Scope
* Terms and definitions
* Abbreviations
* IT service continuity management
* IT service continuity strategy
* Understanding risks and impacts within your organization
* Conducting business critically and risk assessments
* IT service continuity plan
* Rehearsing an IT service continuity plan
* Solutions architecture and design consideration
* Buying continuity services
Este código de prácticas ha sido desarrollado en colaboración con Adam Continuity, Dell Corporation, Unisys y SunGard y está pensado para organizacioes de todos los tamaños y actividades, tanto en el sector público como privado. El precio es de £49.
Más información en BSI Global.
Tras el proceso de aprobación del borrador final que anunciamos recientemente, British Standards anuncia la publicación de BS 25999-1:2006 para Noviembre del 2006. BS 25999-1:2006 establece el proceso, principios y terminología de la gestión de continidad de negocio (BCM), mediante las bases para entender, desarrollar e implantar la continuidad de negocio en una organización y aportar confianza en el desarrollo de actividades comerciales B2B (business-to-business) y B2C (business-to-customer).
Además, contiene un conjunto de controles generales basados en las mejores prácticas en BCM y cubre el ciclo de vida BCM completo.
BS 25999-1:2006 reemplaza a PAS 56:2003, la cual será retirada.
Una segunda parte de la norma denominada BS 25999-2 está prevista que sea publicada para inicios del próximo año 2007.
Precio: £90
Miembros: £45
Más información en BSI Global.
En Septiembre se ha llegado a 3.006 empresas certificadas en ISO 27001 y BS 7799-2 en el mundo.A falta de los datos de Octubre para completar el año desde la publicación de la norma, recordamos que en ISO 27001 son ya concretamente 352, cifra que incluye 132 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 220 nuevas certificaciones.
Encabeza la lista Japón, con 1.730 certificaciones, y le siguen el Reino Unido, con 314, y la India con 237.
Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.
Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:
España, 9. (Añadimos aquí la certificación de Belt Ibérica aún no actualizada en Xisec)
México, 4.
Argentina, 3.
Colombia, 2.
Chile, 1.
Perú, 1.
Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.
Publicamos un documento en el que, en una sola página y en español, se listan todas las cláusulas, objetivos de control y controles del Anexo A de ISO/IEC 27001:2005 (recuérdese que son una transcripción de los que contiene ISO/IEC 17799:2005).
Esta lista, que puede servir de guía de consulta rápida, es una traducción libre de www.iso27000.es de los controles de la norma en inglés. Es posible que esta traducción no se corresponda con la que se haga finalmente oficial en la traducción de la norma por parte del subcomité AEN/CTN 71/SC27, subcomité espejo de ISO/IEC JTC 1/SC 27 en España.
El documento puede descargarse de: ControlesISO17799-2005.pdf
Visite nuestra sección de Herramientas.
Esta lista, que puede servir de guía de consulta rápida, es una traducción libre de www.iso27000.es de los controles de la norma en inglés. Es posible que esta traducción no se corresponda con la que se haga finalmente oficial en la traducción de la norma por parte del subcomité AEN/CTN 71/SC27, subcomité espejo de ISO/IEC JTC 1/SC 27 en España.
El documento puede descargarse de: ControlesISO17799-2005.pdf
Visite nuestra sección de Herramientas.
Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una entrevista a Miguel Ángel Thomas, Gerente de DMR Consulting y responsable de servicios de seguridad.
Gracias a su colaboración y expertos comentarios, desarrollaremos la implantación de controles de acceso, correspondientes a la cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002) y relacionada mediante el Anexo A a la norma ISO 27001. La entrevista está disponible en: Artículos y podcasts.
Debido al enorme crecimiento que ha tenido DMR en su década de vida, aprovechamos para comunicar que a partir del 23 de Octubre pasa a denominarse "EVERIS".
Esta sección seguirá recibiendo nuevos podcasts y ampliando las aportaciones en relación a otras cláusulas y en relación a los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Alejandro García de BSI.Estado actual y evolución en la certificación ISO 27001
Podcast Alvaro Rodríguez de Roa.Certificación de un SGSI.
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
Gracias a su colaboración y expertos comentarios, desarrollaremos la implantación de controles de acceso, correspondientes a la cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002) y relacionada mediante el Anexo A a la norma ISO 27001. La entrevista está disponible en: Artículos y podcasts.
Debido al enorme crecimiento que ha tenido DMR en su década de vida, aprovechamos para comunicar que a partir del 23 de Octubre pasa a denominarse "EVERIS".
Esta sección seguirá recibiendo nuevos podcasts y ampliando las aportaciones en relación a otras cláusulas y en relación a los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Alejandro García de BSI.Estado actual y evolución en la certificación ISO 27001
Podcast Alvaro Rodríguez de Roa.Certificación de un SGSI.
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
Corillian logra la certificación ISO 27001
18/October/2006
18/October/2006
Con el objetivo de propocionar mayores garantías a sus clientes, el proveedor de soluciones para banca on-line ha logrado recientemente la certificación en ISO 27001.Según Greg Hughes (CISO de Corillian) la seguridad en la información, datos y operaciones es una necesidad y se deberían abordar de manera proactiva. " El marco de ISO es el cimiento de todo que hacemos", comenta. "Proporciona una vía internacionalmente aceptada y reconocida de hacer las cosas a través del consejo de dirección."
Aunque no sea necesario certificar la empresa entera en ISO 27001, Corillian optó por hacerlo así. Hughes comenta que ya que todo Corillian debe tratar con la seguridad, era natural certificar la empresa entera. Esta acción, señala, "engendrará un alto grado de confianza con los clientes de instituciones financieras de Corillian.". "La confidencialidad con arreglo al cumplimiento y las mejores prácticas de seguridad es crítica para nuestros clientes," comenta. "Nuestras excepcionales prácticas en seguridad fomentan la confianza de nuestros clientes. La confianza nos aporta una ventaja estratégica."
Corillian ha trabajado en la certificación durante aproximadamente tres años, explica Hughes. Pero desde hace año y medio sus esfuerzos fueron realmente en serio. La empresa fue certificada en BS7799-2 y el proceso de certificación en ISO 27001 se inició en Octubre 2005. Hughes relata, "El alcanzar la certificación de ISO no es tarea fácil". "Esto es ... un paso a lo largo de un camino sin fin. Lograr el certificado es una cosa, mantenerlo es otra. "
A pesar del arduo trabajo, Hughes dice que bien merece el esfuerzo. "Es un análisis por parte de terceros muy detallado," indica. "Se dispone de una tercera parte objetiva que te visita y mantiene en un estándar que realmente aporta valor y se clava en la mirada de las personas que confían en tí."
Artículo completo en Banktech
Análisis de Riesgos: Casos de Estudio
18/October/2006
18/October/2006
Cuatro empresas reales de cuatro sectores distintos con cuatro métodos de evaluación del riesgo diferentes.
Interesante documento de GAO (General Accounting Office) que sigue siendo de utilidad y de referencia para entender la puesta en práctica y desarrollo de uno de los puntos fundamentales para la implantación de la norma ISO 27001.
Descarga directa en formato PDF Information Security Risk Assessment: Practices of Leading Organizations.
Interesante documento de GAO (General Accounting Office) que sigue siendo de utilidad y de referencia para entender la puesta en práctica y desarrollo de uno de los puntos fundamentales para la implantación de la norma ISO 27001.
Descarga directa en formato PDF Information Security Risk Assessment: Practices of Leading Organizations.
"Algunas Métricas buenas"
18/October/2006
18/October/2006
"Las métricas en seguridad de la Información no tienen por qué sustentarse en una dura báse matemática para ser eficaces, pero tampoco tienen que simplificarse al rojo, amarillo, verde. Aquí se presentan cinco métricas y modos de presentación."
Artículo de Scott Berinato para CISO.
Visite nuestra sección de Boletines.
Visite nuestra sección de Boletines.
Contenidos: Boletín número 12 de IRCA en español
18/October/2006
18/October/2006
Contenidos: "Quantico" Número 3 del boletín de Asira en español.
18/October/2006
18/October/2006
Quantico es una revista en español dedicada a la seguridad de la información editada por la Asociación de Seguridad de la Información de la República Argentina (ASIRA).
Sumario:
- Investigación y desarrollo como base de la seguridad.
- El derecho penal argentino y la informática.
- Actualidad de la seguridad de la información en Japón.
- Conceptos báscios en seguridad en bases de datos.
- La seguridad de la información en las organizaciones.
- La gestión de incidentes - De recomendación a deber.
- Auditoría de Código Web: Remote Include Vulnerabilities.
Descarga del número 3 disponible en formato PDF: Quantico.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
Sumario:
- Investigación y desarrollo como base de la seguridad.
- El derecho penal argentino y la informática.
- Actualidad de la seguridad de la información en Japón.
- Conceptos báscios en seguridad en bases de datos.
- La seguridad de la información en las organizaciones.
- La gestión de incidentes - De recomendación a deber.
- Auditoría de Código Web: Remote Include Vulnerabilities.
Descarga del número 3 disponible en formato PDF: Quantico.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
Contenidos: Ampliamos nuestra sección de ISO 27000
18/October/2006
18/October/2006
Hemos ampliado nuestra sección de ISO 27000 y hemos revisado y renovado la sección con información actual de las series.
Visite nuestra sección de ISO 27000.
Visite nuestra sección de ISO 27000.
¿Cómo calcular el valor de la seguridad?
18/October/2006
18/October/2006
Arturo W. Coviello, presidente de RSA (división de seguridad de EMC Corp.), hizo un llamamiento para que el gobierno sea más proactivo en la seguridad TI.
"Por demasiado tiempo la seguridad ha sido defensiva más que ofensiva", declaró. Pero un miembro de la audiencia con 30 años de experiencia al servicio del gobierno contestó que se fuerza a tomar la postura defensiva porque la financiación a menudo está disponible para tratar solamente un problema que ha sucedido ya.
"Aplicas el modo reactivo porque tienes la prueba de que algo va mal" dijo. "Es muy difícil convencer a la gerencia que gaste dinero en algo teórico. Es un problema cultural al que hacemos frente continuamente".
Hay una carencia de métricas para determinar el valor de una inversión en seguridad dentro del gobierno. El proceso directo en el mundo de los negocios, donde el beneficio y pérdidas se miden en dólares y centavos. Esto permite a las compañías cuantificar riesgos y costes y determinar el retorno de inversión ROI. Pero el gobierno no trata con beneficios y pérdidas.
"Es realmente difícil realizar un ROI para la seguridad en ese contexto" dijo Coviello. "El día antes de una brecha en seguridad el ROI es cero" dijo Dennis Hoffman, vice presidente de RSA de soluciones para la empresa. "El día después es infinito".
Artículo e información completa en GCN.
"Por demasiado tiempo la seguridad ha sido defensiva más que ofensiva", declaró. Pero un miembro de la audiencia con 30 años de experiencia al servicio del gobierno contestó que se fuerza a tomar la postura defensiva porque la financiación a menudo está disponible para tratar solamente un problema que ha sucedido ya.
"Aplicas el modo reactivo porque tienes la prueba de que algo va mal" dijo. "Es muy difícil convencer a la gerencia que gaste dinero en algo teórico. Es un problema cultural al que hacemos frente continuamente".
Hay una carencia de métricas para determinar el valor de una inversión en seguridad dentro del gobierno. El proceso directo en el mundo de los negocios, donde el beneficio y pérdidas se miden en dólares y centavos. Esto permite a las compañías cuantificar riesgos y costes y determinar el retorno de inversión ROI. Pero el gobierno no trata con beneficios y pérdidas.
"Es realmente difícil realizar un ROI para la seguridad en ese contexto" dijo Coviello. "El día antes de una brecha en seguridad el ROI es cero" dijo Dennis Hoffman, vice presidente de RSA de soluciones para la empresa. "El día después es infinito".
Artículo e información completa en GCN.
¿Qué nivel de inseguridad piensa usted que tiene?
18/October/2006
18/October/2006
Un nuevo estudio sobre 1.000 trabajadores remotos patrocinado por Cisco, indica que que los trabajadores pueden estar involucrados en más actividades inseguras de las que están dispuestos a admitir.
Los usuarios están aparentemente concienciados sobre las actividades inseguras, tales como no abrir E-mails de remitentes desconocidos pero todavía abren los correos y los adjuntos que contienen.
Solamente el 25 por ciento admitió usar sus computadoras de trabajo para abrir un E-mail desconocido. Sin embargo, cuando en la pregunta sobre lo que hacen con E-mails desconocidos, los resultados eran algo diferentes y un 44 por ciento admitió que abriría el E-mail.
Similar contradicción apareció en respuesta a las preguntas sobre el uso personal de los ordenadores del trabajo. EL 29 por ciento respondió que utilizaba su computadora de trabajo para propósitos personales pero el 40 por ciento admitió usar su computadora de trabajo para la compra de artículos personales y hasta 46 por ciento admitió descargar archivos personales.
"Vemos inconsistencias entre lo qué gente dice que hace y lo que proponen que deberían hacer en ciertos casos," dijo Erica DesRoches, encargada del estudio por InsightExpress. Veintiuno por ciento admitió permitir que otros utilicen sus computadoras del trabajo y el once por ciento utilizar la conexión inalámbrica de su vecino.
Según DesRoches, la inconsistencia de las respuestas es uno de los aspectos más sorprendentes del estudio y que requiere, probablemente, de un exámen adicional para una mejor comprensión.
"La gente entiende que debe estar al tanto sobre la seguridad pero no se comporta de forma segura". Dijo DesRoches, "¿es que porque se sienten excesivamente confiados en que su departamento TI los cubre en todos las situaciones o porque están simplemente dispuestos a asumir el riesgo?"
Desde el punto de vista de Cisco, el examen y sus resultados no influyen en desarrollo de ningún producto del Cisco. Bruce Murphy, Vicepresidente de Servicios de Cisco, declaró: "La gente experta en el mundo de la seguridad sabe que no es cuestión de un área o asunto específico. Son los comportamientos de la gente."
Artículo e información completa en Internetnews..
Los usuarios están aparentemente concienciados sobre las actividades inseguras, tales como no abrir E-mails de remitentes desconocidos pero todavía abren los correos y los adjuntos que contienen.
Solamente el 25 por ciento admitió usar sus computadoras de trabajo para abrir un E-mail desconocido. Sin embargo, cuando en la pregunta sobre lo que hacen con E-mails desconocidos, los resultados eran algo diferentes y un 44 por ciento admitió que abriría el E-mail.
Similar contradicción apareció en respuesta a las preguntas sobre el uso personal de los ordenadores del trabajo. EL 29 por ciento respondió que utilizaba su computadora de trabajo para propósitos personales pero el 40 por ciento admitió usar su computadora de trabajo para la compra de artículos personales y hasta 46 por ciento admitió descargar archivos personales.
"Vemos inconsistencias entre lo qué gente dice que hace y lo que proponen que deberían hacer en ciertos casos," dijo Erica DesRoches, encargada del estudio por InsightExpress. Veintiuno por ciento admitió permitir que otros utilicen sus computadoras del trabajo y el once por ciento utilizar la conexión inalámbrica de su vecino.
Según DesRoches, la inconsistencia de las respuestas es uno de los aspectos más sorprendentes del estudio y que requiere, probablemente, de un exámen adicional para una mejor comprensión.
"La gente entiende que debe estar al tanto sobre la seguridad pero no se comporta de forma segura". Dijo DesRoches, "¿es que porque se sienten excesivamente confiados en que su departamento TI los cubre en todos las situaciones o porque están simplemente dispuestos a asumir el riesgo?"
Desde el punto de vista de Cisco, el examen y sus resultados no influyen en desarrollo de ningún producto del Cisco. Bruce Murphy, Vicepresidente de Servicios de Cisco, declaró: "La gente experta en el mundo de la seguridad sabe que no es cuestión de un área o asunto específico. Son los comportamientos de la gente."
Artículo e información completa en Internetnews..
Lugares de trabajo: Amenazas internas a la seguridad
18/October/2006
18/October/2006
Al presentar su nota principal en la conferencia del IT Compliance Institute, el autor sobre seguridad informática Dan Verton, dijo que una organización de tecnologías de la información, encara una ascendente batalla cuando disminuye la protección de sus activos. Las antiguas defensas perimetrales, se han vuelto inútiles.
"Sus programas de seguridad, políticas y procedimientos, están viniéndose abajo miserablemente y ustedes no lo saben," dijo Verton a sus oyentes. "Podrían estar gastando millones en su defensa perimetral, pero resulta que no tienen un perímetro."
"Usted tiene un promedio de usuarios que son leales, pero ellos está manipulando información que es distribuida de forma íntegra a toda una empresa no protegida." Por ejemplo, ellos pueden usar por comodidad, una cuenta de correo Web para enviar a los clientes información acerca de sus cuentas, aún cuando la compañía pueda tener una política de envío de tal información a través de correo encriptado. Un virus o gusano que penetre el perímetro de seguridad de la organización puede obtener esa información.
"Ello hace caer cualquier intento de crear una cultura de seguridad," dice Verton.
Artículo en español vsantivirus.
"Sus programas de seguridad, políticas y procedimientos, están viniéndose abajo miserablemente y ustedes no lo saben," dijo Verton a sus oyentes. "Podrían estar gastando millones en su defensa perimetral, pero resulta que no tienen un perímetro."
"Usted tiene un promedio de usuarios que son leales, pero ellos está manipulando información que es distribuida de forma íntegra a toda una empresa no protegida." Por ejemplo, ellos pueden usar por comodidad, una cuenta de correo Web para enviar a los clientes información acerca de sus cuentas, aún cuando la compañía pueda tener una política de envío de tal información a través de correo encriptado. Un virus o gusano que penetre el perímetro de seguridad de la organización puede obtener esa información.
"Ello hace caer cualquier intento de crear una cultura de seguridad," dice Verton.
Artículo en español vsantivirus.
Futuro del liderazgo en TI
18/October/2006
18/October/2006
La conexión entre TI y el negocio se intensifica y la demanda de CIOs (Chief Information Officer) para la búsqueda de nuevos productos, servicios y capcacidades dentro de las empresas se ha incrementado de forma espectacular.
"La dirección está reclamando que los CIOs salgan de las salas de servidores y se concentren en el negocio"
Presentación del podcast en: Gartner Voice
Descarga directa del audio en MP3: Download MP3 (11:22 9.55MB)
"La dirección está reclamando que los CIOs salgan de las salas de servidores y se concentren en el negocio"
Presentación del podcast en: Gartner Voice
Descarga directa del audio en MP3: Download MP3 (11:22 9.55MB)
Los costes en seguridad disminuyen con buenas políticas
18/October/2006
18/October/2006
Las empresas afrontarán, cada vez más frecuentemente, a criminales expertos en TI que tratan de infiltrarse en las redes corporativas para acceder a datos sensibles almacenados en las bases de datos, pero mediante la adopción de nuevas políticas para evaluar el riesgo se debería ayudar a disminuir el coste de las defensas, según declaraciones recientes de analistas de seguridad.
Sin embargo, muchas organizaciones crean la política de seguridad en base a las regulaciones estatales más que en función de las amenazas. El resultado son políticas que cumplen con las exigencias de los auditores pero no son, necesariamente, las mejores para la seguridad global. "Lo denominamos como 'la distracción reguladora'" dijo Jay Heiser, vicepresidente de Gartner research.
En vez de esperar una nueva regulación, es mejor para empresas tratar las regulaciones como un factor más dentro del portafolio de riesgos generales.
En relación a la adquisición de nuevo software, en vez de comprar el "mejor producto de seguridad de la gama", las empresas pueden comprar el que "mejor se adapta a las necesidades", uno que puede no estar en la cima del mercado pero reune las exigencias que necesita la empresa, dijo Vic Wheatman, vicepresidente directivo de analistas de investigación de Gartner.
"Realmente pensamos que con el tiempo, las organizaciones pueden disminuir sus presupuestos en seguridad así como un porcentaje del presupuesto TI", dijo Wheatman.
Artículo e información completa en Computerworld.
Sin embargo, muchas organizaciones crean la política de seguridad en base a las regulaciones estatales más que en función de las amenazas. El resultado son políticas que cumplen con las exigencias de los auditores pero no son, necesariamente, las mejores para la seguridad global. "Lo denominamos como 'la distracción reguladora'" dijo Jay Heiser, vicepresidente de Gartner research.
En vez de esperar una nueva regulación, es mejor para empresas tratar las regulaciones como un factor más dentro del portafolio de riesgos generales.
En relación a la adquisición de nuevo software, en vez de comprar el "mejor producto de seguridad de la gama", las empresas pueden comprar el que "mejor se adapta a las necesidades", uno que puede no estar en la cima del mercado pero reune las exigencias que necesita la empresa, dijo Vic Wheatman, vicepresidente directivo de analistas de investigación de Gartner.
"Realmente pensamos que con el tiempo, las organizaciones pueden disminuir sus presupuestos en seguridad así como un porcentaje del presupuesto TI", dijo Wheatman.
Artículo e información completa en Computerworld.
Mientras las empresas continuan disminuyendo su dependencia de los registros en papel, los auditores internos precisan estar al frente de la situación conociendo los ingredientes necesarios para llevar a cabo y de forma efectiva un programa de gestión de registros digitales.
Artículo de Raquel Filipek, Editora de IT Audit.
Artículo de Raquel Filipek, Editora de IT Audit.
Sexta Guia GTAG: Gestión y auditoría de vulnerabilidades TI
18/October/2006
18/October/2006
La guía para la gestión y auditoría de vulnerabilidades TI fue desarrollada para ayudar a CAEs (Chief audit executive) a plantear las preguntas adecuadas al personal de seguridad TI, al evaluar la eficacia de sus procesos de gestión de las vulnerabilidades. La guía recomienda prácticas de gestión específicas para ayudar a la organización a alcanzar y mantener niveles más altos de eficacia y eficiencia e ilustra las diferencias entre los esfuerzos altos/bajos de gestión de las vulnerabilidades realizados.
Después de la lectura de esta guía:
· Tendrá los conocimientos preciso de los procesos de gestión de las vulnerabilidades.
· Tendrá la capacidad de distinguir entre organizaciones con rendimientos altos/bajos de gestión de las vulnerabilidades.
· Se habrá familiarizado con la típica progresión de las capacidades, partiendo de un enfoque basado en la tecnología a un enfoque basado en el riesgo hasta un enfoque en base a procesos TI.
· Proveerá una guía util a la dirección de sistemas TI en base a las mejores prácticas para la gestión de las vulnerabilidades.
· Será capaz de vender sus recomendaciones de forma más efectiva a su CIO (chief information officer), CISO (chief information security officer), CEO (chief executive officer) y CFO (chief financial officer).
Descarga directa: Download GTAG 6: Managing and Auditing IT Vulnerabilities (PDF 574KB).
Visite nuestra sección de Publicaciones.
Fidelity Federal Bank and Trust deberá pagar 50 millones de dólares por la compra ilícita de 565.600 nombres y direcciones para su uso en campañas de marketing directo.
En el periodo del año 2000 al 2003, Fidelity compró datos con información personal de conductores residentes en la zona de Palm Beach, por tan sólo 5.656 dólares (un penique por cada registro personal).
El banco se beneficiaba de esta información para la demanda de prestamos bancarios en la compra de vehículos, según recoge el pleito colectivo.
Además de la indemnización monetaria, el banco ha certificado que no retuvo datos del estado de Florida y que cumplirá los términos de confidencialidad relativos a la no difusión o venta de los datos así como procesos de auditoría.
Los términos de cumplimiento dependerán de la adquisición pendiente de Fidelity Federal por el National City Corp. en un billón de dólares americanos.
Artículo completo en Banktech
En el periodo del año 2000 al 2003, Fidelity compró datos con información personal de conductores residentes en la zona de Palm Beach, por tan sólo 5.656 dólares (un penique por cada registro personal).
El banco se beneficiaba de esta información para la demanda de prestamos bancarios en la compra de vehículos, según recoge el pleito colectivo.
Además de la indemnización monetaria, el banco ha certificado que no retuvo datos del estado de Florida y que cumplirá los términos de confidencialidad relativos a la no difusión o venta de los datos así como procesos de auditoría.
Los términos de cumplimiento dependerán de la adquisición pendiente de Fidelity Federal por el National City Corp. en un billón de dólares americanos.
Artículo completo en Banktech
Día Mundial de la Normalización
08/October/2006
08/October/2006
El 14 de Octubre es la fecha elegida todos los años para celebrar el Día Mundial de la Normalización, que en 2006 se conmemora por 37ª vez.
Los representantes de las tres instituciones que lo promueven -Renzo Tani, Presidente de la International Electrotechnical Commission (IEC), Masami Tanaka, Presidente de la International Organization for Standardization (ISO), y Yoshio Utsumi, Secretario General de la International Telecommunication Union (ITU)- destacan este año cómo los estándares suponen una gran ayuda para las PyMEs, que totalizan el 95% de las empresas a nivel mundial. Esto es así por la transferencia de tecnologías, técnicas y sistemas de gestión que suponen los estándares para este tipo de empresas, sobre todo en un mundo cada vez más interconectado.
Más información en ISO.org
Los representantes de las tres instituciones que lo promueven -Renzo Tani, Presidente de la International Electrotechnical Commission (IEC), Masami Tanaka, Presidente de la International Organization for Standardization (ISO), y Yoshio Utsumi, Secretario General de la International Telecommunication Union (ITU)- destacan este año cómo los estándares suponen una gran ayuda para las PyMEs, que totalizan el 95% de las empresas a nivel mundial. Esto es así por la transferencia de tecnologías, técnicas y sistemas de gestión que suponen los estándares para este tipo de empresas, sobre todo en un mundo cada vez más interconectado.
Más información en ISO.org
Applus+ Formación tiene programados una serie de cursos relacionados con Seguridad de la Información para este último trimestre del año. Tienen lugar en Barcelona y Madrid y se enmarcan en dos bloques: auditoría e implantación. Los cursos son los siguientes:
Bellaterra (Barcelona), auditoría:
Metodología de Auditoría de un Sistema de Gestión de la Seguridad de la Información según ISO 19011:2002
23-24 Octubre.
Auditoría de un Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2005
25-27 Octubre
Metodología de Auditoría de un Sistema de Gestión de la Seguridad de la Información según ISO 19011:2002
11-12 Diciembre
Auditoría de un Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2005
13-15 Diciembre
Bellaterra (Barcelona), implantación:
Cómo Identificar y Gestionar los Riesgos de la Seguridad de la Información
11-12 Diciembre
Cómo Implantar un Sistema de Gestión de Seguridad de la Información (SGSI)
13-15 Diciembre
Métricas e Indicadores en un Sistema de Gestión de Seguridad de la Información
18 Diciembre
Gestión de la Continuidad del Negocio y Planes de Contingencia para la Seguridad de los Sistemas de Información
19 Diciembre
Madrid, auditoría:
Metodología de Auditoría de un Sistema de Gestión de la Seguridad de la Información según ISO 19011:2002
27-28 Noviembre
Auditoría de un Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2005
29 Noviembre - 1 Diciembre
Madrid, implantación:
Cómo Identificar y Gestionar los Riesgos de la Seguridad de la Información
13-14 Noviembre
Cómo Implantar un Sistema de Gestión de Seguridad de la Información (SGSI)
15-17 Noviembre
Métricas e Indicadores en un Sistema de Gestión de Seguridad de la Información
20 Noviembre
Gestión de la Continuidad del Negocio y Planes de Contingencia para la Seguridad de los Sistemas de Información
21 Noviembre
Para más detalles e inscripciones: Applus+ Formación.
Bellaterra (Barcelona), auditoría:
Metodología de Auditoría de un Sistema de Gestión de la Seguridad de la Información según ISO 19011:2002
23-24 Octubre.
Auditoría de un Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2005
25-27 Octubre
Metodología de Auditoría de un Sistema de Gestión de la Seguridad de la Información según ISO 19011:2002
11-12 Diciembre
Auditoría de un Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2005
13-15 Diciembre
Bellaterra (Barcelona), implantación:
Cómo Identificar y Gestionar los Riesgos de la Seguridad de la Información
11-12 Diciembre
Cómo Implantar un Sistema de Gestión de Seguridad de la Información (SGSI)
13-15 Diciembre
Métricas e Indicadores en un Sistema de Gestión de Seguridad de la Información
18 Diciembre
Gestión de la Continuidad del Negocio y Planes de Contingencia para la Seguridad de los Sistemas de Información
19 Diciembre
Madrid, auditoría:
Metodología de Auditoría de un Sistema de Gestión de la Seguridad de la Información según ISO 19011:2002
27-28 Noviembre
Auditoría de un Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2005
29 Noviembre - 1 Diciembre
Madrid, implantación:
Cómo Identificar y Gestionar los Riesgos de la Seguridad de la Información
13-14 Noviembre
Cómo Implantar un Sistema de Gestión de Seguridad de la Información (SGSI)
15-17 Noviembre
Métricas e Indicadores en un Sistema de Gestión de Seguridad de la Información
20 Noviembre
Gestión de la Continuidad del Negocio y Planes de Contingencia para la Seguridad de los Sistemas de Información
21 Noviembre
Para más detalles e inscripciones: Applus+ Formación.
ISO anunció el pasado 15 de Septiembre la publicación del estándar ISO/IEC 17021:2006 de requisitos para entidades auditoras y certificadoras de sistemas de gestión.
Esta norma ha sido diseñada como una única fuente de requisitos internacionalmente armonizados para los cuerpos certificadores y sus actividades, no sólo en relación a ISO 9001 (calidad) e ISO 14001 (medio ambiente), sino también ISO 22000 (seguridad alimentaria), ISO 27001 (seguridad de la información), ISO/PAS 28000 (seguridad de la cadena de suministro) y cualquier otro estándar de sistemas de gestión que pueda desarrollarse.
ISO 17021 sustituye a las Guías ISO/IEC 62 y 66 e incorpora aportaciones del International Accreditation Forum, asociación internacional de entidades de acreditación (las que acreditan a las entidades de certificación).
La importancia de esta norma se deduce de la cifra de 880.000 organizaciones en 161 países que están certificadas de forma independiente (por "tercera parte") en ISO 9001:2000 y/o ISO 14001:2004.
Más información en ISO.org.
Esta norma ha sido diseñada como una única fuente de requisitos internacionalmente armonizados para los cuerpos certificadores y sus actividades, no sólo en relación a ISO 9001 (calidad) e ISO 14001 (medio ambiente), sino también ISO 22000 (seguridad alimentaria), ISO 27001 (seguridad de la información), ISO/PAS 28000 (seguridad de la cadena de suministro) y cualquier otro estándar de sistemas de gestión que pueda desarrollarse.
ISO 17021 sustituye a las Guías ISO/IEC 62 y 66 e incorpora aportaciones del International Accreditation Forum, asociación internacional de entidades de acreditación (las que acreditan a las entidades de certificación).
La importancia de esta norma se deduce de la cifra de 880.000 organizaciones en 161 países que están certificadas de forma independiente (por "tercera parte") en ISO 9001:2000 y/o ISO 14001:2004.
Más información en ISO.org.
La empresa consultora especializada en seguridad de la información ESA-Security organiza regularmente en su sede de Las Rozas (Madrid) desayunos de trabajo, de asistencia gratuita, dedicados a distintos temas relacionados con ISO 27001 y los SGSI.
Los próximos a celebrar son:
Hacking Ético, el 19 de Octubre.
ISO 27001, el 26 de Octubre.
Más información e inscripciones en ESA-Security.
Los próximos a celebrar son:
Hacking Ético, el 19 de Octubre.
ISO 27001, el 26 de Octubre.
Más información e inscripciones en ESA-Security.
NIST (National Institute of Standards and Technology de EEUU) ha publicado en el mes de Septiembre otra de sus excelentes guías (en inglés), en esta ocasión titulada "Guidelines for Media Sanitization".
La guía, de 43 páginas, hace un recorrido de introducción a la eliminación de información de los soportes que la contienen, los roles y responsabilidades, el proceso de decisión, las técnicas utilizadas, recomendaciones de medidas mínimas a tomar, glosario, herramientas y recursos, recomendaciones para teletrabajadores y usuarios particulares y fuentes de información.
El documento puede descargarse gratuitamente de NIST SP800-88
La guía, de 43 páginas, hace un recorrido de introducción a la eliminación de información de los soportes que la contienen, los roles y responsabilidades, el proceso de decisión, las técnicas utilizadas, recomendaciones de medidas mínimas a tomar, glosario, herramientas y recursos, recomendaciones para teletrabajadores y usuarios particulares y fuentes de información.
El documento puede descargarse gratuitamente de NIST SP800-88
La Universidad Internacional Menéndez Pelayo (UIMP) celebra esta semana, del 9 al 11 de Octubre, un curso sobre Seguridad en las Tecnologías de la Información y Comunicación en Cuenca.
Algunos de los temas sobre los que versarán las ponencias son: Amenazas y vulnerabilidades; Documentación Seguridad/Normativa/Planes de Continuidad; El régimen jurídico de la criptología como herramienta de la STIC; Esquema Nacional de Evaluación y Certificación de la Seguridad de las T.I.; Análisis de Riesgos; Procedimiento de acreditación; Seguridad Perimetral; Seguridad de redes inalámbricas; Amenazas y vulnerabilidades del correo electrónico.
Más información en UIMP.
Algunos de los temas sobre los que versarán las ponencias son: Amenazas y vulnerabilidades; Documentación Seguridad/Normativa/Planes de Continuidad; El régimen jurídico de la criptología como herramienta de la STIC; Esquema Nacional de Evaluación y Certificación de la Seguridad de las T.I.; Análisis de Riesgos; Procedimiento de acreditación; Seguridad Perimetral; Seguridad de redes inalámbricas; Amenazas y vulnerabilidades del correo electrónico.
Más información en UIMP.
Jornadas de Firma Electrónica en Barcelona (España)
08/October/2006
08/October/2006
Del 17 al 19 de Octubre tendrán lugar en Barcelona las terceras Jornadas de Firma Electrónica, organizadas por la Agència Catalana de Certificació - CATCert -, en el marco de la Administració Oberta de Catalunya.
Estas jornadas, dirigidas a los profesionales del ámbito de la certificación electrónica del sector público y del privado, contarán con más de 30 conferencias, más de 70 conferenciantes y más de 400 participantes. Se tratarán temas como la gestión y federación de identidades, la e-salud, el certificado de persona jurídica versus el certificado de órgano, la e-justicia, la e-contratación, los dominios de confianza y auditoría y los servicios públicos de identidad digital transfronterizos, entre otros.
Más información e inscripciones, en JS-E.net.
Estas jornadas, dirigidas a los profesionales del ámbito de la certificación electrónica del sector público y del privado, contarán con más de 30 conferencias, más de 70 conferenciantes y más de 400 participantes. Se tratarán temas como la gestión y federación de identidades, la e-salud, el certificado de persona jurídica versus el certificado de órgano, la e-justicia, la e-contratación, los dominios de confianza y auditoría y los servicios públicos de identidad digital transfronterizos, entre otros.
Más información e inscripciones, en JS-E.net.
InfoSecurity Montevideo (Uruguay)
08/October/2006
08/October/2006
Tendrá lugar en Montevideo el evento InfoSecurity organizado por la empresa I-SEC Information Security.
Se celebrará el 8 y 9 de Noviembre en el Hotel Meliá Confort y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
Se celebrará el 8 y 9 de Noviembre en el Hotel Meliá Confort y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
En más de una ocasión hemos mencionado documentos relacionados con seguridad de la información del "Department of Trade and Industry" (DTI; Departamento de Comercio e Industria) del Reino Unido.
Hay que recordar que el DTI está en el origen de BS7799 e ISO 27001 (ver nuestro podcast Historia de ISO 27001), por lo que tiene una larga experiencia en documentación y concienciación en seguridad de la información.
En su página web hay tres secciones en las que se encuentran documentos de lectura recomendada, pues son en general guías resumidas, directas y sencillas de comprender, con introducciones a la seguridad de la información para directivos, guías de redacción de políticas, resúmenes de análisis y gestión de riesgos, ejemplos de políticas de seguridad, pósters de concienciación, etc.
Visite estos enlaces:
Business Advice
Downloads 1/2
Downloads 2/2
Hay que recordar que el DTI está en el origen de BS7799 e ISO 27001 (ver nuestro podcast Historia de ISO 27001), por lo que tiene una larga experiencia en documentación y concienciación en seguridad de la información.
En su página web hay tres secciones en las que se encuentran documentos de lectura recomendada, pues son en general guías resumidas, directas y sencillas de comprender, con introducciones a la seguridad de la información para directivos, guías de redacción de políticas, resúmenes de análisis y gestión de riesgos, ejemplos de políticas de seguridad, pósters de concienciación, etc.
Visite estos enlaces:
Business Advice
Downloads 1/2
Downloads 2/2
Contenidos: Ampliada nuestra sección de herramientas
08/October/2006
08/October/2006
Hemos ampliado nuestra sección de herramientas con nuevos enlaces. Al mismo tiempo, hemos revisado y corregido enlaces que ya no eran actuales.
Visite nuestra sección de Herramientas.
Visite nuestra sección de Herramientas.
La Fundación General UNED (Universidad Nacional de Educación a Distancia) imparte del 30 de Noviembre de 2006 al 30 de Junio de 2007 un curso a distancia de Experto Universitario en Protección de Datos, con inclusión de conferencias presenciales.
El temario es el siguiente:
Tema 1: Origen y fundamento de la protección de datos
Tema 2: Estudio de la legislación europea y nacional
Tema 3: El estado y los datos
Tema 4: Instituciones dedicadas a la protección de datos
Tema 5: Principios jurídicos en la protección de datos
Tema 6: Datos especialmente protegidos
Tema 7: El derecho de acceso
Tema 8: Los derechos de rectificación, cancelación y oposición
Tema 9: La inscripción y registro de ficheros y bases de datos
Más información en Fundación UNED.
El temario es el siguiente:
Tema 1: Origen y fundamento de la protección de datos
Tema 2: Estudio de la legislación europea y nacional
Tema 3: El estado y los datos
Tema 4: Instituciones dedicadas a la protección de datos
Tema 5: Principios jurídicos en la protección de datos
Tema 6: Datos especialmente protegidos
Tema 7: El derecho de acceso
Tema 8: Los derechos de rectificación, cancelación y oposición
Tema 9: La inscripción y registro de ficheros y bases de datos
Más información en Fundación UNED.
Del 21 al 23 de Noviembre, la empresa Orión organiza en Santiago un curso de Diseño y Gestión de un Plan de Continuidad del Negocio.
El curso será impartido por Alberto G. Alexander, experto en la materia.
Para más información: ORION
El curso será impartido por Alberto G. Alexander, experto en la materia.
Para más información: ORION
Curso de implantación de SGSI en Castellón (España)
08/October/2006
08/October/2006
La Cámara de Comercio de Castellón ofrece un curso de 16 horas sobre la implantación de un SGSI según ISO 27001. Tendrá lugar del 6 al 9 de Noviembre.
Para más información: Cámara Castellón
Para más información: Cámara Castellón
Primer Congreso Mexicano de Seguridad Informática
08/October/2006
08/October/2006
El IEEE Sección Puebla y AMICEE organizan del 14 al 17 de Noviembre el primer Congreso Mexicano de Seguridad Informática en Ciudad de México. El programa incluye conferencias magistrales, talleres, sesiones orales, stands con productos y servicios de seguridad de la información, etc.
Para más información e inscripción: MCIS
Para más información e inscripción: MCIS
Gary Hinson, en Noticebored, comenta el adelanto que hace ZDNET de la lista de 2007 de mayores amenazas de seguridad del SANS Institute.
Según esta lista, los ordenadores portátiles deberían ser la mayor preocupación de las empresas en cuanto a seguridad de la información, debido a la imparable sustitución de equipos de sobremesa por aquéllos. La combinación de datos altamente sensibles sacados fuera de la organización con la falta de encriptación y los errores humanos que llevan al robo de los equipos deberían dar a esta cuestión prioridad máxima.
Del mismo modo, aumentará el robo de otros equipos portátiles, como PDAs y smart phones, debido al valor de los datos que puedan contener.
Otras amenazas emergentes a tener en cuenta deberían ser las relacionadas con virus para teléfonos móviles y VoIP.
Según esta lista, los ordenadores portátiles deberían ser la mayor preocupación de las empresas en cuanto a seguridad de la información, debido a la imparable sustitución de equipos de sobremesa por aquéllos. La combinación de datos altamente sensibles sacados fuera de la organización con la falta de encriptación y los errores humanos que llevan al robo de los equipos deberían dar a esta cuestión prioridad máxima.
Del mismo modo, aumentará el robo de otros equipos portátiles, como PDAs y smart phones, debido al valor de los datos que puedan contener.
Otras amenazas emergentes a tener en cuenta deberían ser las relacionadas con virus para teléfonos móviles y VoIP.
Informe sobre sanciones de la AEPD
08/October/2006
08/October/2006
Javier Cao comunica la realización por parte de la empresa Firma, Proyectos y Formación, S.L. de un informe basado en el análisis de 170 sentencias publicadas por la Agencia Española de Protección de Datos durante el primer semestre de este año. A través del estudio de dichas sentencias y sanciones se obtienen algunas conclusiones sobre qué partes de la LOPD se están implantando o asumiendo con mayor dificultad en las organizaciones.
El informe puede descargarse en: Firma Consultores
El informe puede descargarse en: Firma Consultores
Contenidos: Nuevo artículo sobre métricas de seguridad
01/October/2006
01/October/2006
ISACA (Information Systems Audit and Control Association) ha autorizado a www.iso27000.es a traducir al español y publicar una serie de artículos relacionados con ISO 27001 y la seguridad de la información.
El segundo de estos artículos que traducimos, publicado originalmente en el número 2 de 2005 de la revista "Information Systems Control Journal", lleva por título "¿Cómo puede medirse la seguridad?".
En él, David A. Chapin y Steven Akridge hacen un recorrido introductorio por las métricas de seguridad tradicionales y los modelos de madurez de seguridad existentes (a los que hacen la crítica de que suelen mezclar existencia con calidad), pasando a continuación a proponer un nuevo modelo de madurez, basado en ISO 17799, que evalúa de forma separada el nivel de madurez y la calidad de los elementos de seguridad implantados.
Visite nuestra sección de Artículos y Podcast.
Original en inglés en ISACA.
El segundo de estos artículos que traducimos, publicado originalmente en el número 2 de 2005 de la revista "Information Systems Control Journal", lleva por título "¿Cómo puede medirse la seguridad?".
En él, David A. Chapin y Steven Akridge hacen un recorrido introductorio por las métricas de seguridad tradicionales y los modelos de madurez de seguridad existentes (a los que hacen la crítica de que suelen mezclar existencia con calidad), pasando a continuación a proponer un nuevo modelo de madurez, basado en ISO 17799, que evalúa de forma separada el nivel de madurez y la calidad de los elementos de seguridad implantados.
Visite nuestra sección de Artículos y Podcast.
Original en inglés en ISACA.
José M. Fernández, del Grupo Nexus Consultores y Auditores, nos hace llegar la interesante noticia de la iniciativa del Proyecto Camersec.
Este proyecto, que promueven Nexus Consultores y Asesores, la Cámara de Comercio, Industria y Navegación de Málaga y la consultora tecnológica Tecnotur 3000, está orientado a la implantación de sistemas de gestión de seguridad de la información según ISO 27001.
Al mismo podrán adherirse todas las empresas que lo deseen, siendo las PyMEs andaluzas especialmente beneficiadas, ya que pueden entrar en la iniciativa acometida para incentivación del proyecto por parte de la Agencia IDEA de la Consejería de Innovación, Ciencia y Empresa de la Junta de Andalucía.
Los detalles del proyecto en concreto se abordarán en la Jornada de Presentación del mismo:
Lugar: Cámara de Comercio, Industria y Navegación de Málaga.
Dirección: c/ Cortina del Muelle, 23 - Palacio de Villalcázar. - Málaga
Fecha: 26 de Octubre de 2006.
Horario: 10:00 - 11:30 de la mañana.
Para más información e inscripción gratuita en la jornada de presentación: Nexus
Este proyecto, que promueven Nexus Consultores y Asesores, la Cámara de Comercio, Industria y Navegación de Málaga y la consultora tecnológica Tecnotur 3000, está orientado a la implantación de sistemas de gestión de seguridad de la información según ISO 27001.
Al mismo podrán adherirse todas las empresas que lo deseen, siendo las PyMEs andaluzas especialmente beneficiadas, ya que pueden entrar en la iniciativa acometida para incentivación del proyecto por parte de la Agencia IDEA de la Consejería de Innovación, Ciencia y Empresa de la Junta de Andalucía.
Los detalles del proyecto en concreto se abordarán en la Jornada de Presentación del mismo:
Lugar: Cámara de Comercio, Industria y Navegación de Málaga.
Dirección: c/ Cortina del Muelle, 23 - Palacio de Villalcázar. - Málaga
Fecha: 26 de Octubre de 2006.
Horario: 10:00 - 11:30 de la mañana.
Para más información e inscripción gratuita en la jornada de presentación: Nexus
31 empresas certificadas en UNE 71502
01/October/2006
01/October/2006
Según nos comunica AENOR, a día de hoy ya son 31 las empresas certificadas en UNE 71502.
UNE 71502 es un estándar español que especifica los requisitos de un sistema de gestión de seguridad de la información. Fue publicado en 2004, tiene un contenido muy semejante a BS 7799-2 y remite a ISO 17799 para la selección de controles.
UNE 71502 es un estándar español que especifica los requisitos de un sistema de gestión de seguridad de la información. Fue publicado en 2004, tiene un contenido muy semejante a BS 7799-2 y remite a ISO 17799 para la selección de controles.
Entre el 13 y el 30 de Noviembre de 2006, AENOR organiza en Madrid los siguientes cursos:
"S-01 FUNDAMENTOS DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN ISO17799", 13 Nov.
"S-02 CÓMO IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN", 14-15 Nov.
"S-03 TALLER PRÁCTICO DE ANÁLISIS Y GESTIÓN DE RIESGOS DE LA INFORMACIÓN", 16-17 Nov.
"S-04 ASPECTOS JURÍDICOS DE LA SEGURIDAD DE LA INFORMACIÓN", 20 Nov.
"S-06 IMPLANTACIÓN PRÁCTICA DE LA LOPD", 21 Nov.
"S-07 MÉTRICAS DE INDICADORES EN SEGURIDAD DE LA INFORMACIÓN", 22 Nov.
"S-08 CONCIENCIACIÓN Y COMUNICACIÓN EN SEGURIDAD", 23 Nov.
"S-05 METODOLOGÍA DE AUDITORÍA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN", 27-28 Nov.
"S-09 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Y PLANES CONTINGENCIA", 29-30 Nov.
Los cursos S-01, S-02, S-03 y S-09, junto con un examen, dan acceso al título de Implantador de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.740 €.
Los cursos S-01, S-02 y S-05, junto con un examen, dan acceso al título de Auditor de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.000 €.
Para más detalles e inscripciones: Centro de Formación AENOR.
"S-01 FUNDAMENTOS DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN ISO17799", 13 Nov.
"S-02 CÓMO IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN", 14-15 Nov.
"S-03 TALLER PRÁCTICO DE ANÁLISIS Y GESTIÓN DE RIESGOS DE LA INFORMACIÓN", 16-17 Nov.
"S-04 ASPECTOS JURÍDICOS DE LA SEGURIDAD DE LA INFORMACIÓN", 20 Nov.
"S-06 IMPLANTACIÓN PRÁCTICA DE LA LOPD", 21 Nov.
"S-07 MÉTRICAS DE INDICADORES EN SEGURIDAD DE LA INFORMACIÓN", 22 Nov.
"S-08 CONCIENCIACIÓN Y COMUNICACIÓN EN SEGURIDAD", 23 Nov.
"S-05 METODOLOGÍA DE AUDITORÍA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN", 27-28 Nov.
"S-09 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Y PLANES CONTINGENCIA", 29-30 Nov.
Los cursos S-01, S-02, S-03 y S-09, junto con un examen, dan acceso al título de Implantador de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.740 €.
Los cursos S-01, S-02 y S-05, junto con un examen, dan acceso al título de Auditor de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.000 €.
Para más detalles e inscripciones: Centro de Formación AENOR.
Transcurrido un año desde el inicio de su actividad, ENISA (European Network and Information Security Agency) lleva los últimos meses presentando los resultados de los primeros proyectos finalizados.
En este contexto, ha presentado la semana pasada un interesante trabajo dedicado a la gestión y evaluación de riesgos, en forma de una página web dedicada a múltiples aspectos de dichas materias:
- Presentación detallada de las fases de la gestión de riesgos.
- Posicionamiento de la gestión de riesgos dentro de la seguridad de la información.
- Inventario de 13 metodologías usadas en Europa, con amplia información de cada una.
- Inventario de 12 herramientas usadas en Europa, con descripción de su funcionalidad.
- Funciones de comparación de metodologías y herramientas.
- Glosario.
- Guía de 177 páginas en .pdf
Está previsto que este inventario se siga ampliando en el futuro. Para iniciar esa tarea, ENISA ya ha organizado un workshop de gestión del riesgo en Roma el próximo 13 de Octubre. La asistencia es libre hasta cubrir 40 plazas.
En este contexto, ha presentado la semana pasada un interesante trabajo dedicado a la gestión y evaluación de riesgos, en forma de una página web dedicada a múltiples aspectos de dichas materias:
- Presentación detallada de las fases de la gestión de riesgos.
- Posicionamiento de la gestión de riesgos dentro de la seguridad de la información.
- Inventario de 13 metodologías usadas en Europa, con amplia información de cada una.
- Inventario de 12 herramientas usadas en Europa, con descripción de su funcionalidad.
- Funciones de comparación de metodologías y herramientas.
- Glosario.
- Guía de 177 páginas en .pdf
Está previsto que este inventario se siga ampliando en el futuro. Para iniciar esa tarea, ENISA ya ha organizado un workshop de gestión del riesgo en Roma el próximo 13 de Octubre. La asistencia es libre hasta cubrir 40 plazas.
En Septiembre se ha llegado a 3.006 empresas certificadas en ISO 27001 y BS 7799-2 en el mundo.
En ISO 27001 son concretamente 352, cifra que incluye 132 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 220 nuevas certificaciones.
Encabeza la lista Japón, con 1.730 certificaciones, y le siguen el Reino Unido, con 314, y la India con 237.
Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.
Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:
España, 8.
México, 4.
Argentina, 3.
Colombia, 2.
Chile, 1.
Perú, 1.
Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.
En ISO 27001 son concretamente 352, cifra que incluye 132 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 220 nuevas certificaciones.
Encabeza la lista Japón, con 1.730 certificaciones, y le siguen el Reino Unido, con 314, y la India con 237.
Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.
Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:
España, 8.
México, 4.
Argentina, 3.
Colombia, 2.
Chile, 1.
Perú, 1.
Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.
En Electronic Design, Brian McCarthy comenta los datos del último estudio realizado por CompTIA (Computing Technology Industry Association) sobre amenazas de seguridad de la información.
Destaca el dato de que el 59% de las 574 organizaciones encuestadas indican que su última brecha de seguridad fue debida a un error humano (normalmente, por no ajustarse el personal a las políticas y procedimientos de seguridad), mientras que sólo el 29% de las empresas dice que la formación en seguridad sea un requerimiento para ellas. El 84% de aquéllas donde todo el personal recibe formación en seguridad han reducido su número de brechas importantes.
Todos estos datos discordantes dan a entender que la seguridad de la información sigue considerándose mayoritariamente un asunto de tecnologías y no un componente básico del negocio.
Destaca el dato de que el 59% de las 574 organizaciones encuestadas indican que su última brecha de seguridad fue debida a un error humano (normalmente, por no ajustarse el personal a las políticas y procedimientos de seguridad), mientras que sólo el 29% de las empresas dice que la formación en seguridad sea un requerimiento para ellas. El 84% de aquéllas donde todo el personal recibe formación en seguridad han reducido su número de brechas importantes.
Todos estos datos discordantes dan a entender que la seguridad de la información sigue considerándose mayoritariamente un asunto de tecnologías y no un componente básico del negocio.
"Storage y Security Forum 2006" en Barcelona (España)
01/October/2006
01/October/2006
El 26 y 27 de Octubre tendrá lugar en Barcelona la edición de 2006 del "Storage y Security Forum 2006".
La feria se centra en soluciones de almacenamiento y seguridad de sistemas por medio de 20 expositores y 22 conferencias.
Información e inscripción gratuita en: Storage Forum Iberia
La feria se centra en soluciones de almacenamiento y seguridad de sistemas por medio de 20 expositores y 22 conferencias.
Información e inscripción gratuita en: Storage Forum Iberia
Guía de gestión de logs de NIST (SP800-92)
01/October/2006
01/October/2006
NIST (National Institute of Standards and Technology de EEUU) ha publicado en el mes de Septiembre otra de sus excelentes guías (en inglés), en esta ocasión titulada "Guide to Computer Security Log Management").
La guía, de 72 páginas, hace un recorrido de introducción a la gestión de logs, la infraestructura necesaria, la planificación de la gestión y los procesos operativos.
El documento puede descargarse gratuitamente en: NIST SP800-92
La guía, de 72 páginas, hace un recorrido de introducción a la gestión de logs, la infraestructura necesaria, la planificación de la gestión y los procesos operativos.
El documento puede descargarse gratuitamente en: NIST SP800-92
Tercer podcast de Symantec sobre conformidad
01/October/2006
01/October/2006
Como anunciamos en Julio pasado, Symantec ha comenzado un ciclo de interesantes podcasts en inglés sobre conformidad (Sarbanes-Oxley, privacidad...).
Ha sido publicada la tercera entrega de esta serie (Compliance Briefing 3), centrada en esta ocasión en Gestión de Identidades. David Smith y Gordon Cooper, consultores de Symantec, presentan el concepto de Modelo de Datos (Data Model) y sus componentes de estructura, clasificación de información, propietario de la información, ciclo de vida de los datos, etc.
Los anteriores podcasts de esta serie han sido:
En el primer podcast (Compliance Briefing 1), David Smith, consultor de seguridad de Symantec, explica cómo el tratamiento de seguridad de la información en las organizaciones ha evolucionado de la conformidad con políticas internas a la conformidad con regulaciones externas y cómo esto ha llevado de un enfoque más técnico y preocupado de la seguridad día a día a un enfoque más orientado al negocio y sus riesgos. Ha pasado de ser una tarea táctica a ser estratégica, con lo que la seguridad de la información ha subido en la jerarquía de las organizaciones para intervenir en todas sus actividades, dejando de centrarse sólo en sistemas TI y abarcando los sistemas de negocio, formados por procesos, personas y herramientas.
En el segundo podcast de la serie (Compliance Briefing 2), David Smith y Jim Robinson, consultores de seguridad de Symantec, analizan uno de los pilares básicos de la seguridad de la información, y a veces no suficientemente estudiado en las organizaciones, como es el control de acceso a la información. En el curso de la conversación aparecen dos conceptos del control de acceso que las organizaciones suelen enfocar mal: la herencia cultural de que el área de TI es la propietaria de los datos (y no sólo la que los custodia) y el desconocimiento por parte de los propietarios reales de dónde se encuentra toda su información (servidores, PCs, bases de datos, cintas de backup, papel...). Dónde están los datos y quién es su propietario es la base organizativa para pasar a la parte técnica de implementación de accesos.
La serie de podcasts tendrá su continuación en próximas semanas.
Ha sido publicada la tercera entrega de esta serie (Compliance Briefing 3), centrada en esta ocasión en Gestión de Identidades. David Smith y Gordon Cooper, consultores de Symantec, presentan el concepto de Modelo de Datos (Data Model) y sus componentes de estructura, clasificación de información, propietario de la información, ciclo de vida de los datos, etc.
Los anteriores podcasts de esta serie han sido:
En el primer podcast (Compliance Briefing 1), David Smith, consultor de seguridad de Symantec, explica cómo el tratamiento de seguridad de la información en las organizaciones ha evolucionado de la conformidad con políticas internas a la conformidad con regulaciones externas y cómo esto ha llevado de un enfoque más técnico y preocupado de la seguridad día a día a un enfoque más orientado al negocio y sus riesgos. Ha pasado de ser una tarea táctica a ser estratégica, con lo que la seguridad de la información ha subido en la jerarquía de las organizaciones para intervenir en todas sus actividades, dejando de centrarse sólo en sistemas TI y abarcando los sistemas de negocio, formados por procesos, personas y herramientas.
En el segundo podcast de la serie (Compliance Briefing 2), David Smith y Jim Robinson, consultores de seguridad de Symantec, analizan uno de los pilares básicos de la seguridad de la información, y a veces no suficientemente estudiado en las organizaciones, como es el control de acceso a la información. En el curso de la conversación aparecen dos conceptos del control de acceso que las organizaciones suelen enfocar mal: la herencia cultural de que el área de TI es la propietaria de los datos (y no sólo la que los custodia) y el desconocimiento por parte de los propietarios reales de dónde se encuentra toda su información (servidores, PCs, bases de datos, cintas de backup, papel...). Dónde están los datos y quién es su propietario es la base organizativa para pasar a la parte técnica de implementación de accesos.
La serie de podcasts tendrá su continuación en próximas semanas.
Curso sobre BS 7858 en Londres (Reino Unido)
30/September/2006
30/September/2006
En vista del éxito del seminario sobre la norma BS 7858 organizado para el 4 de Octubre (cuyo aforo ya está completado), British Standards Institution ha organizado uno nuevo el 14 de Noviembre, en Londres.
El código de buenas prácticas BS 7858:2006, publicado por British Standards Institution como revisión de la versión de 2004, se refiere a la comprobación de antecedentes en la contratación de personas para entornos donde la seguridad es importante.
Incluye contenidos sobre incorporaciones y traslados, personal auxiliar, contratas y subcontratas, modelos de impresos, empleados dedicados a comprobación de antecedentes, proceso de comprobación de antecedentes, relación con protección de datos personales, etc.
Debe recordarse que el control A.8.1.2 de ISO 27001 se refiere precisamente a esta temática y que, por tanto, este código de buenas prácticas es muy útil para desarrollar dicho punto.
Información y compra de la norma: BS 7858
Información e inscripción en el seminario: Seminario BS 7858
El código de buenas prácticas BS 7858:2006, publicado por British Standards Institution como revisión de la versión de 2004, se refiere a la comprobación de antecedentes en la contratación de personas para entornos donde la seguridad es importante.
Incluye contenidos sobre incorporaciones y traslados, personal auxiliar, contratas y subcontratas, modelos de impresos, empleados dedicados a comprobación de antecedentes, proceso de comprobación de antecedentes, relación con protección de datos personales, etc.
Debe recordarse que el control A.8.1.2 de ISO 27001 se refiere precisamente a esta temática y que, por tanto, este código de buenas prácticas es muy útil para desarrollar dicho punto.
Información y compra de la norma: BS 7858
Información e inscripción en el seminario: Seminario BS 7858
4ª sesión de 2006 de los foros FAST de Dintel
30/September/2006
30/September/2006
El 4 de Octubre tendrá lugar en Madrid, en el Club Financiero Génova, la 4ª sesión de los Foros FAST de este año organizados por la Fundación Dintel.
Estos Foros están orientados a la sensibilización en materia de seguridad de la información, la presentación de productos y tecnologías relacionados con auditoría y seguridad y el debate de estrategias de protección de la información.
Las ponencias que se impartirán en esta ocasión serán:
"Arbitraje y nuevas tecnologías". Ignacio San Juan. Arbitralia.
"Presentación de productos y tecnologías". Alberto Castella. Chloride Power Protection.
"Perspectiva de empresa". Pedro P. Pérez. Telefónica Empresas.
"Privacidad e Investigación en Biomedicina: soluciones técnicas". Manuel de Buenaga. Universidad Europea de Madrid.
Para más información e inscripción: Dintel
Estos Foros están orientados a la sensibilización en materia de seguridad de la información, la presentación de productos y tecnologías relacionados con auditoría y seguridad y el debate de estrategias de protección de la información.
Las ponencias que se impartirán en esta ocasión serán:
"Arbitraje y nuevas tecnologías". Ignacio San Juan. Arbitralia.
"Presentación de productos y tecnologías". Alberto Castella. Chloride Power Protection.
"Perspectiva de empresa". Pedro P. Pérez. Telefónica Empresas.
"Privacidad e Investigación en Biomedicina: soluciones técnicas". Manuel de Buenaga. Universidad Europea de Madrid.
Para más información e inscripción: Dintel
¿Quién fue W. Edwards Deming?
30/September/2006
30/September/2006
ISO 27001, al igual que gran parte de los sistemas de gestión actuales, se basan en el ciclo PDCA (Plan-Do-Check-Act; Planificar-Hacer-Verificar-Actuar) o ciclo de Deming. (Vea nuestras secciones ISO 27000 y SGSI.)
Este ciclo fue desarrollado por W. Edwards Deming (1900-1993), una de las personas que más influencia ha tenido en los sistemas de calidad a nivel mundial. Especialmente, se le recuerda en Japón, donde se le reconoce como el inspirador de la cultura de la calidad en ese país, a partir de las conferencias y múltiples cursos que impartió allí en los años 50.
La fundación que lleva su nombre pone a disposición del público en su web información sobre su vida y su obra. Una prueba de la influencia que tuvo la da la lectura del resumen de algunas de sus ideas sobre la calidad, que siguen vigentes en su mayor parte hoy en día (ver 1 y 2).
Este ciclo fue desarrollado por W. Edwards Deming (1900-1993), una de las personas que más influencia ha tenido en los sistemas de calidad a nivel mundial. Especialmente, se le recuerda en Japón, donde se le reconoce como el inspirador de la cultura de la calidad en ese país, a partir de las conferencias y múltiples cursos que impartió allí en los años 50.
La fundación que lleva su nombre pone a disposición del público en su web información sobre su vida y su obra. Una prueba de la influencia que tuvo la da la lectura del resumen de algunas de sus ideas sobre la calidad, que siguen vigentes en su mayor parte hoy en día (ver 1 y 2).
Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una entrevista a Alejandro García Ruiz, de BSI, Auditor jefe de BSI España y miembro del Consejo Directivo del Registro de Auditores de Sistemas de Información RASI, órgano especializado del Consejo General de Colegios de Economistas de España
Con él hablaremos, entre otros, sobre el estado actual y evolución en la certificación ISO 27001. La entrevista está disponible en: Artículos y podcasts.
Esta sección seguirá recibiendo nuevos podcasts, con aportaciones relacionadas con los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Alvaro Rodríguez de Roa.Certificación de un SGSI.
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
Con él hablaremos, entre otros, sobre el estado actual y evolución en la certificación ISO 27001. La entrevista está disponible en: Artículos y podcasts.
Esta sección seguirá recibiendo nuevos podcasts, con aportaciones relacionadas con los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Alvaro Rodríguez de Roa.Certificación de un SGSI.
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
David Brewer y Michael Nash, consultores y expertos en seguridad de la información, han autorizado a www.iso27000.es a traducir su interesante documento "A TALE OF BS 7799-2 CERTIFICATION", donde explica a modo de diario personal cómo consiguieron la certificación de su Pyme en las dos normas ISO 9001 e ISO 27001 de forma integrada y con un único sistema de gestión.
El artículo es anterior a la publicación de la norma ISO 27001, por lo tanto, la norma vigente en la fecha del artículo era BS 7799-2:2002. El artículo pretende servir de ayuda a las Pymes al dar una visión muy útil y de primera mano tanto sobre el proceso de implantación, así como de la propia visita de auditoría.
Descarga desde Artículos y Podcast.
Original en inglés e información en Gamma Secure Systems Limited.
Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa Gamma Secure Systems Limited han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.
Ambos han dado su consentimiento explícito a www.iso27000.es para la traducción y difusión desde esta Web de los tres artículos publicados.
El artículo es anterior a la publicación de la norma ISO 27001, por lo tanto, la norma vigente en la fecha del artículo era BS 7799-2:2002. El artículo pretende servir de ayuda a las Pymes al dar una visión muy útil y de primera mano tanto sobre el proceso de implantación, así como de la propia visita de auditoría.
Descarga desde Artículos y Podcast.
Original en inglés e información en Gamma Secure Systems Limited.
Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa Gamma Secure Systems Limited han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.
Ambos han dado su consentimiento explícito a www.iso27000.es para la traducción y difusión desde esta Web de los tres artículos publicados.
"Magos", "Gatas" y "Clones", El circo del dinero
27/September/2006
27/September/2006
Normalmente, cuando las Fuerzas y Cuerpos de Seguridad del Estado desarticulan una organización criminal dedicada a la falsificación de tarjetas de crédito para su posterior utilización fraudulenta, entre los efectos intervenidos a los detenidos suele siempre aparecer un artilugio muy típico, vulgarmente conocido en el argot como "gata".
“La “siembra”, el “lazo libanés”, la “copia remota” y la “réplica de cajeros”forman ya parte de la metodología criminal para obtener los datos de la tarjeta de crédito”.
Cuando el cliente de una gasolinera, restaurante o centro comercial abona el pago de su cuenta con la tarjeta de crédito, el empleado del establecimiento pasará la misma por el datáfono y, al mismo tiempo, si directa o indirectamente pertenece o colabora con una organización criminal, por la “gata” que tenga debidamente camuflada.
Con la información obtenida se obtendrán nuevas tarjetas fraudulentas que servirán para efectuar compras en establecimientos comerciales.
Artículo de Pedro Moreno Vivas: Seguritecnia, número de Septiembre.
“La “siembra”, el “lazo libanés”, la “copia remota” y la “réplica de cajeros”forman ya parte de la metodología criminal para obtener los datos de la tarjeta de crédito”.
Cuando el cliente de una gasolinera, restaurante o centro comercial abona el pago de su cuenta con la tarjeta de crédito, el empleado del establecimiento pasará la misma por el datáfono y, al mismo tiempo, si directa o indirectamente pertenece o colabora con una organización criminal, por la “gata” que tenga debidamente camuflada.
Con la información obtenida se obtendrán nuevas tarjetas fraudulentas que servirán para efectuar compras en establecimientos comerciales.
Artículo de Pedro Moreno Vivas: Seguritecnia, número de Septiembre.
Contenidos: "Ambito" Nuevo enlace dentro de nuestro boletín de noticias
27/September/2006
27/September/2006
Revista Trimestral que ofrece información al profesional de la Sociedad de la Información.
Punto de encuentro entre los diferentes agentes, un referente común para la Administración, los operadores, los usuarios, y los profesionales que trabajan para la mejora y la calidad de los servicios para avanzar en el desarrollo de la sociedad de la información.
Último número disponible en formato PDF: Ambito.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
Punto de encuentro entre los diferentes agentes, un referente común para la Administración, los operadores, los usuarios, y los profesionales que trabajan para la mejora y la calidad de los servicios para avanzar en el desarrollo de la sociedad de la información.
Último número disponible en formato PDF: Ambito.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
Guía de gestión del riesgo por Shon Harris.
27/September/2006
27/September/2006
Shon Harris es CISSP, MCSE y preside Logical Security, empresa especializada en formación en seguridad y herramientas. Shon es consultora en seguridad y autora de varios libros y en relación a la preparación de CISSP así como co-autor de "Gray Hat Hacking: The Ethical Hacker's Handbook".
La siguiente relación es una buena introducción a la gestión de riesgos y presentada en cortos capítulos:
La siguiente relación es una buena introducción a la gestión de riesgos y presentada en cortos capítulos:
RISK MANAGEMENT GUIDE
Introduction: Understanding risk
Computer Forensics: A Valuable Audit Tool
27/September/2006
27/September/2006
Aunque las técnicas forenses sean un valioso instrumento para investigar casos de fraude, muchos auditores no son todavía conscientes del modo apropiado de conducir una investigación forense y asegurar las pruebas necesarias para ser usadas en un tribunal.
Robos de datos, ataques, virus, y amenazas internas son algunos de los temas de seguridad a los que muchas empresas se enfentan cada día. Además del empleo de medidas preventivas, como el uso de cortafuegos y dispositivos de detección de intrusión para prevenir violaciones de la seguridad y el éxito de los ataques externos, muchas organizaciones utilizan técnicas forenses para identificar casos de mal uso de ordenador e intrusión ilegal.
El empleo de técnicas forenses ha prosperado dentro de la profesión de auditoría interna. Sin embargo, muchos auditores internos no son conscientes de las ventajas que éstas técnicas puede aportar a las auditorías.
Aprender el modo de adquirir, analizar, y registrar datos por medios forenses puede ayudar a los auditores a aprovechar al máximo esta técnica, así como recuperar documentos previamente borrados que puedan proveer "el arma humeante" necesaria para determinar si una actividad fraudulenta ha sucedido.
Artículo de Ryan Purita, CISSP, ISSAP, ISSMP, EnCE: The IIA.
Robos de datos, ataques, virus, y amenazas internas son algunos de los temas de seguridad a los que muchas empresas se enfentan cada día. Además del empleo de medidas preventivas, como el uso de cortafuegos y dispositivos de detección de intrusión para prevenir violaciones de la seguridad y el éxito de los ataques externos, muchas organizaciones utilizan técnicas forenses para identificar casos de mal uso de ordenador e intrusión ilegal.
El empleo de técnicas forenses ha prosperado dentro de la profesión de auditoría interna. Sin embargo, muchos auditores internos no son conscientes de las ventajas que éstas técnicas puede aportar a las auditorías.
Aprender el modo de adquirir, analizar, y registrar datos por medios forenses puede ayudar a los auditores a aprovechar al máximo esta técnica, así como recuperar documentos previamente borrados que puedan proveer "el arma humeante" necesaria para determinar si una actividad fraudulenta ha sucedido.
Artículo de Ryan Purita, CISSP, ISSAP, ISSMP, EnCE: The IIA.
Contenidos: Nuevo número de "RedSeguridad".
27/September/2006
27/September/2006
Sumario:
- EDITORIAL: LA HERMANDAD DEL ORDENATA - PRóXIMO RETO PARA HACER SEGURAS LAS REDES CORPORATIVAS: ‘GREYNETS’ - LA SEGURIDAD TIC, UNA RESPONSABILIDAD DE TODOS - SEGURIDAD DE RED VERSUS RENDIMIENTO: NO ES NECESARIO ELEGIR - EL PUESTO DE TRABAJO EN LA ERA DEL CONOCIMIENTO - GARANTíA DE CONFIDENCIALIDAD DEL FLUJO DE INFORMACIóN - ENTREVISTAS: TOM DE JONGH, PRODUCT MANAGER DE SAFEBOOT - COBIT: OBJETIVOS DE CONTROL PARA LA INFORMACIóN Y TECNOLOGíAS AFINES - EL FACTOR HUMANO, ESLABóN MáS DéBIL DE LA SEGURIDAD DE LA INFORMACIóN - ANDREU GIL, CONSEJERO DELEGADO DE AEGIS SECURITY - RESPONSABILIDAD DE LA SEGURIDAD EN EL PUESTO DE TRABAJO
Acceso a contenidos: RedSeguridad.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
- EDITORIAL: LA HERMANDAD DEL ORDENATA - PRóXIMO RETO PARA HACER SEGURAS LAS REDES CORPORATIVAS: ‘GREYNETS’ - LA SEGURIDAD TIC, UNA RESPONSABILIDAD DE TODOS - SEGURIDAD DE RED VERSUS RENDIMIENTO: NO ES NECESARIO ELEGIR - EL PUESTO DE TRABAJO EN LA ERA DEL CONOCIMIENTO - GARANTíA DE CONFIDENCIALIDAD DEL FLUJO DE INFORMACIóN - ENTREVISTAS: TOM DE JONGH, PRODUCT MANAGER DE SAFEBOOT - COBIT: OBJETIVOS DE CONTROL PARA LA INFORMACIóN Y TECNOLOGíAS AFINES - EL FACTOR HUMANO, ESLABóN MáS DéBIL DE LA SEGURIDAD DE LA INFORMACIóN - ANDREU GIL, CONSEJERO DELEGADO DE AEGIS SECURITY - RESPONSABILIDAD DE LA SEGURIDAD EN EL PUESTO DE TRABAJO
Acceso a contenidos: RedSeguridad.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
Secretos de un negocio siempre arriba
27/September/2006
27/September/2006
Mantener el negocio operando requiere más que diseñar una estrategia, involucra disponibilidad de todos los recursos.
Artículo de Andrea Vega: Bsecure.
Artículo de Andrea Vega: Bsecure.
Cuando no se miden los riesgos
27/September/2006
27/September/2006
Es un hecho que no hay incidentes que se repitan de la misma forma ni afectan por igual a las empresas. Entonces, ¿cómo efectuar un análisis de riesgos en su organización?
Artículo de Lizzette Pérez Arbesú: Bsecure.
Artículo de Lizzette Pérez Arbesú: Bsecure.
Cursos ISO 17799 / ISO 27001 de ASIRA
27/September/2006
27/September/2006
ASIRA ofrece el dictado de los cursos oficiales de BSI para el entrenamiento en la Norma ISO 17799/ISO 27001.
Próximamente, en el mes de octubre, se brindarán por primera vez en Argentina el curso ISO 17799:2005/ISO 27001:2005 - Formación de Auditores Líderes en Sistema de Gestión de Seguridad de la
Información.
Cabe mencionar que asimismo se estarán dictando otros dos cursos oficiales de BSI, aunque aún no se ha definido el calendario correspondiente:
- ISO 17799:2005 / ISO 27001:2005 - Implementación del Sistema de Gestión de Seguridad de la Información.
- ISO 17799:2005 / ISO 27001:2005 - Entendimiento e interpretación de los requisitos
La inscripción se encuentra abierta.
Calendario e información completa de los cursos: Cursos ASIRA.
Visite nuestra sección de Eventos para consultar otros cursos y eventos.
Cabe mencionar que asimismo se estarán dictando otros dos cursos oficiales de BSI, aunque aún no se ha definido el calendario correspondiente:
- ISO 17799:2005 / ISO 27001:2005 - Implementación del Sistema de Gestión de Seguridad de la Información.
- ISO 17799:2005 / ISO 27001:2005 - Entendimiento e interpretación de los requisitos
La inscripción se encuentra abierta.
Calendario e información completa de los cursos: Cursos ASIRA.
Visite nuestra sección de Eventos para consultar otros cursos y eventos.
Contenidos: "Quantico" Número 2 del boletín de Asira en español.
27/September/2006
27/September/2006
Quantico es una revista en español dedicada a la seguridad de la información editada por la Asociación de Seguridad de la Información de la República Argentina (ASIRA).
Sumario:
- El desarrollo libre del conocimiento
- Cursos ISO 17799.
- Black Hat USA 2006.
- ASIRA en el contexto internacional.
- ¿Qué es un SGSI?.
- Ataques al perímetro de la organización: apenas la punta del iceberg.
- Seguridad de la Información y recursos humanos: nociones legales.
- Autenticación Dinámica - TOKEN - La centralización de recursos como alternativa a RSA.
- Cyber Terrorismo - Parte II.
Descarga del número 2 disponible en formato PDF: Quantico.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
Sumario:
- El desarrollo libre del conocimiento
- Cursos ISO 17799.
- Black Hat USA 2006.
- ASIRA en el contexto internacional.
- ¿Qué es un SGSI?.
- Ataques al perímetro de la organización: apenas la punta del iceberg.
- Seguridad de la Información y recursos humanos: nociones legales.
- Autenticación Dinámica - TOKEN - La centralización de recursos como alternativa a RSA.
- Cyber Terrorismo - Parte II.
Descarga del número 2 disponible en formato PDF: Quantico.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
Como un elemento más en una autenticación multifactor está bien, pero no se debe dejar toda la responsabilidad de una autenticación a la biometría. Sin embargo, cada día nos encontramos más implantados este tipo de dispositivos como única barrera. El hecho de que sea una tecnología más nueva crea una falsa sensación de seguridad a su alrededor, se vende muy bien, con el handicap de que la calidad y seguridad entre los diferentes dispositivos/marcas es bastante heterogénea.
La penúltima prueba en este campo ha aparecido en televisión, en una demostración para todos los públicos, de la mano del programa Mythbusters de Discovery Channel, donde literalmente se han burlado de un típico dispositivo de control de acceso basado en la huella dactilar.
Video:Demostración Biomtría
Información y noticia completa: Hispasec.
La penúltima prueba en este campo ha aparecido en televisión, en una demostración para todos los públicos, de la mano del programa Mythbusters de Discovery Channel, donde literalmente se han burlado de un típico dispositivo de control de acceso basado en la huella dactilar.
Video:Demostración Biomtría
Información y noticia completa: Hispasec.
El fiscal Ramón Siles será el encargado de coordinar las investigaciones de delitos informáticos, según anunció ayer el jefe del Ministerio Público en Alicante, José Antonio Romero. La nueva sección se ocupará, entre otras cosas, de todos aquellos asuntos relacionados con la pornografía infantil a través de Internet.
Según el coordinador del Ministerio Público, entre sus competencias entra la investigación de todos los asuntos de pornografía infantil a través de Internet, el terrorismo informático y los delitos económicos perpetrados a través de la red, tales como las estafas.
Información y noticia completa: La Verdad.
Según el coordinador del Ministerio Público, entre sus competencias entra la investigación de todos los asuntos de pornografía infantil a través de Internet, el terrorismo informático y los delitos económicos perpetrados a través de la red, tales como las estafas.
Información y noticia completa: La Verdad.
Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una entrevista a Álvaro Rodríguez de Roa, Director de Certificación de Servicios y Auditor de SGSI de la entidad de certificación SGS ICS.
Con él hablaremos sobre el proceso de certificación en ISO 27001. La entrevista está disponible en: Artículos y podcasts.
Esta sección seguirá recibiendo nuevos podcasts, con aportaciones relacionadas con los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
Con él hablaremos sobre el proceso de certificación en ISO 27001. La entrevista está disponible en: Artículos y podcasts.
Esta sección seguirá recibiendo nuevos podcasts, con aportaciones relacionadas con los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Agustín Lerma. Gestión de riesgos.
Podcast José Manuel Fernández. Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández. Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001. www.ISO27000.es
Gary Hinson hace referencia en NoticeBored al tercer estudio anual sobre el estado de seguridad de la información que acaba de presentar PricewaterhouseCoopers en colaboración con las revistas CIO Magazine y CSO Magazine.
El estudio, basado en una encuesta realizada a 7.800 ejecutivos de empresas de 50 países, revela que la tarea de seguridad de la información se va afianzando en las empresas, que se alinea progresivamente con la seguridad física y va recibiendo más presupuestos específicos; sin embargo, sigue siendo bajo el número de empresas que tienen una estrategia global de seguridad.
El estudio dedica un apartado importante a la India -como gran proveedor mundial de servicios TI-, donde la situación en seguridad de la información va mejorando, pero sigue estando lejos de los estándares que serían deseables. Se analiza también el efecto de las diferentes legislaciones -en especial, las referidas a privacidad-, la falta de confianza de las organizaciones en las medidas de seguridad de terceros -p. ej., proveedores de outsourcing- y el estado en sectores específicos como servicios financieros y banca, sanidad, organismos públicos, industria farmacéutica y nuevas tecnologías.
El estudio, basado en una encuesta realizada a 7.800 ejecutivos de empresas de 50 países, revela que la tarea de seguridad de la información se va afianzando en las empresas, que se alinea progresivamente con la seguridad física y va recibiendo más presupuestos específicos; sin embargo, sigue siendo bajo el número de empresas que tienen una estrategia global de seguridad.
El estudio dedica un apartado importante a la India -como gran proveedor mundial de servicios TI-, donde la situación en seguridad de la información va mejorando, pero sigue estando lejos de los estándares que serían deseables. Se analiza también el efecto de las diferentes legislaciones -en especial, las referidas a privacidad-, la falta de confianza de las organizaciones en las medidas de seguridad de terceros -p. ej., proveedores de outsourcing- y el estado en sectores específicos como servicios financieros y banca, sanidad, organismos públicos, industria farmacéutica y nuevas tecnologías.
Noticias sobre empresas españolas certificadas
16/September/2006
16/September/2006
El pasado mes de Agosto, la empresa Verio, perteneciente a NTT, dedicada a servicios de hosting y seguridad, ha obtenido la certificación ISO 27001 para todas sus filiales operativas europeas, incluida la española. Con ello, se convierte en la octava empresa certificada en España, como puede comprobarse en www.iso27001certificates.com.
El pasado mes de Julio, tras pasar su auditoría de mantenimiento, la empresa consultora Nextel actualizó su certificación de BS 7799 a ISO 27001.
El pasado 14 de Agosto, la entidad financiera española "La Caixa" anunció la certificación de su SGSI en ISO 27001, tras auditoría por parte de Applus+. La Caixa continúa en la banca el camino que abrió en su día Caja Madrid (certificada por BSI en BS7799). Aquí cabe recordar que Applus+, al igual que el resto de certificadoras españolas, aún no está acreditada internacionalmente para otorgar certificados ISO 27001, ya que ENAC (Entidad Nacional de Acreditación) todavía no dispone de esquema de acreditación.
Como informa la Asociación Española de Empresas de Consultoría en su web, Soluziona ha sido la primera consultora española en obtener la certificación ISO 20000 (anterior BS 15000), norma basada en ITIL que estandariza los servicios TI proporcionados por una organización. La auditoría la llevó a cabo BSI (British Standards Institution) en junio y julio pasados.
El pasado mes de Julio, tras pasar su auditoría de mantenimiento, la empresa consultora Nextel actualizó su certificación de BS 7799 a ISO 27001.
El pasado 14 de Agosto, la entidad financiera española "La Caixa" anunció la certificación de su SGSI en ISO 27001, tras auditoría por parte de Applus+. La Caixa continúa en la banca el camino que abrió en su día Caja Madrid (certificada por BSI en BS7799). Aquí cabe recordar que Applus+, al igual que el resto de certificadoras españolas, aún no está acreditada internacionalmente para otorgar certificados ISO 27001, ya que ENAC (Entidad Nacional de Acreditación) todavía no dispone de esquema de acreditación.
Como informa la Asociación Española de Empresas de Consultoría en su web, Soluziona ha sido la primera consultora española en obtener la certificación ISO 20000 (anterior BS 15000), norma basada en ITIL que estandariza los servicios TI proporcionados por una organización. La auditoría la llevó a cabo BSI (British Standards Institution) en junio y julio pasados.
Nuevo blog de seguridad de la información: radajo.blogspot.com
15/September/2006
15/September/2006
Desde el pasado 27 de Julio, está disponible un nuevo blog sobre seguridad de la información: radajo.blogspot.com.
Está escrito en inglés, aunque es la iniciativa de tres españoles (Raúl Siles, David Pérez y Jorge Ortiz), conocidos expertos en seguridad de la información. Tanto es así, que son tres de las cinco personas que a nivel mundial están en posesión de la máxima certificación de seguridad de SANS Institute, la de GIAC Security Expert, como puede comprobarse en giac.org.
También es posible sindicarse.
Está escrito en inglés, aunque es la iniciativa de tres españoles (Raúl Siles, David Pérez y Jorge Ortiz), conocidos expertos en seguridad de la información. Tanto es así, que son tres de las cinco personas que a nivel mundial están en posesión de la máxima certificación de seguridad de SANS Institute, la de GIAC Security Expert, como puede comprobarse en giac.org.
También es posible sindicarse.
Congreso NcN 2006 en Palma de Mallorca (España)
15/September/2006
15/September/2006
Del 28 al 30 de Septiembre tendrá lugar en Palma de Mallorca el Congreso NcN de seguridad informática, en el que se presentarán 10 ponencias sobre temas como aprovechamiento de vulnerabilidades en Windows, auditoría en DB2, seguridad de código mediante tecnología vírica, ingeniería inversa de malware, DNI electrónico, etc.
Más información en noconname.org.
Más información en noconname.org.
Documento sobre defensa en profundidad de sistemas de información
15/September/2006
15/September/2006
En varias ocasiones hemos mencionado la excelente fuente de información que es la página web de la Dirección Central de la Seguridad de los Sistemas de Información (SGDN/DCSSI) del Gobierno francés. Además, en un ejemplo de visión internacional, publica todos sus contenidos en francés, inglés, español y alemán.
Destacamos hoy un documento de 51 páginas dedicado a presentar la defensa en profundidad de los sistemas de información.
El concepto de defensa en profundidad tiene origen militar, de cuando las ciudades eran fortalezas, y así es como comienza el documento a presentarlo, pasando luego al terreno industrial y al de los sistemas de información. Aquí, se puede destacar la definición del término: "La defensa en profundidad del sistema de información es una defensa global y dinámica, que coordina varias líneas de defensa que cubren toda la profundidad del sistema. El término profundidad debe entenderse en su sentido más amplio, es decir, en la organización del SI, en su implementación y, por último, en las tecnologías utilizadas. Se trata, por lo tanto, de permitir acciones de neutralización de los atentados contra la seguridad, al menor costo, mediante la gestión de los riesgos, un sistema de informes, la planificación de las reacciones y el enriquecimiento permanente gracias a la experiencia adquirida".
A continuación, se hace un estudio teórico de todos los conceptos y fases que forman parte de este método y se aplican, por último, en la presentación de un caso práctico de un servicio de solicitudes vía Internet de documentación personal.
Destacamos hoy un documento de 51 páginas dedicado a presentar la defensa en profundidad de los sistemas de información.
El concepto de defensa en profundidad tiene origen militar, de cuando las ciudades eran fortalezas, y así es como comienza el documento a presentarlo, pasando luego al terreno industrial y al de los sistemas de información. Aquí, se puede destacar la definición del término: "La defensa en profundidad del sistema de información es una defensa global y dinámica, que coordina varias líneas de defensa que cubren toda la profundidad del sistema. El término profundidad debe entenderse en su sentido más amplio, es decir, en la organización del SI, en su implementación y, por último, en las tecnologías utilizadas. Se trata, por lo tanto, de permitir acciones de neutralización de los atentados contra la seguridad, al menor costo, mediante la gestión de los riesgos, un sistema de informes, la planificación de las reacciones y el enriquecimiento permanente gracias a la experiencia adquirida".
A continuación, se hace un estudio teórico de todos los conceptos y fases que forman parte de este método y se aplican, por último, en la presentación de un caso práctico de un servicio de solicitudes vía Internet de documentación personal.
Curso de introducción a ISO 27001 en Buenos Aires (Argentina)
18/September/2006
18/September/2006
ASIRA (Asociación de Seguridad de la Información de la República Argentina) organiza en el mes de Octubre en Buenos Aires un curso de 2 días de introducción a la norma ISO 27001.
Más información e inscripciones en : ASIRA.
Más información e inscripciones en : ASIRA.
Latin America CACS en Bogotá (Colombia)
15/September/2006
15/September/2006
Del 22 al 25 de Octubre, tendrá lugar en Bogotá (Colombia) la 11ª Conferencia Anual Latinoamericana de Auditoría, Control y Seguridad de TI organizada por ISACA.
Tendrán lugar 30 ponencias, encuadradas en 3 grupos: "Gobierno y Control de TI", "Auditoría de Sistemas de Información" y "Gestión de Seguridad de Sistemas de Información".
Adicionalmente, el 26 y 27 de Octubre, tendrán lugar 3 talleres prácticos: "Implementación de CobiT para la administración y gobierno de TI", "Desarrollo de auditorías de TI basadas en riesgo con utilización de herramientas de optimización de desempeño" y "Gestión de seguridad de sistemas de información".
Más información e inscripciones en: ISACA.
Tendrán lugar 30 ponencias, encuadradas en 3 grupos: "Gobierno y Control de TI", "Auditoría de Sistemas de Información" y "Gestión de Seguridad de Sistemas de Información".
Adicionalmente, el 26 y 27 de Octubre, tendrán lugar 3 talleres prácticos: "Implementación de CobiT para la administración y gobierno de TI", "Desarrollo de auditorías de TI basadas en riesgo con utilización de herramientas de optimización de desempeño" y "Gestión de seguridad de sistemas de información".
Más información e inscripciones en: ISACA.
Hace unos días ya que Javier Cao anunciaba un documento en inglés que publicó Microsoft en Agosto sobre cómo proteger a los usuarios internos de la ingeniería social.
A lo largo de 37 páginas, se presentan las amenazas potenciales referentes a temas como correo electrónico, ventanas emergentes en aplicaciones, mensajería instantánea, centralitas telefónicas, servicios de atención telefónica, gestión de residuos, contacto personal e ingeniería social inversa, se indica cómo diseñar una defensa mediante un marco de gestión de seguridad, una evaluación de riesgos y la inclusión de la ingeniería social en la política de seguridad, y, por último, se muestra cómo implantar dichas defensas mediante concienciación, gestión de incidencias, consideraciones operacionales y defensa en profundidad.
El documento está disponible para su descarga en Microsoft.
A lo largo de 37 páginas, se presentan las amenazas potenciales referentes a temas como correo electrónico, ventanas emergentes en aplicaciones, mensajería instantánea, centralitas telefónicas, servicios de atención telefónica, gestión de residuos, contacto personal e ingeniería social inversa, se indica cómo diseñar una defensa mediante un marco de gestión de seguridad, una evaluación de riesgos y la inclusión de la ingeniería social en la política de seguridad, y, por último, se muestra cómo implantar dichas defensas mediante concienciación, gestión de incidencias, consideraciones operacionales y defensa en profundidad.
El documento está disponible para su descarga en Microsoft.
Mapa europeo de CERTs
15/September/2006
15/September/2006
Hace ya algún tiempo que ENISA (European Network and Information Security Agency) publicó en su web un mapa de los CERTs (Computer Emergency Response Teams) que actúan en Europa.
En forma de mapa navegable, permite de forma muy sencilla el acceder a los datos de los CERTs de cada uno de los países. Además, ofrece otras varias formas de acceder a la misma información: listados por países, en documento .pdf con toda la información, como póster, etc.
Puede consultarse en ENISA.
En forma de mapa navegable, permite de forma muy sencilla el acceder a los datos de los CERTs de cada uno de los países. Además, ofrece otras varias formas de acceder a la misma información: listados por países, en documento .pdf con toda la información, como póster, etc.
Puede consultarse en ENISA.
Evento Symantec Vision en Madrid (España)
15/September/2006
15/September/2006
El 21 de Septiembre tendrá lugar en el Palacio Municipal de Congresos de Madrid la conferencia Symantec Vision Technology Roadshow 2006.
Comenzará a las 9:30 y se prolongará hasta las 17:40. Por la mañana, se ofrecerán ponencias sobre "La nueva Symantec", "Reducción de los riesgos de TI", "Caso de éxito: Madrid.org", "IDC: futuro del mercado de seguridad" y "Mesa redonda: Seguridad TI". Por la tarde, se ofrecerán 8 ponencias, separadas en dos grupos que tendrán lugar paralelamente: "Gestión del riesgo y compliance" y "Operaciones de TI y gestión integral del correo electrónico".
El evento contará también con una zona de exposición.
Más información e inscripciones en : Symantec Vision.
Comenzará a las 9:30 y se prolongará hasta las 17:40. Por la mañana, se ofrecerán ponencias sobre "La nueva Symantec", "Reducción de los riesgos de TI", "Caso de éxito: Madrid.org", "IDC: futuro del mercado de seguridad" y "Mesa redonda: Seguridad TI". Por la tarde, se ofrecerán 8 ponencias, separadas en dos grupos que tendrán lugar paralelamente: "Gestión del riesgo y compliance" y "Operaciones de TI y gestión integral del correo electrónico".
El evento contará también con una zona de exposición.
Más información e inscripciones en : Symantec Vision.
Guía de seguridad para Pymes de Microsoft
15/September/2006
15/September/2006
Microsoft dispone de una guía de seguridad de 71 páginas para Pymes en inglés . Naturalmente, está bastante centrada en productos Microsoft (por otra parte, los más habituales en Pymes), pero contiene muchos consejos prácticos escritos en un lenguaje claro y directo.
Puede descargarse en: Security_Guide_for_Small_Business.pdf.
Puede descargarse en: Security_Guide_for_Small_Business.pdf.
Cursos de preparación para CISA y CISM de la Fundación Dintel
15/September/2006
15/September/2006
La Fundación Dintel, a través de ETICA (Escuela DINTEL de práctica tecnológica en TIC Aplicadas), da comienzo el 21 de Septiembre a la segunda convocatoria de 2006 de sus cursos de preparación para CISA (Certified Information Systems Auditor) y CISM (Certified Information Security Manager) de ISACA.
La versión presencial de los cursos tendrá lugar a lo largo de todos los jueves y algunos sábados hasta Diciembre en el Hotel Preciados de Madrid. Asimismo, hay también una versión on-line.
Más información en : CISA, CISM.
La versión presencial de los cursos tendrá lugar a lo largo de todos los jueves y algunos sábados hasta Diciembre en el Hotel Preciados de Madrid. Asimismo, hay también una versión on-line.
Más información en : CISA, CISM.
Finaliza el plazo de inscripción para los exámenes CISA/CISM
15/September/2006
15/September/2006
El próximo 27 de Septiembre finaliza el plazo de inscripción para los exámenes de CISA (Certified Information Systems Auditor) y CISM (Certified Information Security Manager) de ISACA que tendrán lugar el 9 de Diciembre a nivel mundial.
Más información e inscripciones en: ISACA
Más información e inscripciones en: ISACA
Nuevo número de la revista a+))
15/September/2006
15/September/2006
Se ha publicado el número 5, correspondiente a Septiembre-Octubre, de la revista Auditoría y Seguridad.
Esta revista está disponible online en www.revista-ays.com, además de ser suscribible en su versión impresa.
Esta revista está disponible online en www.revista-ays.com, además de ser suscribible en su versión impresa.
Noticias de Alerta-Antivirus.es
15/September/2006
15/September/2006
Destacamos dos noticias de los últimos días de Alerta-Antivirus, referentes al Instituto Nacional de Tecnologías de la Comunicación (INTECO):
Acuerdo de colaboración del Centro de Alerta Temprana sobre Virus y Seguridad Informática español y el National Institute of Standards and Technology (NIST) de EEUU para incorporar diariamente al sistema español la traducción de las vulnerabilidades que el NIST da a conocer en su base de datos MITRE.
Nueva herramienta gratuita de instalación en PC, llamada ALERTVIR, que proporciona al usuario las últimas alertas y avisos de seguridad informática, ofrecida por INTECO en colaboración con la Asociación de Internautas.
Acuerdo de colaboración del Centro de Alerta Temprana sobre Virus y Seguridad Informática español y el National Institute of Standards and Technology (NIST) de EEUU para incorporar diariamente al sistema español la traducción de las vulnerabilidades que el NIST da a conocer en su base de datos MITRE.
Nueva herramienta gratuita de instalación en PC, llamada ALERTVIR, que proporciona al usuario las últimas alertas y avisos de seguridad informática, ofrecida por INTECO en colaboración con la Asociación de Internautas.
Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una entrevista a Agustín Lerma, Security Manager de Nextel, empresa consultora especializada en seguridad de la información y certificada ella misma en ISO 27001 y UNE 71502.
Con él hablaremos sobre el proceso de gestión de riesgos, piedra angular de los sistemas de gestión de seguridad de la información. La entrevista está disponible en: Podcast Agustín Lerma.
Esta sección seguirá recibiendo nuevos podcasts, con aportaciones relacionadas con los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Carlos Manuel Fernández. Aenor
Podcast José Manuel Fernández. Nexus
Podcast Historia de ISO 27001. www.ISO27000.es
Con él hablaremos sobre el proceso de gestión de riesgos, piedra angular de los sistemas de gestión de seguridad de la información. La entrevista está disponible en: Podcast Agustín Lerma.
Esta sección seguirá recibiendo nuevos podcasts, con aportaciones relacionadas con los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:
Podcast Carlos Manuel Fernández. Aenor
Podcast José Manuel Fernández. Nexus
Podcast Historia de ISO 27001. www.ISO27000.es
Desayunos de trabajo de ESA-Security en Madrid (España)
12/September/2006
12/September/2006
La empresa consultora especializada en seguridad de la información ESA-Security organiza regularmente en su sede de Las Rozas desayunos de trabajo, de asistencia gratuita, dedicados a distintos temas relacionados con ISO 27001 y los SGSI.
Los próximos a celebrar son:
ISO 27001, el 14 de Septiembre.
Análisis y gestión de riesgos, el 21 de Septiembre.
Plan de continuidad de negocio, el 28 de Septiembre.
Más información e inscripciones en ESA-Security.
Los próximos a celebrar son:
ISO 27001, el 14 de Septiembre.
Análisis y gestión de riesgos, el 21 de Septiembre.
Plan de continuidad de negocio, el 28 de Septiembre.
Más información e inscripciones en ESA-Security.
Contenidos: Revisada la sección de SGSI
12/September/2006
12/September/2006
Dentro de la actualización de todas las secciones de nuestra web que estamos llevando a cabo, hemos revisado y ampliado la dedicada al SGSI.
Jornada Seguridad 2006 en Valencia (España)
12/September/2006
12/September/2006
AENOR, S2 Grupo, Equipo Marzo y Metrored, con la colaboración de la Generalitat Valenciana y la Fundación Valenciana de la Calidad, organizan en Valencia el 27 de Septiembre la II Jornada de Seguridad, con el subtítulo "Nuevos escenarios en Seguridad de la Información. ISO 27001 y Reglamento de Desarrollo de la LOPD)". La asistencia es gratuita, pero requiere inscripción previa.
A lo largo de una serie de ponencias, se tratarán temas como "El Reglamento de Desarrollo de la LOPD", " Código Penal y Seguridad de la Información", " La seguridad en entornos transaccionales", " El papel del Plan Director de Seguridad en las organizaciones", "Planes de contingencia", " La nueva familia de normas ISO 27000", etc.
Más información e inscripciones en Seguridad2006.es.
A lo largo de una serie de ponencias, se tratarán temas como "El Reglamento de Desarrollo de la LOPD", " Código Penal y Seguridad de la Información", " La seguridad en entornos transaccionales", " El papel del Plan Director de Seguridad en las organizaciones", "Planes de contingencia", " La nueva familia de normas ISO 27000", etc.
Más información e inscripciones en Seguridad2006.es.
VII Conferencia Internacional de Common Criteria en Lanzarote (España)
12/September/2006
12/September/2006
Como anunciamos el pasado mes de Junio, la séptima Conferencia Internacional "Common Criteria" tendrá lugar los próximos 19 al 21 de septiembre, 2006, en el Hotel Princesa Yaiza, de Lanzarote.
Este importante evento reunirá a organismos de certificación, laboratorios, expertos, legisladores y fabricantes de productos interesados en la especificación, evaluación y certificación de la seguridad de las tecnologías de la información.
La conferencia la organiza el Organismo de Certificación del Centro Criptológico Nacional, como una actividad de promoción de la normalización y uso de la certificación de la seguridad de las tecnologías de la información, dentro de las funciones que le son encomendadas en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.
La conferencia está coordinada en su organización y en la definición de sus contenidos con otros organismos de certificación del Arreglo sobre el reconocimiento de los certificados de criterios comunes en el campo de la seguridad de la tecnología de la información, del que España es miembro.
Más información en www.7iccc.es.
Este importante evento reunirá a organismos de certificación, laboratorios, expertos, legisladores y fabricantes de productos interesados en la especificación, evaluación y certificación de la seguridad de las tecnologías de la información.
La conferencia la organiza el Organismo de Certificación del Centro Criptológico Nacional, como una actividad de promoción de la normalización y uso de la certificación de la seguridad de las tecnologías de la información, dentro de las funciones que le son encomendadas en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.
La conferencia está coordinada en su organización y en la definición de sus contenidos con otros organismos de certificación del Arreglo sobre el reconocimiento de los certificados de criterios comunes en el campo de la seguridad de la tecnología de la información, del que España es miembro.
Más información en www.7iccc.es.
Informáticos Europeos Expertos organiza en Madrid los siguientes cursos:
Curso práctico protección de datos y seguridad, el 17 y 18 de Octubre.
Elaboración, desarrollo y gestión de Planes de Continuidad de Negocio, el 18 y 19 de Octubre.
Desarrollo reglamentario de la LOPD, el 24 y 25 de Octubre.
Más información e inscripciones, en IEE.
Curso práctico protección de datos y seguridad, el 17 y 18 de Octubre.
Elaboración, desarrollo y gestión de Planes de Continuidad de Negocio, el 18 y 19 de Octubre.
Desarrollo reglamentario de la LOPD, el 24 y 25 de Octubre.
Más información e inscripciones, en IEE.
InfoSecurity Buenos Aires (Argentina)
11/September/2006
11/September/2006
Por cuarto año consecutivo tendrá lugar en Buenos Aires (Argentina) el evento InfoSecurity organizado por la empresa I-SEC Information Security.
Se celebrará del 9 al 13 de Octubre en el Hotel Sheraton Buenos Aires y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
Se celebrará del 9 al 13 de Octubre en el Hotel Sheraton Buenos Aires y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
El 7 de Septiembre, ISACA ha publicado una versión actualizada de su documento de normas, directrices y procedimientos para auditores de sistemas de información.
Recordar aquí que este documento de libre descarga, de 257 páginas, es una de las guías más importantes que existen sobre auditoría de sistemas de información.
El apartado de normas de este documento está disponible también en español.
Recordar aquí que este documento de libre descarga, de 257 páginas, es una de las guías más importantes que existen sobre auditoría de sistemas de información.
El apartado de normas de este documento está disponible también en español.
Boletín mensual de Eficiencia Gerencial
11/September/2006
11/September/2006
Con la publicación de su último boletín mensual para suscriptores, la empresa peruana Eficiencia Gerencial pone a disposición del público en general la anterior edición de su boletín.
El próximo 20 de Septiembre tendrá lugar en la Universidad La Salle de Ciudad de México el evento "El reto de las PyMEs para mantener la integridad informática de su negocio", donde diversos expertos tratarán el tema de la seguridad de la información específicamente desde el punto de vista de las Pymes. La asistencia es libre, pero es necesario el registro previo por limitación de aforo.
Para más información e inscripciones: Evento Symantec
Para más información e inscripciones: Evento Symantec
El pasado mes de Agosto, el prestigioso autor Ross Anderson puso en Internet para su descarga gratuita su libro "Security Engineering", que lleva varios años a la venta en su edición en papel.
Puede descargarse en: University of Cambridge
Puede descargarse en: University of Cambridge
El mercado negro de datos robados
11/September/2006
11/September/2006
Tim Wilson nos recuerda en un artículo en Dark Reading cómo hace tiempo que el cibercrimen dejó de ser un entretenimiento de crackers deseosos de demostrar sus habilidades o en busca de fama, para pasar a ser una actividad mafiosa organizada que sólo persigue el lucro económico. Este hecho lo ilustra con datos sobre el mercado negro de datos robados.
Nueva versión de la norma BS 7858 (seguridad referida a RRHH)
11/September/2006
11/September/2006
British Standards Institution ha publicado el código de buenas prácticas BS 7858:2006, como revisión de la versión de 2004.
Esta norma se refiere a la comprobación de antecedentes en la contratación de personas para entornos donde la seguridad es importante.
Incluye contenidos sobre incorporaciones y traslados, personal auxiliar, contratas y subcontratas, modelos de impresos, empleados dedicados a comprobación de antecedentes, proceso de comprobación de antecedentes, relación con protección de datos personales, etc.
Así mismo, BSI ha organizado un seminario de presentación de la norma para el 4 de Octubre en Londres.
Debe recordarse que el control A.8.1.2 de ISO 27001 se refiere precisamente a esta temática y que, por tanto, este código de buenas prácticas es muy útil para desarrollar dicho punto.
Información y compra de la norma: BS 7858
Información e inscripción en el seminario: Seminario BS 7858
Esta norma se refiere a la comprobación de antecedentes en la contratación de personas para entornos donde la seguridad es importante.
Incluye contenidos sobre incorporaciones y traslados, personal auxiliar, contratas y subcontratas, modelos de impresos, empleados dedicados a comprobación de antecedentes, proceso de comprobación de antecedentes, relación con protección de datos personales, etc.
Así mismo, BSI ha organizado un seminario de presentación de la norma para el 4 de Octubre en Londres.
Debe recordarse que el control A.8.1.2 de ISO 27001 se refiere precisamente a esta temática y que, por tanto, este código de buenas prácticas es muy útil para desarrollar dicho punto.
Información y compra de la norma: BS 7858
Información e inscripción en el seminario: Seminario BS 7858
Contenidos: Nueva sección de ofertas de empleo
07/September/2006
07/September/2006
Desde www.iso27000.es ofrecemos una nueva sección de canales especializados en auditoría y filtros para la búsqueda de oportunidades en el ámbito laboral.
Visite nuestra sección de Ofertas de empleo.
Sugerencias sobre contenidos en Contacto.
Visite nuestra sección de Ofertas de empleo.
Sugerencias sobre contenidos en Contacto.
Alberto G. Alexander publica esta semana en ISO27000.es un nuevo artículo de interés "Gestión del Riesgo en el BCP".
Alberto Alexander es Ph.D. por la University of Kansas, licenciado en administración por la Universidad de Lima, auditor de Sistemas de Gestión de Seguridad de la Información y auditor líder en Sistemas de Gestión de Calidad certificado por IRCA, Certified Business Continuity Professional (CBCP) y tiene amplia experiencia como consultor internacional en Sistemas de Gestión de Seguridad de Información y Gestión de Calidad.
Artículo disponible en PDF: Gestión riesgo en BCP.
Visite nuestra sección de Sección Artículos y Podcast o habilite el canal correspondiente vía RSS info.
Alberto Alexander es Ph.D. por la University of Kansas, licenciado en administración por la Universidad de Lima, auditor de Sistemas de Gestión de Seguridad de la Información y auditor líder en Sistemas de Gestión de Calidad certificado por IRCA, Certified Business Continuity Professional (CBCP) y tiene amplia experiencia como consultor internacional en Sistemas de Gestión de Seguridad de Información y Gestión de Calidad.
Artículo disponible en PDF: Gestión riesgo en BCP.
Visite nuestra sección de Sección Artículos y Podcast o habilite el canal correspondiente vía RSS info.
RSA Security, compañía especializada en proteger identidades electrónicas y activos digitales, ha presentado las conclusiones de 12 meses de ensayos y estudios sobre usabilidad en Internet. Los consumidores valoran de manera muy positiva las medidas de seguridad de las entidades financieras, aunque no por ello quieren renunciar a la comodidad de navegación.
Artículo e información completa en Noticias.com.
Artículo e información completa en Noticias.com.
El 88% del total de nuevo malware detectado por la empresa PandaLabs durante el segundo trimestre de 2006 estaba relacionado con el cibercrimen. Esta tendencia confirma que los actuales ciberdelincuentes tienen como objetivo principal su propio beneficio económico.
Artículo e información completa en Noticias.com.
Artículo e información completa en Noticias.com.
Los resultados finales de un estudio europeo se presentarán en una gran conferencia el 14 de Diciembre en Madrid.
Los resultados preliminares de un estudio europeo indican que jueces y juristas de la Unión Europea tienen experiencias muy dispares a la hora de llevar casos donde la prueba electrónica es básica y decisiva para dirimir un conflicto derivado del uso de las nuevas tecnologías. No existe una uniformidad a la hora de valorar la prueba electrónica, ni unas reglas de presentación comunes a escala comunitaria. Ni siquiera la formación y experiencia de jueces, magistrados y letrados son las mismas en materia de pruebas electrónicas y la tradición jurídica y la jurisprudencia de cada uno de los Estados -muy variopinta- condiciona mucho la práctica de los juristas cuando se enfrentan a esta realidad en su día a día.
Artículo e información completa en Departamento de Comunicación-Cybex .
Los resultados preliminares de un estudio europeo indican que jueces y juristas de la Unión Europea tienen experiencias muy dispares a la hora de llevar casos donde la prueba electrónica es básica y decisiva para dirimir un conflicto derivado del uso de las nuevas tecnologías. No existe una uniformidad a la hora de valorar la prueba electrónica, ni unas reglas de presentación comunes a escala comunitaria. Ni siquiera la formación y experiencia de jueces, magistrados y letrados son las mismas en materia de pruebas electrónicas y la tradición jurídica y la jurisprudencia de cada uno de los Estados -muy variopinta- condiciona mucho la práctica de los juristas cuando se enfrentan a esta realidad en su día a día.
Artículo e información completa en Departamento de Comunicación-Cybex .
Montilla anunció la transposición de nuevas directivas europeas referentes a la conservación y tratamiento de datos de carácter privado para aumentar la seguridad de los ciudadanos, y que supondrán la eliminación de infracciones administrativas obsoletas.
Por una parte, la nueva legislación revisará las reglas de comprobación de validez de la firma electrónica y obligará a los proveedores de servicios telecomunicaciones a informar sobre los medios técnicos que permiten su protección contra virus o programas espía. Asimismo, la firma electrónica será obligatoria para los que contraten con la Administración del Estado, y el Ministerio de Economía y Hacienda creará oficinas gratuitas que garanticen a todos la posibilidad de facturar electrónicamente.
Artículo e información completa en Cibersur.
Por una parte, la nueva legislación revisará las reglas de comprobación de validez de la firma electrónica y obligará a los proveedores de servicios telecomunicaciones a informar sobre los medios técnicos que permiten su protección contra virus o programas espía. Asimismo, la firma electrónica será obligatoria para los que contraten con la Administración del Estado, y el Ministerio de Economía y Hacienda creará oficinas gratuitas que garanticen a todos la posibilidad de facturar electrónicamente.
Artículo e información completa en Cibersur.
Un estudio analiza los ataques informáticos en los últimos siete años
06/September/2006
06/September/2006
Trusted Strategies, en colaboración con Phoenix Technologies han publicado un estudio basado en los procesos judiciales relacionados con los ataques informáticos documentados desde 1999 hasta 2006. La novedad de este análisis radica en el hecho de que no se basa, como es costumbre, en encuestas a grandes empresas (con respuestas que
pueden verse falseadas por la subjetividad del que contesta) sino que se fundamenta en datos proporcionados por el sistema judicial de los Estados Unidos de América.
Comentarios del estudio en español en Hispasec
Descarga del estudio en PDF Computer Crime Prosecutions
Comentarios del estudio en español en Hispasec
Descarga del estudio en PDF Computer Crime Prosecutions
Por las fechas tan próximas a la vuelta de vacaciones recordamos el podcast con José Manuel Fernández, Ingeniero Industrial y Consultor Técnico y de Sistemas de Gestión para empresas del Grupo Nexus Consultores y Auditores. A lo largo de una serie de preguntas, José Manuel nos irá explicando las actividades de Nexus en particular, importantes claves desde el punto de vista de la consultoría en la implantación de la norma y un breve repaso sobre el positivo resultado de la jornada que la empresa organizó el pasado 22 de Junio sobre Gestión de Seguridad de la Información según la norma ISO 27001 en el Palacio de Ferias y Congresos de Málaga.
Descarga del Podcast en formato MP3: Podcast José Manuel Fernández.
Visite nuestra sección de Sección Artículos y Podcast. o habilite el canal correspondiente vía RSS info.
Descarga del Podcast en formato MP3: Podcast José Manuel Fernández.
Visite nuestra sección de Sección Artículos y Podcast. o habilite el canal correspondiente vía RSS info.
La auditoría de los datos personales
06/September/2006
06/September/2006
La auditoría de datos personales, al menos como parte de procesos de auditoría más amplios, tiene antigüedad de al menos varias décadas, pero su importancia y a la vez el quebradero de cabeza para muchos se originó en junio de 1999 cuando apareció el Reglamento de medidas de seguridad, que referido a ficheros automatizados exige la auditoría para ficheros de determinados niveles, como se recordará después.
En algún caso extremo un encargo podria consistir en la revisión solamente de un fichero no automatizado, pero en la mayoría de los casos los ficheros serán al menos en parte, y probablemente en su totalidad, ficheros automatizados (con lo que generalmente no serán técnicamente tales ficheros sino partes de bases de datos, pero es un matiz que no es importante), y si se quiere una revisión adecuada y suficiente desde el punto de vista técnico, y no únicamente preguntar a los interlocutores si cumplen cada punto del Documento de Seguridad, será necesario revisar parámetros de sistemas operativos y de gestores de bases de datos, posibles logs, y ver el funcionamiento de aplicaciones y paquetes.
La norma ISO 7498-2 ya consideraba hace años que Auditoría de la Seguridad era: Una revisión y examen independientes de los registros y actividades de un sistema a fin de verificar si los controles del sistema son adecuados, para garantizar el cumplimiento con la polética establecida y con los procedimientos operativos, para detectar problemas de seguridad, y para recomendar posibles cambios en la polética de control y en los procedimientos.
Artículo completo en IEE Informáticos Europeos Expertos
Miguel Ángel Ramos González es Presidente de IEE, Informáticos Europeos Expertos, Socio Director de IEE, Doctor en Informática (tesis sobre Auditoría Informática), CISA, Profesor (Asociado) de Auditoría Informática y Auditoría de Sistemas de Información en la Universidad Carlos III de Madrid.
En algún caso extremo un encargo podria consistir en la revisión solamente de un fichero no automatizado, pero en la mayoría de los casos los ficheros serán al menos en parte, y probablemente en su totalidad, ficheros automatizados (con lo que generalmente no serán técnicamente tales ficheros sino partes de bases de datos, pero es un matiz que no es importante), y si se quiere una revisión adecuada y suficiente desde el punto de vista técnico, y no únicamente preguntar a los interlocutores si cumplen cada punto del Documento de Seguridad, será necesario revisar parámetros de sistemas operativos y de gestores de bases de datos, posibles logs, y ver el funcionamiento de aplicaciones y paquetes.
La norma ISO 7498-2 ya consideraba hace años que Auditoría de la Seguridad era: Una revisión y examen independientes de los registros y actividades de un sistema a fin de verificar si los controles del sistema son adecuados, para garantizar el cumplimiento con la polética establecida y con los procedimientos operativos, para detectar problemas de seguridad, y para recomendar posibles cambios en la polética de control y en los procedimientos.
Artículo completo en IEE Informáticos Europeos Expertos
Miguel Ángel Ramos González es Presidente de IEE, Informáticos Europeos Expertos, Socio Director de IEE, Doctor en Informática (tesis sobre Auditoría Informática), CISA, Profesor (Asociado) de Auditoría Informática y Auditoría de Sistemas de Información en la Universidad Carlos III de Madrid.
Las funciones que desempeña una organización no suelen tener el mismo grado de criticidad en función del tiempo. Aún admitiendo que todas ellas sean necesarias, no todas tienen las mismas repercusiones en las operaciones de la organización y, como consecuencia, una interrupción de la ejecución de una u otra no causaría los mismos perjuicios, e incluso para una misma función, puede ocurrir que el impacto sea diferente dependiendo del día o mes en que ocurra.
El objetivo del Análisis de Impacto es proporcionar a la Dirección la información necesaria para que pueda tomar decisiones en el desarrollo de su estrategia de continuidad. Para ello, el Análisis de Impacto debe determinar el grado de criticidad de dichas funciones en la razón de ser de la organización y el tiempo máximo a partir del cual, la interrupción de cada una de ellas es inaceptable.
Artículo completo en IEE Informáticos Europeos Expertos D.Juan Gaspar Martínez es Doctor Ingeniero de Telecomunicación, Socio Director de Infosafe y autor de los libros:
El objetivo del Análisis de Impacto es proporcionar a la Dirección la información necesaria para que pueda tomar decisiones en el desarrollo de su estrategia de continuidad. Para ello, el Análisis de Impacto debe determinar el grado de criticidad de dichas funciones en la razón de ser de la organización y el tiempo máximo a partir del cual, la interrupción de cada una de ellas es inaceptable.
Artículo completo en IEE Informáticos Europeos Expertos D.Juan Gaspar Martínez es Doctor Ingeniero de Telecomunicación, Socio Director de Infosafe y autor de los libros:
- Planes de Contingencia. La continuidad del negocio en las organizaciones.
- El Plan de Continuidad de Negocio. Guía práctica para su elaboración
- La protección de datos personales en el sector sanitario
Pruebas de penetración: un enfoque sistemático
06/September/2006
06/September/2006
La pregunta más común realizada por cualquier organización es "¿Por qué necesito una test de penetración?", ya que, después de todo, cuesta mucho dinero contratar a una firma de consultoría externa o invertir en herramientas para realizar una prueba de penetración. Usted debe comprender que es muy importante que cualquier organización justifique el coste implicado para tal actividad.
El importante hecho que es necesario entender es que usted puede encontrar vulnerabilidades de importante consideración en cualquier sistema pero, a menos que esos resultados no se analicen a fondo y exista un plan apropiado de la mitigación del riesgo, el test no agregaría ningún valor significativo al negocio de ninguna organización.
De este modo, para garantizar el valor que significa este dinero, una prueba acertada de penetración sería la que ayuda a una organización a entender los riesgos del negocio que surgen de las vulnerabilidades y proporciona un plan apropiado de mitigación del riesgo acorde con la política de negocio de las organizaciones.
Documento completo de Manish Saindane en PDF: Infosecwriters
El importante hecho que es necesario entender es que usted puede encontrar vulnerabilidades de importante consideración en cualquier sistema pero, a menos que esos resultados no se analicen a fondo y exista un plan apropiado de la mitigación del riesgo, el test no agregaría ningún valor significativo al negocio de ninguna organización.
De este modo, para garantizar el valor que significa este dinero, una prueba acertada de penetración sería la que ayuda a una organización a entender los riesgos del negocio que surgen de las vulnerabilidades y proporciona un plan apropiado de mitigación del riesgo acorde con la política de negocio de las organizaciones.
Documento completo de Manish Saindane en PDF: Infosecwriters
La seguridad en el puesto de trabajo puede tener muchos significados dependiendo que de definición se esté utilizando. Pregunte a un usuario común cuál es su definición de la seguridad en su escritorio y podrá obtener respuestas tales como que el software anti-virus está instalado o que existe autenticación del usuarios con contraseña activos.
Ese usuario será probablemente el mismo que inhabilite el software de anti-virus porque ralentaza demasiado su ordenador y escribirá su username y contraseña en un post it que pondrá probablemente debajo de su teclado. Plantee la misma pregunta a los miembros de la gerencia y podrá obtener una respuesta en la que indiquen que la seguridad de la información es la prioridad más alta pero, a la vuelta de la esquina, recortarán presupuestos destinados a medidas de seguridad.
Estos cambios serán justificados porque no ha habido ningún incidente o pérdida de datos seria y el retorno de la inversión en base a un periodo anterior no puede justificar los costes.
Con una productividad corporativa más alta y directamente atributiva al grado de movilidad generado por los avances en la tecnología de información, son necesarias medidas de seguridad más serias que puedan manejar las amenazas más sofisticadas a dispositivos móviles.
Documento completo de Jason Meyer en PDF: Infosecwriters
Ese usuario será probablemente el mismo que inhabilite el software de anti-virus porque ralentaza demasiado su ordenador y escribirá su username y contraseña en un post it que pondrá probablemente debajo de su teclado. Plantee la misma pregunta a los miembros de la gerencia y podrá obtener una respuesta en la que indiquen que la seguridad de la información es la prioridad más alta pero, a la vuelta de la esquina, recortarán presupuestos destinados a medidas de seguridad.
Estos cambios serán justificados porque no ha habido ningún incidente o pérdida de datos seria y el retorno de la inversión en base a un periodo anterior no puede justificar los costes.
Con una productividad corporativa más alta y directamente atributiva al grado de movilidad generado por los avances en la tecnología de información, son necesarias medidas de seguridad más serias que puedan manejar las amenazas más sofisticadas a dispositivos móviles.
Documento completo de Jason Meyer en PDF: Infosecwriters
La prueba ha sido realizada por una empresa estadounidense, Trust Digital, compró 10 teléfonos en eBay este verano para comprobar herramientas de seguridad en dichos aparatos. Estos teléfonos eran bastante sofisticados, capaces de trabajar, por ejemplo, con funciones de correo electrónico corporativo.
Los expertos de Trust Digital lograron 'resucitar' la información supuestamente borrada de casi todos los móviles. Y los datos rescatados revelaron desde conversaciones entre amantes hasta planes de multinacionales para ganar un contrato público multimillonario, pasando por datos bancarios con sus correspondientes contraseñas.
Información y noticia completa: Iblnews
Los expertos de Trust Digital lograron 'resucitar' la información supuestamente borrada de casi todos los móviles. Y los datos rescatados revelaron desde conversaciones entre amantes hasta planes de multinacionales para ganar un contrato público multimillonario, pasando por datos bancarios con sus correspondientes contraseñas.
Información y noticia completa: Iblnews
Secuestradores acechan sus archivos
06/September/2006
06/September/2006
Es un día cualquiera. Como siempre usted se prepara un café y se dirige hacia su escritorio para comenzar una jornada de trabajo. Pero al encender su computador la tranquilidad desaparece cuando no puede acceder a sus archivos. Para peor, un mensaje le pide una suma de dinero para que pueda volver a utilizar sus documentos. A esa altura, lo más probable es que su sonrisa de la mañana se haya esfumado, mientras trata de entender cómo su información pudo ser secuestrada y se transformó en una nueva víctima del ransomware.
El pasado 28 de abril, la compañía detectó un nuevo troyano, denominado Ramson A, que se inscribía en la categoría de ransomware. Una vez afectado un PC, amenazaba con borrar un archivo aleatorio cada 30 minutos hasta que el usuario pagara una suma cercana a los US$ 10. El escaso monto (se han detectado casos donde han pedido hasta US$ 300) y la inmediatez del daño pretendían conseguir que el usuario sintiera la urgencia de pagar cuanto antes la suma requerida para solucionar el problema.
Información y noticia completa: AmericaEconomia
El pasado 28 de abril, la compañía detectó un nuevo troyano, denominado Ramson A, que se inscribía en la categoría de ransomware. Una vez afectado un PC, amenazaba con borrar un archivo aleatorio cada 30 minutos hasta que el usuario pagara una suma cercana a los US$ 10. El escaso monto (se han detectado casos donde han pedido hasta US$ 300) y la inmediatez del daño pretendían conseguir que el usuario sintiera la urgencia de pagar cuanto antes la suma requerida para solucionar el problema.
Información y noticia completa: AmericaEconomia
En www.iso27000.es ampliamos nuestra sección de podcasts. Con el objetivo de hacer la experiencia de navegación más rica e interesante, añadimos pequeños archivos sonoros (en los que sacrificaremos algo de calidad de sonido a cambio de menor tamaño de fichero) de entre diez y quince minutos de duración, en los que mantendremos entrevistas y charlas con expertos en sistemas de gestión de seguridad de la información.
En esta entrevista, tenemos con nosotros a José Manuel Fernández, Ingeniero Industrial y Consultor Técnico y de Sistemas de Gestión para empresas del Grupo Nexus Consultores y Auditores. A lo largo de una serie de preguntas, José Manuel nos irá explicando las actividades de Nexus en particular, importantes claves desde el punto de vista de la consultoría en la implantación de la norma y un breve repaso sobre el positivo resultado de la jornada que la empresa organizó el pasado 22 de Junio sobre Gestión de Seguridad de la Información según la norma ISO 27001 en el Palacio de Ferias y Congresos de Málaga. .
Descarga del Podcast en formato MP3: Podcast José Manuel Fernández.
Visite nuestra sección de Sección Artículos y Podcast. o habilite el canal correspondiente vía RSS info.
En esta entrevista, tenemos con nosotros a José Manuel Fernández, Ingeniero Industrial y Consultor Técnico y de Sistemas de Gestión para empresas del Grupo Nexus Consultores y Auditores. A lo largo de una serie de preguntas, José Manuel nos irá explicando las actividades de Nexus en particular, importantes claves desde el punto de vista de la consultoría en la implantación de la norma y un breve repaso sobre el positivo resultado de la jornada que la empresa organizó el pasado 22 de Junio sobre Gestión de Seguridad de la Información según la norma ISO 27001 en el Palacio de Ferias y Congresos de Málaga. .
Descarga del Podcast en formato MP3: Podcast José Manuel Fernández.
Visite nuestra sección de Sección Artículos y Podcast. o habilite el canal correspondiente vía RSS info.
En el presente artículo analizamos los factores clave que suelen determinar el modo en que se acepta y aborda la implantación y mantenimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI).
El análisis muestra el motivo de algunos de los errores más frecuentes y se presentan argumentos de negocio, de especial interés para la alta gerencia, que tratan de evitarlos. El objetivo final es ofrecer una visión más clara de los beneficios económicos y garantizar, defini-tivamente, la implantación decidida de los SGSIs en las empresas.
Para una mejor comprensión de las ideas fundamentales que deseamos transmitir introducimos por primera vez desde ISO27000.es y de forma original, lo que hemos venido a denominar SGPI en referencia a un Sistema de Gestión de la Privacidad de la Información y que presentaremos a continuación.
Descarga disponible desde Artículos y Podcast.
Visite nuestra sección de Sección Artículos y Podcast. o habilite el canal correspondiente vía RSS info.
El análisis muestra el motivo de algunos de los errores más frecuentes y se presentan argumentos de negocio, de especial interés para la alta gerencia, que tratan de evitarlos. El objetivo final es ofrecer una visión más clara de los beneficios económicos y garantizar, defini-tivamente, la implantación decidida de los SGSIs en las empresas.
Para una mejor comprensión de las ideas fundamentales que deseamos transmitir introducimos por primera vez desde ISO27000.es y de forma original, lo que hemos venido a denominar SGPI en referencia a un Sistema de Gestión de la Privacidad de la Información y que presentaremos a continuación.
Descarga disponible desde Artículos y Podcast.
Visite nuestra sección de Sección Artículos y Podcast. o habilite el canal correspondiente vía RSS info.
Casos de estudio de la implantación de la norma ISO 27001
29/August/2006
29/August/2006
British Standards Institute pone a disposición ocho casos de estudio sobre la implantación de la norma ISO 27001 en distintas empresas.
Los casos de certificación describen las distintas ventajas comerciales y de seguridad que ha supuesto la implantado de la norma y de la mano de las propias empresas certificadas.
Así mismo se pueden encontrar informaciones de interés sobre la duración del proceso de implantación, ámbitos de certificación y demás información relevante sobre las empresas y para todos aquellos interesados en la norma.
Los casos están disponibles (inglés) desde: BSI UK.
Los casos de certificación describen las distintas ventajas comerciales y de seguridad que ha supuesto la implantado de la norma y de la mano de las propias empresas certificadas.
Así mismo se pueden encontrar informaciones de interés sobre la duración del proceso de implantación, ámbitos de certificación y demás información relevante sobre las empresas y para todos aquellos interesados en la norma.
Los casos están disponibles (inglés) desde: BSI UK.
Fondonorma organiza en Venezuela el 26 y 27 de Septiembre el curso "Implantación de un Sistema de Gestión de
Seguridad de Información ISO 27001:2005" y el 28 y 29 de Septiembre el curso "Diseño y Gestión de un Plan de Continuidad del Negocio".
Los cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones:
Curso Implantación SGSI
Curso Plan de Continuidad.
Visite nuestra sección de Eventos para consultar otros cursos y eventos.
Los cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones:
Curso Implantación SGSI
Curso Plan de Continuidad.
Visite nuestra sección de Eventos para consultar otros cursos y eventos.
Los Seminarios Especializados de Intras son un espacio para el aprendizaje de las mejores prácticas (Best Practices) globales y la adquisición de herramientas de clase mundial.
Estos eventos, fundamentados en la metodología “learning by doing” e impartidos por los máximos exponentes de cada disciplina, tienen un enfoque metodológico orientado hacia la transmisión intensiva y práctica de metodologías concretas.
Intras organiza en Santo Domingo del 10 al 12 de Octubre el seminario "Cómo diseñar y gestionar un plan de continuidad de negocio".
Los cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones: Seminario BCP.
Visite nuestra sección de Eventos para consultar otros cursos y eventos.
Estos eventos, fundamentados en la metodología “learning by doing” e impartidos por los máximos exponentes de cada disciplina, tienen un enfoque metodológico orientado hacia la transmisión intensiva y práctica de metodologías concretas.
Intras organiza en Santo Domingo del 10 al 12 de Octubre el seminario "Cómo diseñar y gestionar un plan de continuidad de negocio".
Los cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones: Seminario BCP.
Visite nuestra sección de Eventos para consultar otros cursos y eventos.
Los cursos tendrán lugar el próximo 4 de Septiembre en México D.F. (195$) y el 7 de Noviembre en Atlanta, G.A. (325$).
Dirigidos a todos los interesados en conocer más sobre la seguridad de la información, así como, responsables de las organizaciones que necesiten cumplir con la norma ISO 27001.
El curso habilita a los asistentes a entender los distintos roles de la norma ISO 27001 e ISO 17799, los elementos claves requeridos, aplicar los principios de evaluación de los riesgos para la gestión de la seguridad de la información y planificar el desarrollo de un SGSI propio.
Detalles del curso y registro: Lloyd's
Visite nuestra sección de Eventos para consultar otros cursos y eventos.
Dirigidos a todos los interesados en conocer más sobre la seguridad de la información, así como, responsables de las organizaciones que necesiten cumplir con la norma ISO 27001.
El curso habilita a los asistentes a entender los distintos roles de la norma ISO 27001 e ISO 17799, los elementos claves requeridos, aplicar los principios de evaluación de los riesgos para la gestión de la seguridad de la información y planificar el desarrollo de un SGSI propio.
Detalles del curso y registro: Lloyd's
Visite nuestra sección de Eventos para consultar otros cursos y eventos.
David Lennon de 19 años, fue condenado a un arresto domiciliario de dos meses según relatan fuentes de información británicas.
A principios de 2004, los demandantes denunciaron que Lennon envió cinco millones de correos electrónicos a Domestic & General Group, proveedor de servicios de protección con base en el Reino Unido. El ataque provocó el colapso del servidor, provocando a la firma pérdidas por 30,000 dólares, según un informe de la B.B.C..
Lennon fue acusado conforme al Acta sobre el mal uso de ordenadores de 1990 y las autoridades declararon que era la primera vez que alguien había logrado satisfactoriamente este tipo de intentos en el Reino Unido con tal proposito, según informes publicados.
Lennon argumentó que no violaba ninguna ley porque el sitio web de Domestic & General Group invitaba a realizar comentarios por correo electrónico. El juez del distrito estuvo de acuerdo, pero los acusadores apelaron, diciendo el ataque constituyó un uso no autorizado.
La Corte Justicia solicitaron un nuevo juicio pero finalmente no fue necesario al declararse Lennon culpable.
Noticia disponible en SCMagazine
A principios de 2004, los demandantes denunciaron que Lennon envió cinco millones de correos electrónicos a Domestic & General Group, proveedor de servicios de protección con base en el Reino Unido. El ataque provocó el colapso del servidor, provocando a la firma pérdidas por 30,000 dólares, según un informe de la B.B.C..
Lennon fue acusado conforme al Acta sobre el mal uso de ordenadores de 1990 y las autoridades declararon que era la primera vez que alguien había logrado satisfactoriamente este tipo de intentos en el Reino Unido con tal proposito, según informes publicados.
Lennon argumentó que no violaba ninguna ley porque el sitio web de Domestic & General Group invitaba a realizar comentarios por correo electrónico. El juez del distrito estuvo de acuerdo, pero los acusadores apelaron, diciendo el ataque constituyó un uso no autorizado.
La Corte Justicia solicitaron un nuevo juicio pero finalmente no fue necesario al declararse Lennon culpable.
Noticia disponible en SCMagazine
Quantico es una revista en español dedicada a la seguridad de la información editada por la Asociación de Seguridad de la Información de la República Argentina (ASIRA).
Descarga del número 1 disponible en formato PDF: Quantico.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
Descarga del número 1 disponible en formato PDF: Quantico.
Visite nuestra sección de Boletines o habilite el canal correspondiente vía RSS info.
Mientras cada vez más servicios se tercerizan, es más difícil para los consumidores saber con quien hablan cuando llaman a un número de acceso gratuito de una compañía y cuán seguro es proporcionar su información a las personas al otro lado de la línea telefónica.
Los 1.300 empleados de HTC actualmente ofrecen servicios a un total de 22 líneas de negocios para nueve clientes de EUA, incluyendo un proveedor líder de servicios de Internet, un proveedor de televisión a cable, una compañía aseguradora y compañías de tarjetas de crédito, entre otros. Cuando los clientes llaman a estos números 800 (acceso gratis en EUA) y presionan el número 2 para español, (y debido a su fuerte personal bilingüe, con frecuencia también cuando seleccionan inglés), son estos agentes los que contestan. Ya sea que las personas que llaman tengan en consideración o no, existen medidas establecidas para proteger su información en estos centros de llamada particulares que son lo suficientemente estrictas para considerarse aprobadas bajo la norma ISO
Generalmente, la calidad del servicio en español tiene mayores probabilidades de quedarse atrás del servicio en inglés, debido a la falta de personal completamente bilingüe, tanto en los teléfonos, como en las áreas de supervisión, contratación y seguridad de calidad por ejemplo. La HTC fue fundada en 1999 para cerrar esa brecha, ofreciendo infraestructura bilingüe de calidad y servicios profesionales para ayudar a los clientes a capturar, servir y retener mejor a los consumidores hispanos, un mercado que las compañías ven cada vez más como la principal fuente de ingresos.
"La certificación es un testimonio del compromiso de HTC de proteger los activos más valiosos de nuestros clientes, su información", dijo el fundador y CEO de HTC, Alberto Fernández.
"A medida que la seguridad de información se vuelve cada vez más y más crítica en el mundo de los negocios, nosotros en HTC nos esforzamos por ofrecer este nivel agregado de seguridad a nuestros clientes y sus consumidores estableciendo políticas, procedimientos y controles que aseguran los niveles más altos de privacidad y seguridad para la información que nos confían", dijo Alejandro Jaime, COO de la empresa.
Noticia e información completa en Hispanicprwire.
Los 1.300 empleados de HTC actualmente ofrecen servicios a un total de 22 líneas de negocios para nueve clientes de EUA, incluyendo un proveedor líder de servicios de Internet, un proveedor de televisión a cable, una compañía aseguradora y compañías de tarjetas de crédito, entre otros. Cuando los clientes llaman a estos números 800 (acceso gratis en EUA) y presionan el número 2 para español, (y debido a su fuerte personal bilingüe, con frecuencia también cuando seleccionan inglés), son estos agentes los que contestan. Ya sea que las personas que llaman tengan en consideración o no, existen medidas establecidas para proteger su información en estos centros de llamada particulares que son lo suficientemente estrictas para considerarse aprobadas bajo la norma ISO
Generalmente, la calidad del servicio en español tiene mayores probabilidades de quedarse atrás del servicio en inglés, debido a la falta de personal completamente bilingüe, tanto en los teléfonos, como en las áreas de supervisión, contratación y seguridad de calidad por ejemplo. La HTC fue fundada en 1999 para cerrar esa brecha, ofreciendo infraestructura bilingüe de calidad y servicios profesionales para ayudar a los clientes a capturar, servir y retener mejor a los consumidores hispanos, un mercado que las compañías ven cada vez más como la principal fuente de ingresos.
"La certificación es un testimonio del compromiso de HTC de proteger los activos más valiosos de nuestros clientes, su información", dijo el fundador y CEO de HTC, Alberto Fernández.
"A medida que la seguridad de información se vuelve cada vez más y más crítica en el mundo de los negocios, nosotros en HTC nos esforzamos por ofrecer este nivel agregado de seguridad a nuestros clientes y sus consumidores estableciendo políticas, procedimientos y controles que aseguran los niveles más altos de privacidad y seguridad para la información que nos confían", dijo Alejandro Jaime, COO de la empresa.
Noticia e información completa en Hispanicprwire.
Entre las empresas certificadas en la India se incluyen Satyam Computers, Keane la India, Accenture, Cranes Software, Aztecsoft, Microland y PSI Data Systems, entre otros.
Las compañías TI y BPO están entrando cada vez más en la certificación ISO-27001 para conservar no sólo la confidencialidad del cliente sino también satisfacer los cirterios de confianza. Los clientes del extranjero, antes de externalizar sus funciones críticas en la India, está contemplando la credibilidad en términos de proteger la propiedad intectual y mantener la privacidad de los datos entre otros aspectos.
Noticia e información completa en Ibnlive.
Las compañías TI y BPO están entrando cada vez más en la certificación ISO-27001 para conservar no sólo la confidencialidad del cliente sino también satisfacer los cirterios de confianza. Los clientes del extranjero, antes de externalizar sus funciones críticas en la India, está contemplando la credibilidad en términos de proteger la propiedad intectual y mantener la privacidad de los datos entre otros aspectos.
Noticia e información completa en Ibnlive.
El coste de las brechas de seguridad y la exposición de los datos puede ser alto para los profesionales de los departamentos TI y que hayan sido considerados como los supuestos responsables de no poder asegurar la información corporativa.
Por ejemplo, Maureen Govern, CIO de AOL LLC ha dimitido la semana pasada como consecuencia de la exposición pública de los datos de las búsquedas realizadas por unos 650.000 de sus suscriptores. AOL también despidió a dos trabajadores de su división de investigación, responsable de la diculgación de la información y había sido supervisada por Govern.
Es la segunda vez en este mes que cargos directivos pierden su empleo debido a brechas en seguridad.
Noticia e información completa en Computerworld.
Por ejemplo, Maureen Govern, CIO de AOL LLC ha dimitido la semana pasada como consecuencia de la exposición pública de los datos de las búsquedas realizadas por unos 650.000 de sus suscriptores. AOL también despidió a dos trabajadores de su división de investigación, responsable de la diculgación de la información y había sido supervisada por Govern.
Es la segunda vez en este mes que cargos directivos pierden su empleo debido a brechas en seguridad.
Noticia e información completa en Computerworld.
La Agencia Española de Protección de Datos (AEPD) comprobó que Caja Madrid había asignado a los afectados 28 operaciones de préstamo de los cuales sólo 1 tenìa como titular a uno de los afectados. 10 de estas operaciones fueron comunicadas a la Agencia Tributaria para el ejercicio fiscal 2002.La Agencia Española de Protección de Datos (AEPD) ha impuesto a Caja Madrid una sanción de 60.101,21 euros por atribuir a dos asociados de Ausbanc Consumo numerosas operaciones de préstamo que no habían suscrito y comunicar parte de ellas a la Agencia Tributaria.
Se da el caso de que uno de los afectados ni siquiera era cliente de la entidad. La infracción en la que ha incurrido Caja Madrid esta tipificada como “grave” en la Ley Orgánica de Protección de Datos de Carácter Personal. Con esta decisión se resuelve la denuncia presentada por los servicios jurídicos de Ausbanc Consumo Canarias el 15 de enero de 2004 en representación de sus dos asociados.
La Ley Orgánica de Protección de Datos de Carácter Personal impone la necesidad de que los datos que se recojan en cualquier fichero sean exactos y respondan en todo momento a la situación actual de los afectados.
Noticia e Información completa en:Delitosinformaticos
Resoluciones de Procedimientos sancionadores en 2006:Agencia de Protección de Datos.
Según ha informado Ausbanc Consumo la Agencia Española de Protección de Datos (AEPD) ha sancionado a la operadora Auna Telecomunicaciones -ahora integrada en el grupo ONO- por un importe total de más de 60.000 euros por vulnerar la Ley de protección de datos.La AEPD multó a la compañía con 60.101,21 euros por inscribir a un usuario en el registro de morosos sin el preceptivo requerimiento previo de pago. Después de facturar el servicio durante varios meses, Auna telecomunicaciones atendió la solicitud del usuario de dar de baja el servicio y devolver las cantidades cobradas.
No obstante, la operadora procedió dos meses más tarde a la inscripción del usuario en el registro de morosos de Asnef por un saldo pendiente de 33,59 euros, apuntan las mismas fuentes. La AEPD impone a Auna la multa de 60.101,21 euros por infracción del artículo 4.3 de la Ley de Protección de Datos, que establece que "los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado".
Noticia e Información completa en:Delitosinformaticos
Resoluciones de Procedimientos sancionadores en 2006:Agencia de Protección de Datos.
Las compañías no están haciendo un buen trabajo demasiado bueno en la purga de información sensible de viejos dispositivos de almacenamiento de datos.
Esta historia detalla un estudio realizado por BT, la universidad de Glamorgan de Gales y la universidad de Edith Cowan en Australia acerca de cómo se borran con o sin eficacia los dispositivos. Los resultados obtenidos de más de 300 dispositivos de Norteamérica, el Reino Unido y Australia demuestra una mejora sobre pruebas de años anteriores aunque no se proporcionó ningunos detalles.
Todavía hay mucho por hacer, sin embargo. El estudio apunta a que las organizaciones no están cambiando los procedimientos de borrado de los datos. La información que fue recuperada de los discos incluye datos sobre el pago de nóminas, números de teléfono celulares, facturas, nombres y fotos de empleados, direcciones IP, información de la red y datos de cuentas bancarias y de tarjetas de crédito.
Los dispositivos fueron adquiridos en distintas subastas y compra de ordenadores en línea. Las organizaciones incumplen frecuentemente con las obligaciones legales y reglamentarias por el modo en que se deshacen de los dispositivos de almacenamiento, según concluye el estudio.
Artículo y accedo al estudio (bajo registro) en IT Business.
Esta historia detalla un estudio realizado por BT, la universidad de Glamorgan de Gales y la universidad de Edith Cowan en Australia acerca de cómo se borran con o sin eficacia los dispositivos. Los resultados obtenidos de más de 300 dispositivos de Norteamérica, el Reino Unido y Australia demuestra una mejora sobre pruebas de años anteriores aunque no se proporcionó ningunos detalles.
Todavía hay mucho por hacer, sin embargo. El estudio apunta a que las organizaciones no están cambiando los procedimientos de borrado de los datos. La información que fue recuperada de los discos incluye datos sobre el pago de nóminas, números de teléfono celulares, facturas, nombres y fotos de empleados, direcciones IP, información de la red y datos de cuentas bancarias y de tarjetas de crédito.
Los dispositivos fueron adquiridos en distintas subastas y compra de ordenadores en línea. Las organizaciones incumplen frecuentemente con las obligaciones legales y reglamentarias por el modo en que se deshacen de los dispositivos de almacenamiento, según concluye el estudio.
Artículo y accedo al estudio (bajo registro) en IT Business.
El descenso en el uso de la configuración 800x600 pixels por parte de los navegantes han influido en el cambio de diseño de la Web.
Seguimos respetando el ancho mínimo de 800 pixels para los contenidos aunque éstos se adaptan a cualquier espacio en anchos de ventanas superiores para favorecer su lectura en resoluciones superiores.
Los tamaños de letra siguen siendo ajustables desde las funciones estándar de los navegadores y los contenidos de las noticias pueden ser también vistos a pantalla completa en dos formatos disponibles distintos. Siguen a disposición, así mismo, numerosos documentos en formato pdf o podcast en formato mp3 para facilitar su consulta en múltiples dispositivos y sin necesidad de conexión a Internet.
Agradecemos sus indicaciones sobre la accesibilidad o sugerencias a nuestro Webmaster.
Seguimos respetando el ancho mínimo de 800 pixels para los contenidos aunque éstos se adaptan a cualquier espacio en anchos de ventanas superiores para favorecer su lectura en resoluciones superiores.
Los tamaños de letra siguen siendo ajustables desde las funciones estándar de los navegadores y los contenidos de las noticias pueden ser también vistos a pantalla completa en dos formatos disponibles distintos. Siguen a disposición, así mismo, numerosos documentos en formato pdf o podcast en formato mp3 para facilitar su consulta en múltiples dispositivos y sin necesidad de conexión a Internet.
Agradecemos sus indicaciones sobre la accesibilidad o sugerencias a nuestro Webmaster.
Al menos, en aquellos casos en los que las empresas no han prohibido explícitamente el uso particular de las conexiones o cuando para investigar al trabajador se puede vulnerar su intimidad.
Esto es lo que indica la reciente sentencia del Tribunal Supremo (TS) por la que se obliga a una empresa de explotación electrónica a readmitir a un empleado al que despidió en abril del 2004 por, entre otras cosas, utilizar internet para chatear y ver porno. El Supremo argumenta que el sistema de control instalado por la empresa violaba la intimidad del trabajador.
La decisión obliga a la empresa a pagarle su salario durante el tiempo transcurrido entre el cese y la resolución judicial (cerca de 35.000 euros). En caso de no readmitirle, el Alto Tribunal obliga a la compañía a indemnizarle con 4.200 euros. El trabajador, con categoría de técnico medio, cobraba un salario de 1.310 euros.
Artículo e información completa en Alfa-Redi.
Esto es lo que indica la reciente sentencia del Tribunal Supremo (TS) por la que se obliga a una empresa de explotación electrónica a readmitir a un empleado al que despidió en abril del 2004 por, entre otras cosas, utilizar internet para chatear y ver porno. El Supremo argumenta que el sistema de control instalado por la empresa violaba la intimidad del trabajador.
La decisión obliga a la empresa a pagarle su salario durante el tiempo transcurrido entre el cese y la resolución judicial (cerca de 35.000 euros). En caso de no readmitirle, el Alto Tribunal obliga a la compañía a indemnizarle con 4.200 euros. El trabajador, con categoría de técnico medio, cobraba un salario de 1.310 euros.
Artículo e información completa en Alfa-Redi.
El próximo 5 de Octubre tendrá lugar en el Hotel Eurobuilding de Madrid un evento organizado por la Revista SIC con el título de "¿Qué está pasando en mi Sistema de Información?".
En él se tratará el concepto de SIM (Security Information Management), es decir, la gestión automatizada de eventos en sistemas de información para conocer en tiempo real qué está pasando en dichos sistemas y disponer al tiempo de mecanismos de extracción y conservación de evidencias.
El evento es gratuito pero requiere de inscripción previa por la limitación del aforo.
Más información e inscripciones, en Revista SIC.
En él se tratará el concepto de SIM (Security Information Management), es decir, la gestión automatizada de eventos en sistemas de información para conocer en tiempo real qué está pasando en dichos sistemas y disponer al tiempo de mecanismos de extracción y conservación de evidencias.
El evento es gratuito pero requiere de inscripción previa por la limitación del aforo.
Más información e inscripciones, en Revista SIC.
Cursos de BSI sobre ISO 27001 en España y Portugal
23/August/2006
23/August/2006
BSI tiene planificados cursos oficiales de introducción, implantación, auditor interno y auditor líder de ISO 27001 con las siguientes sedes, idiomas y fechas:
ISO 27001 Essentials:
Oporto, en inglés, 10-11 Octubre
Lisboa, en portugués, 27-28 Noviembre
ISO 27001 Implantación:
Barcelona, en español, 18-23 Septiembre
Portugal, en inglés, 16-20 Octubre
Madrid, en español, 17-19 Octubre
Barcelona, en español, 14-16 Noviembre
ISO 27001 Internal auditor:
Oporto, en inglés, 25-26 Septiembre
ISO 27001 Lead Auditor:
Portugal, en inglés, Octubre
Madrid, en español, Octubre
Barcelona, en español, 23-27 Octubre
Lisboa, en inglés, Noviembre
Madrid, en español, 20-24 Noviembre
Más información e inscripciones, en BSI-Spain.
ISO 27001 Essentials:
Oporto, en inglés, 10-11 Octubre
Lisboa, en portugués, 27-28 Noviembre
ISO 27001 Implantación:
Barcelona, en español, 18-23 Septiembre
Portugal, en inglés, 16-20 Octubre
Madrid, en español, 17-19 Octubre
Barcelona, en español, 14-16 Noviembre
ISO 27001 Internal auditor:
Oporto, en inglés, 25-26 Septiembre
ISO 27001 Lead Auditor:
Portugal, en inglés, Octubre
Madrid, en español, Octubre
Barcelona, en español, 23-27 Octubre
Lisboa, en inglés, Noviembre
Madrid, en español, 20-24 Noviembre
Más información e inscripciones, en BSI-Spain.
ISSE 2006 Conference en Roma (Italia)
23/August/2006
23/August/2006
Del 10 al 12 de Octubre tendrá lugar en Roma la conferencia ISSE (Information Security Solutions Europe).
A lo largo de un gran número de ponencias se irán tratanto temas como gestión de identidades, e-identificación, PKI, biometría, tecnologías de seguridad emergentes, gestión de seguridad, privacidad y protección de datos, mediciones de seguridad, estándares de seguridad, concienciación, etc.
Más información e inscripciones, en ISSE.
A lo largo de un gran número de ponencias se irán tratanto temas como gestión de identidades, e-identificación, PKI, biometría, tecnologías de seguridad emergentes, gestión de seguridad, privacidad y protección de datos, mediciones de seguridad, estándares de seguridad, concienciación, etc.
Más información e inscripciones, en ISSE.
Problemas de seguridad en las pymes españolas
23/August/2006
23/August/2006
Según publica el periódico digital Pymesaldia:
"Las pequeñas y medianas empresas españolas tienen "preocupantes" problemas de seguridad en Internet, ya que todavía existe un 12% de compañías que no cuentan con una mínima defensa antivirus, según se desprende de una encuesta realizada por la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones (Asimelec).
Los resultados de la encuesta también ponen de relieve que apenas la mitad de las pymes españolas cuentan con servidos 'on line' y que sólo dos de cada tres compañías disponen de servidor de correo electrónico.
Además, sólo la mitad de las compañías tiene otras herramientas algo más sofisticadas, como los cortafuegos, mientras que sólo una cuarta parte dispone de controles de autentificación y menos de un 4% realiza inspecciones regulares de contenidos."
"Las pequeñas y medianas empresas españolas tienen "preocupantes" problemas de seguridad en Internet, ya que todavía existe un 12% de compañías que no cuentan con una mínima defensa antivirus, según se desprende de una encuesta realizada por la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones (Asimelec).
Los resultados de la encuesta también ponen de relieve que apenas la mitad de las pymes españolas cuentan con servidos 'on line' y que sólo dos de cada tres compañías disponen de servidor de correo electrónico.
Además, sólo la mitad de las compañías tiene otras herramientas algo más sofisticadas, como los cortafuegos, mientras que sólo una cuarta parte dispone de controles de autentificación y menos de un 4% realiza inspecciones regulares de contenidos."
Cursos de SGSI y BCP en Guayaquil (Ecuador)
23/August/2006
23/August/2006
La Comisión Latinoamericana de Productividad y Medio Ambiente (CLAPAM) organiza en Guayaquil del 2 al 5 de Octubre el curso "Cómo implantar un sistema de gestión de seguridad de la información" y, el 5 y 6 de Octubre, el curso "Plan de Continuidad de Negocio" (Business Continuity Plan).
Los cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones:
SGSI
BCP.
Los cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones:
SGSI
BCP.
Manual en inglés de gestión de ataques DoS.
23/August/2006
23/August/2006
La Trusted Information Sharing Network de Australia ha publicado el pasado mes de junio un completo documento de 69 páginas sobre cómo gestionar ataques DoS y DDos.
Este documento se complementa con otros dos más resumidos dirigidos a CEOs y CIOs.
Este documento se complementa con otros dos más resumidos dirigidos a CEOs y CIOs.
Informe sobre Vulnerabilidades 2006
23/August/2006
23/August/2006
Javier Pagès publica su Informe sobre Vulnerabilidades 2006, elaborado en base a los boletines @RISK de SANS.
El informe recoge los datos de SANS que se publican semanalmente y los presenta agregados y de forma gráfica, agrupándolos por "familias" de plataformas (Windows, Linux-Unix, etc).
El informe se continuará actualizando mensualmente.
El informe recoge los datos de SANS que se publican semanalmente y los presenta agregados y de forma gráfica, agrupándolos por "familias" de plataformas (Windows, Linux-Unix, etc).
El informe se continuará actualizando mensualmente.
Nuevo boletín sobre estándares de biometría
23/August/2006
23/August/2006
BSI (British Standards Institution) comienza a editar una nueva newsletter trimestral sobre estándares de biometría llamada "Biometrics Standards Today". La suscripción cuesta unos 300 euros anuales e incluye un tutorial sobre ISO/IEC TR 24741.
Más información en BSI-Global.
Más información en BSI-Global.
Un caso práctico de ingeniería social
22/August/2006
22/August/2006
Dark Reading publica un artículo en el que Steve Stasiukonis, de Secure Network Technologies Inc., relata un caso de ingeniería social.
Un laboratorio de análisis médicos cliente de su empresa contrató sus servicios para probar la seguridad de acceso a sus instalaciones e intentar acceder a información confidencial.
Junto a uno de sus especialistas en tests de penetración, consiguió entrar en el edificio a través de una puerta controlada por un lector de tarjetas magnéticas (como se supo después, un defecto en la configuración del lector le permitió abrirla con su tarjeta de crédito), vestirse con ropas de trabajo en un vestuario, encontrar una sala de reuniones vacía y conectar su portátil a la red.
Mientras el especialista dejaba correr un escaneo de la red, Steve Stasiukonis recorrió las instalaciones y pudo anotar diversos nombres de usuario y contraseñas tomados de los "post-it" pegados a los monitores, además de recibir respuestas a sus preguntas por parte algunos trabajadores. Esto permitió la copia posterior de gran cantidad de información médica de pacientes. Tras varias horas de trabajo, salieron del edificio por la misma puerta.
Se realizó un informe y se mostró a los empleados un video con imágenes tomadas durante el ataque como medida de concienciación. Un intento de repetir la acción unos meses más tarde fue impedido por una empleada, demostrándose así que las medidas tomadas habían servido para concienciar al personal.
Un laboratorio de análisis médicos cliente de su empresa contrató sus servicios para probar la seguridad de acceso a sus instalaciones e intentar acceder a información confidencial.
Junto a uno de sus especialistas en tests de penetración, consiguió entrar en el edificio a través de una puerta controlada por un lector de tarjetas magnéticas (como se supo después, un defecto en la configuración del lector le permitió abrirla con su tarjeta de crédito), vestirse con ropas de trabajo en un vestuario, encontrar una sala de reuniones vacía y conectar su portátil a la red.
Mientras el especialista dejaba correr un escaneo de la red, Steve Stasiukonis recorrió las instalaciones y pudo anotar diversos nombres de usuario y contraseñas tomados de los "post-it" pegados a los monitores, además de recibir respuestas a sus preguntas por parte algunos trabajadores. Esto permitió la copia posterior de gran cantidad de información médica de pacientes. Tras varias horas de trabajo, salieron del edificio por la misma puerta.
Se realizó un informe y se mostró a los empleados un video con imágenes tomadas durante el ataque como medida de concienciación. Un intento de repetir la acción unos meses más tarde fue impedido por una empleada, demostrándose así que las medidas tomadas habían servido para concienciar al personal.
USUARIA (Asociación Argentina de Usuarios de la Informática y las Comunicaciones) organiza varios seminarios en su sede de Buenos Aires:
El 13 y 14 de Septiembre, "GESTION Y AUDITORIA DE LA SEGURIDAD DE LA INFORMACION - TALLER DE VALUACIÓN DE RIESGOS Y CONTROLES".
El 21 de Septiembre, "EL ROI DE LA SEGURIDAD DE LA INFORMACIÓN".
El 5 de Octubre, "CONTINUIDAD DE LOS NEGOCIOS - TALLER DE INICIACIÓN".
El 12 de Octubre, "SARBANES-OXLEY Y SEGURIDAD DE LA INFORMACION - TALLER DE INICIACIÓN".
Todos ellos serán impartidos por el conocido profesor, analista y auditor Carlos Ormella Meyer.
Más información e inscripciones, en Usuaria.
El 13 y 14 de Septiembre, "GESTION Y AUDITORIA DE LA SEGURIDAD DE LA INFORMACION - TALLER DE VALUACIÓN DE RIESGOS Y CONTROLES".
El 21 de Septiembre, "EL ROI DE LA SEGURIDAD DE LA INFORMACIÓN".
El 5 de Octubre, "CONTINUIDAD DE LOS NEGOCIOS - TALLER DE INICIACIÓN".
El 12 de Octubre, "SARBANES-OXLEY Y SEGURIDAD DE LA INFORMACION - TALLER DE INICIACIÓN".
Todos ellos serán impartidos por el conocido profesor, analista y auditor Carlos Ormella Meyer.
Más información e inscripciones, en Usuaria.
Una impresora también puede ser vulnerable a un ataque
22/August/2006
22/August/2006
Network Security Journal informa sobre una demostración realizada en la pasada Black Hat Security Conference en la que una impresora multifunción conectada en red es atacada y obligada a reproducir todos los documentos impresos, escaneados o enviados por fax, dando acceso así a información potencialmente crítica de la organización. También se mencionaron los problemas del software de arranque de la impresora así como otras vulnerabilidades.
Documento en inglés sobre métodos de robo de identidad
22/August/2006
22/August/2006
Gary Hinson pone a disposición del público con ocasión de la Global Security Week un documento resumen sobre distintas técnicas de robo de identidad y medidas que se pueden tomar para evitarlo.
Puede descargarse en GlobalSecurityWeek.
Puede descargarse en GlobalSecurityWeek.
Análisis de un kit de phishing
22/August/2006
22/August/2006
Sergio Hernando hace un estudio de un kit de phishing de los que están a la venta en Internet para la realización de esta actividad ilegal.
En su análisis, describe el proceso de instalación, muestra el aspecto y funcionamiento final y entra a estudiar el código del script que el "usuario" debe editar para recibir los correos electrónicos con las credenciales bancarias de sus víctimas. Comprueba que el que acaba siendo robado y utilizado es el propio ladrón, porque es otro script el que controla la remisión de dichos correos a una dirección diferente.
El estudio termina con la recomendación de no caer en la tentación de ganar dinero fácil por estos medios ilegales.
En su análisis, describe el proceso de instalación, muestra el aspecto y funcionamiento final y entra a estudiar el código del script que el "usuario" debe editar para recibir los correos electrónicos con las credenciales bancarias de sus víctimas. Comprueba que el que acaba siendo robado y utilizado es el propio ladrón, porque es otro script el que controla la remisión de dichos correos a una dirección diferente.
El estudio termina con la recomendación de no caer en la tentación de ganar dinero fácil por estos medios ilegales.
El pasado 15 de Agosto, BSI (British Standards Institution) firmó con ASIRA (Asociación de Seguridad de la Información de la República Argentina) un convenio que el que otorga a ésta exclusividad del mercado argentino y panameño en los puntos referentes a auditoría ISO 27001 y ISO 20000, así como también en formación a auditores líderes e implementadores de ambos estándares. También le otorga la posibilidad de realizar eventos y actividades relacionadas con BSI.
ASIRA es una organización sin ánimo de lucro, orientada al estudio e investigación de la seguridad en los sistemas de información y comunicaciones. Su actividad se fundamenta en el trabajo de una serie de comisiones de estudio (de Normativas, de Técnica, de Gestión, de Mercado y de Educación), formadas a su vez por grupos de trabajo.
Además, ASIRA cuenta con un laboratorio denominado "Information Security Labs", imparte cursos y seminarios, mantiene acuerdos de colaboración con grupos de investigación internacionales y promueve el "International Security Information Center" (ISIC) de Panamá. Desde este mes de Agosto, edita también la revista digital Quantico.
ASIRA es una organización sin ánimo de lucro, orientada al estudio e investigación de la seguridad en los sistemas de información y comunicaciones. Su actividad se fundamenta en el trabajo de una serie de comisiones de estudio (de Normativas, de Técnica, de Gestión, de Mercado y de Educación), formadas a su vez por grupos de trabajo.
Además, ASIRA cuenta con un laboratorio denominado "Information Security Labs", imparte cursos y seminarios, mantiene acuerdos de colaboración con grupos de investigación internacionales y promueve el "International Security Information Center" (ISIC) de Panamá. Desde este mes de Agosto, edita también la revista digital Quantico.
Con objeto de facilitar la difusión de noticias y conocimiento de la norma ISO 27000 y los Sistemas de Gestión de la Seguridad de la Información hemos habilitado un nuevo servicio que permite sindicar a los Webmaster de otros sites nuestras noticias y canales RSS de un modo rápido y sencillo, ahorrando un valioso tiempo de mantenimiento de los contenidos y sin necesidad de agregar publicidad.
Esperamos que pueda aportar un valor añadido a los contenidos de otras páginas y que nos hagais llegar comentarios e informaciones que puedan ir mejorando tanto el servicio como la calidad de las informaciones que ofrecemos por este nuevo canal de difusión.
Para más información visite la sección: RSS info.
Esperamos que pueda aportar un valor añadido a los contenidos de otras páginas y que nos hagais llegar comentarios e informaciones que puedan ir mejorando tanto el servicio como la calidad de las informaciones que ofrecemos por este nuevo canal de difusión.
Para más información visite la sección: RSS info.
Contenidos: Renovamos la sección de Certificaciones
14/August/2006
14/August/2006
Hemos reorganizado y ampliado la sección dedicada a las certificaciones con informaciones, gráficos y contenidos más interesantes y completos e incluyendo propuestas y consultas que los interesados en la norma nos han enviado en los últimos meses, además de otras que consideramos de interés.
Agradecemos vuestra colaboración y esperamos seguir recibiendo vuestras sugerencias, consultas e informaciones.
Visite nuestra sección de Certificacion.
Agradecemos vuestra colaboración y esperamos seguir recibiendo vuestras sugerencias, consultas e informaciones.
Visite nuestra sección de Certificacion.
Iberia informó el pasado 10 de Agosto a sus viajeros, que aquellos que vuelen a distintos destinos con escala en aeropuertos del Reino Unido no podrán facturar a destino final, ni podrán embarcar en los vuelos de salida desde los citados aeropuertos con equipaje de mano. Fuentes de la compañía han asegurado que desconocen la duración de esta medida impuesta por el gobierno del Reino Unido y por motivos de seguridad.
Iberia señaló que los viajeros que salgan de aeropuertos españoles y vayan a efectuar escalas en instalaciones británicas deberán recoger a su llegada los equipajes, pasar controles de inmigración y volver a facturar de nuevo.
British Airways informa que "no podrán llevar ningún objeto como equipaje de mano a bordo de ningún avión despegando de aeropuertos del Reino Unido" y señala que esta prohibición afecta a todas las líneas aéreas que operen en ese país. Sólo está permitido a los viajeros llevar consigo los documentos esenciales para el viaje y billeteros o carteras de bolsillo con dinero, tarjetas de crédito y de identidad.
En cuanto a las medicinas, sólo se permiten las prescritas que han de tomarse durante el tiempo de duración del vuelo y en el caso de que estas sean en forma líquida, su contenido ha de ser verificado. También se pueden llevar gafas graduadas y de sol, sin funda; lentes de contacto sin solución líquida y la comida de bebé, leche y objetos necesarios "esenciales" para el vuelo. También se pueden llevar llaves, excepto las eléctricas o con baterías.
El resto de objetos deben de ser transportados en bodegas y no se puede llevar ningún objeto eléctrico o que use baterías, incluyendo ordenadores portátiles, teléfonos móviles, etc.
Desde iso27000.es quisiéramos apuntar las siguientes recomendaciones básicas extraídas de la guía ISO 17799 y en relación a la protección de dispositivos portátiles e información sensible:
- no olvide el uso de protecciones físicas (candados, cerraduras especiales, maletas resistentes a posibles golpes, caídas y pesos, ...).
- uso de controles de acceso adicionales a las habituales en los dispositivos (contraseñas BIOS, de arranque del sistema y de disco duro, PINs, tokens de acceso que no deban ser facturados o puestos en una maleta única, controles biométricos, ...)
- realizar previamente una copia de seguridad de datos y agendas actualizada y guardar en lugar seguro.
- cifrado de los datos almacenados en discos duros, unidades y en todos aquellos dispositivos portátiles que transporte.
- considere los aspectos legales, procedimientos de su propia empresa para estos casos, su responsabilidad sobre los datos sensibles y equipos, la contratación de seguros adicionales y demás requisitos de seguridad pertinentes y ante un supuesto caso de robo o daño de los dispositivos.
Iberia señaló que los viajeros que salgan de aeropuertos españoles y vayan a efectuar escalas en instalaciones británicas deberán recoger a su llegada los equipajes, pasar controles de inmigración y volver a facturar de nuevo.
British Airways informa que "no podrán llevar ningún objeto como equipaje de mano a bordo de ningún avión despegando de aeropuertos del Reino Unido" y señala que esta prohibición afecta a todas las líneas aéreas que operen en ese país. Sólo está permitido a los viajeros llevar consigo los documentos esenciales para el viaje y billeteros o carteras de bolsillo con dinero, tarjetas de crédito y de identidad.
En cuanto a las medicinas, sólo se permiten las prescritas que han de tomarse durante el tiempo de duración del vuelo y en el caso de que estas sean en forma líquida, su contenido ha de ser verificado. También se pueden llevar gafas graduadas y de sol, sin funda; lentes de contacto sin solución líquida y la comida de bebé, leche y objetos necesarios "esenciales" para el vuelo. También se pueden llevar llaves, excepto las eléctricas o con baterías.
El resto de objetos deben de ser transportados en bodegas y no se puede llevar ningún objeto eléctrico o que use baterías, incluyendo ordenadores portátiles, teléfonos móviles, etc.
Desde iso27000.es quisiéramos apuntar las siguientes recomendaciones básicas extraídas de la guía ISO 17799 y en relación a la protección de dispositivos portátiles e información sensible:
- no olvide el uso de protecciones físicas (candados, cerraduras especiales, maletas resistentes a posibles golpes, caídas y pesos, ...).
- uso de controles de acceso adicionales a las habituales en los dispositivos (contraseñas BIOS, de arranque del sistema y de disco duro, PINs, tokens de acceso que no deban ser facturados o puestos en una maleta única, controles biométricos, ...)
- realizar previamente una copia de seguridad de datos y agendas actualizada y guardar en lugar seguro.
- cifrado de los datos almacenados en discos duros, unidades y en todos aquellos dispositivos portátiles que transporte.
- considere los aspectos legales, procedimientos de su propia empresa para estos casos, su responsabilidad sobre los datos sensibles y equipos, la contratación de seguros adicionales y demás requisitos de seguridad pertinentes y ante un supuesto caso de robo o daño de los dispositivos.
¿Está su puesto de trabajo a salvo del espionaje corporativo y robos? Le invitamos a que realice este sencillo test y compruebe los riesgos que pueda observar en su propio entorno.
Enlace directo al test(necesario Flash Player 6.0): CSO Tools.
Visite nuestra sección de Herramientas.
Enlace directo al test(necesario Flash Player 6.0): CSO Tools.
Visite nuestra sección de Herramientas.
Este portal americano y en inglés ofrece noticias, artículos, documentos y listas con consejos útiles y preguntas para la auto evaluación y concienciación.
Enlace directo: CSO On line.
Visite nuestra sección de Boletines.
Enlace directo: CSO On line.
Visite nuestra sección de Boletines.
El Negocio de la Seguridad es el Negocio
14/August/2006
14/August/2006
La necesidad de proteger personas, sitios y cosas es una constante, desde luego. Pero, irónicamente, sólo en esta época de recrudecido terrorismo y avances vertiginosos en tecnología, un número cada vez mayor de CIOs (Chief Security Officers), directores de seguridad y sus integradores de sistemas han considerado adoptar una postura central del negocio, decidiendo alinear sus programas, compras y disposiciones con los objetivos de la empresa.
Tales cambios de los roles, que suponen un desafío para algunos, demostrarán ser el mejor camino hacia la seguridad y el éxito al asumir una posición más proactiva y capaz de pivotar.
Adiós a las configuraciones de 32 salidas; Hola al establecimiento de la cooperación en equipo. Lo que se va se preocupa de las características del VDR-24591 DVR y lo que viene es el mundo de las métricas, retorno de la inversión y controles oportunos.
Security Magazine reunió a un grupo de alto nivel de directivos en seguridad al inicio de este año. Moderado por Steve Hunt, presidente y el director ejecutivo principal de 4A Internacional, Chicago, y asistido por el editor de Security Magazine Mark McCourt, el grupo recorrió terrenos repletos de misiones, demandas de negocio y buenos deseos para una mejor relación entre los distintos participantes por parte de la dirección, el departamento TI, Recursos Humanos, instaladores e integradores de sistemas.
Informe completo en : Security Magazine.
Tales cambios de los roles, que suponen un desafío para algunos, demostrarán ser el mejor camino hacia la seguridad y el éxito al asumir una posición más proactiva y capaz de pivotar.
Adiós a las configuraciones de 32 salidas; Hola al establecimiento de la cooperación en equipo. Lo que se va se preocupa de las características del VDR-24591 DVR y lo que viene es el mundo de las métricas, retorno de la inversión y controles oportunos.
Security Magazine reunió a un grupo de alto nivel de directivos en seguridad al inicio de este año. Moderado por Steve Hunt, presidente y el director ejecutivo principal de 4A Internacional, Chicago, y asistido por el editor de Security Magazine Mark McCourt, el grupo recorrió terrenos repletos de misiones, demandas de negocio y buenos deseos para una mejor relación entre los distintos participantes por parte de la dirección, el departamento TI, Recursos Humanos, instaladores e integradores de sistemas.
Informe completo en : Security Magazine.
Se venden sus datos. Precio: su privacidad
14/August/2006
14/August/2006
Informe especial sobre robos de datos personales, pérdidas y brechas en los registros de los consumidores.
Informe completo en : Internet News.
Informe completo en : Internet News.
Posible prisión por reenrutar correo electrónico
14/August/2006
14/August/2006
Un hombre de Salt Lake City se enfrenta a 15 años de prisión por redirigir y leer el E-mail de su último empleador.
William K. Dobson, de 55 años, fue inculpado de dos cargos por interceptar comunicaciones electrónicas y uno por obtener ilegalmente información de un ordenador protegido.
De ser condenado, Dobson haría frente a una condena máxima de 15 años en prisión, tres años de libertad vigilada y una multa de hasta 250.000 dólares.
Según el sumario, después de que Dobson saliera por desacuerdos financieros y de negocio de la compañía que él mismo cofundó, accedió al sistema de correo electrónico de la compañía en dos ocasiones.
El propósito de la intrusión era interceptar el e-mail del CEO y su vice presidente de la compañía de la ingeniería. Dobson reenrutó entonces el correo a un nuevo buzón no autorizado que él mismo creó en el sistema de la compañía.
El Departamento de Justicia también alega que Dobson programó su ordenador personal para descargar los e-mails de la compañía y durante un mes aproximadamente. La trama terminó cuando el FBI buscó en su casa en relación a una investigación. Los e-mails contenían información tanto de negocio como personal.
Artículo completo de : Internet News.
William K. Dobson, de 55 años, fue inculpado de dos cargos por interceptar comunicaciones electrónicas y uno por obtener ilegalmente información de un ordenador protegido.
De ser condenado, Dobson haría frente a una condena máxima de 15 años en prisión, tres años de libertad vigilada y una multa de hasta 250.000 dólares.
Según el sumario, después de que Dobson saliera por desacuerdos financieros y de negocio de la compañía que él mismo cofundó, accedió al sistema de correo electrónico de la compañía en dos ocasiones.
El propósito de la intrusión era interceptar el e-mail del CEO y su vice presidente de la compañía de la ingeniería. Dobson reenrutó entonces el correo a un nuevo buzón no autorizado que él mismo creó en el sistema de la compañía.
El Departamento de Justicia también alega que Dobson programó su ordenador personal para descargar los e-mails de la compañía y durante un mes aproximadamente. La trama terminó cuando el FBI buscó en su casa en relación a una investigación. Los e-mails contenían información tanto de negocio como personal.
Artículo completo de : Internet News.
El estudio de Fortify Software indica que los hackers están más interesados en las aplicaciones que en los sistemas operativos.
En el último semestre, Fortify analizó casi tres millones de peticiones en sitios que utilizan su producto e identificó dos herramientas dominantes usadas por los hackers. Fortify encontró que un promedio del 50% al 70% de los ataques provenían de botnets y de un 20% al 30% de diversas consultas enfocadas al hacking con el motor de búsqueda Google.
Los intentos buscan atacar vulnerabilidades PHP conocidas, inyecciones de código SQL y otras técnicas de inyección de comandos. El estudio de Fortify no encontró diferencias entre los sistemas operativos y que alguno en particular sea un objetivo prioritario sobre otros.
Artículo completo de : Internet News.
En el último semestre, Fortify analizó casi tres millones de peticiones en sitios que utilizan su producto e identificó dos herramientas dominantes usadas por los hackers. Fortify encontró que un promedio del 50% al 70% de los ataques provenían de botnets y de un 20% al 30% de diversas consultas enfocadas al hacking con el motor de búsqueda Google.
Los intentos buscan atacar vulnerabilidades PHP conocidas, inyecciones de código SQL y otras técnicas de inyección de comandos. El estudio de Fortify no encontró diferencias entre los sistemas operativos y que alguno en particular sea un objetivo prioritario sobre otros.
Artículo completo de : Internet News.
Políticas: todos de acuerdo
14/August/2006
14/August/2006
Cuando se desliga de conceptos como burocracia y obligación, la implementación de las políticas se convierte en el mecanismo de orden para todos los procesos del negocio, en aras de la protección de la información.
Gartner aseguró, a principios de 2005, que las organizaciones debían comenzar inmediatamente a establecer políticas y monitorear el uso no autorizado de los servicios Web, ya que de no hacerlo corren el riesgo de fallar en las auditorías de seguridad.
En el marco de un reciente evento de seguridad, Alejandro Floreán, director de GMS en IDC México, explica que hay cierta despreocupación en torno a la inversión en seguridad. Los departamentos de sistemas, tienen tantas necesidades que resolver que se ven en la necesidad de ponderar. O invierten en una nueva aplicación, o en equipamiento o en seguridad. Sin embargo no es hasta que ocurre una crisis cuando las empresas reconocen que no sólo es necesario invertir en infraestructura, sino en procesos y en políticas que aseguren la información y la protejan tanto de intrusos como de programas maliciosos y dañinos.
Artículo completo de Lizzette Pérez: b:Secure.
Visite nuestra sección de Boletines.
Gartner aseguró, a principios de 2005, que las organizaciones debían comenzar inmediatamente a establecer políticas y monitorear el uso no autorizado de los servicios Web, ya que de no hacerlo corren el riesgo de fallar en las auditorías de seguridad.
En el marco de un reciente evento de seguridad, Alejandro Floreán, director de GMS en IDC México, explica que hay cierta despreocupación en torno a la inversión en seguridad. Los departamentos de sistemas, tienen tantas necesidades que resolver que se ven en la necesidad de ponderar. O invierten en una nueva aplicación, o en equipamiento o en seguridad. Sin embargo no es hasta que ocurre una crisis cuando las empresas reconocen que no sólo es necesario invertir en infraestructura, sino en procesos y en políticas que aseguren la información y la protejan tanto de intrusos como de programas maliciosos y dañinos.
Artículo completo de Lizzette Pérez: b:Secure.
Visite nuestra sección de Boletines.
Gas Natural ha diseñado una nueva organización orientada a la gestión de la seguridad de la información. La responsabilidad de su implantación y despliegue corresponde a José Luís Checa López.
Este Ingeniero Técnico Industrial con más de veinte años de experiencia en el sector informático (11 de ellos en Digital Equipment Corporation), poseedor de un postgrado interno PDG Gas Natural, miembro de ISACA y del Comité de Métricas de AEMES, conoce al dedillo el sistema de información de su compañía, en la que ha sido con anterioridad Jefe de Arquitectura de Sistemas y Software de Base durante 7 años, con responsabilidad en proyectos de diseño e implementación de infraestructuras, etapa profesional en la que afrontó retos tan significativos como el despliegue de una solución de acceso con logon único (SSO), actualmente operativa.
Entrevista completa en: SIC.
Visite nuestra sección de Boletines.
Este Ingeniero Técnico Industrial con más de veinte años de experiencia en el sector informático (11 de ellos en Digital Equipment Corporation), poseedor de un postgrado interno PDG Gas Natural, miembro de ISACA y del Comité de Métricas de AEMES, conoce al dedillo el sistema de información de su compañía, en la que ha sido con anterioridad Jefe de Arquitectura de Sistemas y Software de Base durante 7 años, con responsabilidad en proyectos de diseño e implementación de infraestructuras, etapa profesional en la que afrontó retos tan significativos como el despliegue de una solución de acceso con logon único (SSO), actualmente operativa.
Entrevista completa en: SIC.
Visite nuestra sección de Boletines.
Luz verde para la firma digital en Argentina
14/August/2006
14/August/2006
La Oficina Nacional de Tecnología de la Información (ONTI) será la autoridad de aplicación, y otorgará las licencias para las empresas y organismos estatales que quieran implementar el sistema.
El decreto reglamentario de la ley de firma digital se halla en poder del presidente Néstor Kirchner, y su pronta aprobación --descontada por el director de la Oficina Nacional de Tecnologías de la Información (ONTI), licenciado Carlos Achiary--allanaría el camino para que las empresas que actúan como certificadoras puedan obtener sus licencias.
A pesar de esta situación, en el mercado ya se disputan un lugar firmas que ofrecen asesoramiento, o actúan como certificadoras sin licencia oficial. Según el funcionario, "mientras no se hayan otorgado las licencias (a los certificadores), de lo que debe hablarse es de firma electrónica y no de digital".
Si bien no hay diferencias tecnológicas entre ambas, la firma digital permite emitir documentos que necesitan ser rubricados con validez legal.
Noticia e información completa en: La Nueva Provincia.
El decreto reglamentario de la ley de firma digital se halla en poder del presidente Néstor Kirchner, y su pronta aprobación --descontada por el director de la Oficina Nacional de Tecnologías de la Información (ONTI), licenciado Carlos Achiary--allanaría el camino para que las empresas que actúan como certificadoras puedan obtener sus licencias.
A pesar de esta situación, en el mercado ya se disputan un lugar firmas que ofrecen asesoramiento, o actúan como certificadoras sin licencia oficial. Según el funcionario, "mientras no se hayan otorgado las licencias (a los certificadores), de lo que debe hablarse es de firma electrónica y no de digital".
Si bien no hay diferencias tecnológicas entre ambas, la firma digital permite emitir documentos que necesitan ser rubricados con validez legal.
Noticia e información completa en: La Nueva Provincia.
Tecnología para recuperar portátiles robados en auge
14/August/2006
14/August/2006
Quizás ha seguido usted los titulares de mayo sobre la perdida del ordenador portátil del departamento de Estados Unidos que contenía información personal de 26,5 Millones de veteranos, exponiéndolos al robo de su identidad.
Desde entonces, puede ser que haya pasado por alto la pérdida del portátil del gobierno del estado de Nueva York con 540.000 nombres. O los portátiles comerciales federales de la Comisión de Comercio con 110 nombres. O el de Ernst & Young Global Ltd. con 243.000 nombres. O el de YMCA con 68.000 nombres. O el de Equifax Inc. con 2.900 nombres. O el de ING con 13.000 nombres. O el de IRS con 291 nombres. O el portátil de Ahold con un número sin revelar de nombres.
Y esos fueron sólo algunos pocos casos de vieron la luz en Junio.
Noticia e información completa en: Computerworld.
Desde entonces, puede ser que haya pasado por alto la pérdida del portátil del gobierno del estado de Nueva York con 540.000 nombres. O los portátiles comerciales federales de la Comisión de Comercio con 110 nombres. O el de Ernst & Young Global Ltd. con 243.000 nombres. O el de YMCA con 68.000 nombres. O el de Equifax Inc. con 2.900 nombres. O el de ING con 13.000 nombres. O el de IRS con 291 nombres. O el portátil de Ahold con un número sin revelar de nombres.
Y esos fueron sólo algunos pocos casos de vieron la luz en Junio.
Noticia e información completa en: Computerworld.
Riesgo de infección en las computadoras porque los empleados envían cadenas de mensajes, bromas, contenidos de cierta tendencia sexual y grandes archivos con imágenes y fotos que violan la política de uso personal del E-mail dentro de la organización.
Además, algunos servidores carecen de medidas de seguridad y autorizaciones, según ha comunicado TIGTA ("Treasury Inspector General for Tax Administration") en un informe reciente. La mayor contribución de vulnerabilidades de los servidores de E-mail era que los administradores de sistema no habían instalado parches actuales de seguridad.
El auditor encontró mensajes de correo electrónico inadecuados en 74 por ciento de las cuentas de los empleados que revisó. Tigta basó sus resultados en una muestra estadística de 96 empleados de la lista de direcciones y revisó 46.551 E-mail.
Noticia e información completa en: GCN.
Resultados completos de la auditoría: TIGTA.
Además, algunos servidores carecen de medidas de seguridad y autorizaciones, según ha comunicado TIGTA ("Treasury Inspector General for Tax Administration") en un informe reciente. La mayor contribución de vulnerabilidades de los servidores de E-mail era que los administradores de sistema no habían instalado parches actuales de seguridad.
El auditor encontró mensajes de correo electrónico inadecuados en 74 por ciento de las cuentas de los empleados que revisó. Tigta basó sus resultados en una muestra estadística de 96 empleados de la lista de direcciones y revisó 46.551 E-mail.
Noticia e información completa en: GCN.
Resultados completos de la auditoría: TIGTA.
Publicaciones para la protección de infraestructura crítica
14/August/2006
14/August/2006
"Trusted Information Sharing Network" (TISN) es una interesante iniciativa del gobierno australiano para desarrollar y distribuir una serie de publicaciones sobre la protección de la infraestructura crítica y que cuenta con la participación de organizaciones públicas y privadas
Las publicaciones contienen informes en los que se examinan aspectos relacionados con la seguridad TI y proveen un marco adecuado para la gestión y mejora de la seguridad en las propias empresas.
Los documentos van dirigidos a los responsables de la seguridad en las empresas e incluyen casos de estudio e información práctica.
El enlace que incluimos lleva a la página de publicaciones donde se pueden encontrar las publicaciones, boletines de noticias y diferentes documentos de ayuda relacionados.
Visite el enlace: TISN.
Las publicaciones contienen informes en los que se examinan aspectos relacionados con la seguridad TI y proveen un marco adecuado para la gestión y mejora de la seguridad en las propias empresas.
Los documentos van dirigidos a los responsables de la seguridad en las empresas e incluyen casos de estudio e información práctica.
El enlace que incluimos lleva a la página de publicaciones donde se pueden encontrar las publicaciones, boletines de noticias y diferentes documentos de ayuda relacionados.
Visite el enlace: TISN.
Defensa de teléfonos celulares y PDAs contra los ataques
14/August/2006
14/August/2006
Con motivo de los avances tecnológicos y funcionalidades de los teléfonos móviles y PDAs, los atacantes encuentran nuevos medios de localizar a sus víctimas.
Mediante el uso de mensajes de texto o e-mail, un atacante puede dirigirte a direcciones perjudiciales o provocar la instalación de código malicioso en el dispositivo portátil.
US Cert explica en sus "consejos de seguridad" los posibles riesgos y medidas de protección a tener en cuenta para evitar estos problemas.
Noticia e Información completa en:US-Cert.
Mediante el uso de mensajes de texto o e-mail, un atacante puede dirigirte a direcciones perjudiciales o provocar la instalación de código malicioso en el dispositivo portátil.
US Cert explica en sus "consejos de seguridad" los posibles riesgos y medidas de protección a tener en cuenta para evitar estos problemas.
Noticia e Información completa en:US-Cert.
También sanciona a la compañía que contrató una póliza sin autorización.La Agencia Española de Protección de Datos ha impuesto una multa de 100.000 euros a una correduría de seguros con sede en Zaragoza por tramitar una póliza a dos ciudadanos sin que constara el expreso consentimiento de estos. Asimismo, sanciona con otros 60.101 euros a la compañía que emitió la citada póliza.
Según la denuncia presentada por los afectados ante la agencia en el mes de mayo del 2004, la entidad Arag Compañía Internacional de Seguros y Reaseguros suscribió una póliza de defensa jurídica a su nombre sin que mediara autorización previa. Los denunciantes reconocen, sin embargo, que habían recibido una carta en el mes de enero del 2004 de la Correduría Ebroseguros, en la que esta entidad les comunicaba que, si no indicaban lo contrario se iban a emitir las citadas pólizas. Así se hizo y los recibos fueron cargados en las cuentas bancarias de los afectados.
Noticia e Información completa en:Gesprodat.
Resoluciones de Procedimientos sancionadores en 2006:Agencia de Protección de Datos.
Roban 38.000 contraseñas del FBI, incluida la de su director
14/August/2006
14/August/2006
Hace dos años, Joseph Thomas Colon -empleado de una consultora que trabajaba para la entidad- usó dos programas que descargó gratis de internet para obtener los secretos mejor guardados de la policía federal.
Un consultor del Gobierno obtuvo las contraseñas de 38.000 funcionarios del FBI, incluida la de su director, Robert Mueller, y tuvo acceso a documentos secretos
Joseph Thomas Colon, de 28 años, obtuvo registros del Programa de Protección a Testigos de la policía federal de EEUU, así como información sobre sus actividades de contraespionaje, de acuerdo con documentos legales presentados en el juicio que se sigue contra él y a los que tuvo acceso el periódico "The Washington Post".
Información completa en The Washingtonpost
Un consultor del Gobierno obtuvo las contraseñas de 38.000 funcionarios del FBI, incluida la de su director, Robert Mueller, y tuvo acceso a documentos secretos
Joseph Thomas Colon, de 28 años, obtuvo registros del Programa de Protección a Testigos de la policía federal de EEUU, así como información sobre sus actividades de contraespionaje, de acuerdo con documentos legales presentados en el juicio que se sigue contra él y a los que tuvo acceso el periódico "The Washington Post".
Información completa en The Washingtonpost
David Brewer y Michael Nash, consultores y expertos en seguridad de la información, han autorizado a www.iso27000.es a traducir su interesante documento "Exploiting an Integrated Management System", donde se explica cómo un Sistema de Gestión puede implementar el modelo Deming y satisfacer todos los aspectos de los objetivos de negocio de una organización, con el uso de los Planes de Aprovechamiento de Oportunidades (PAOs) y los Planes de Tratamiento del Riesgo (PTRs).
Juntos, los PAOs y los PTRs deberían identificar todos los procedimientos necesarios para que una organización alcance sus objetivos de negocio y sea dirigida con arreglo a sus obligaciones legales, contractuales y de buen gobierno corporativo. Sin embargo, existe una limitación en el modelo de Deming, y es que las omisiones son detectadas únicamente a posterior.
Se explica por qué esto es peligroso y la necesidad, por tanto, de algún otro tipo de análisis de riesgos potenciales. Se propone cómo puede implantarse una especie de Red de Seguridad, mediante el uso de las “Listas de Ideas Alternativas” (LIAs).
Descarga desde Artículos y Podcast.
Original en inglés e información en Gamma Secure Systems Limited.
Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa Gamma Secure Systems Limited han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.
Juntos, los PAOs y los PTRs deberían identificar todos los procedimientos necesarios para que una organización alcance sus objetivos de negocio y sea dirigida con arreglo a sus obligaciones legales, contractuales y de buen gobierno corporativo. Sin embargo, existe una limitación en el modelo de Deming, y es que las omisiones son detectadas únicamente a posterior.
Se explica por qué esto es peligroso y la necesidad, por tanto, de algún otro tipo de análisis de riesgos potenciales. Se propone cómo puede implantarse una especie de Red de Seguridad, mediante el uso de las “Listas de Ideas Alternativas” (LIAs).
Descarga desde Artículos y Podcast.
Original en inglés e información en Gamma Secure Systems Limited.
Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa Gamma Secure Systems Limited han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.
Contenidos: Nuevo artículo sobre implantación de ISO 17799
07/August/2006
07/August/2006
ISACA (Information Systems Audit and Control Association) ha autorizado a www.iso27000.es a traducir al español y publicar una serie de artículos relacionados con ISO 27001 y la seguridad de la información.
El primero de estos artículos, publicado originalmente en el número 4 de 2004 de la revista "Information Systems Control Journal", lleva por título "Implantando ISO17799: ¿Placer o Dolor?". En él, Carl Thorp habla acerca de ideas preconcebidas, ventajas y consejos sobre la implantación de ISO 17799, y de un SGSI en general, en una organización.
Carl Thorp es CISM y CISSP, lleva 18 años dedicándose a la gestión de sistemas de información y es fundador de Westthor Ltd., una empresa que desarrolla estrategias que protejan de los riesgos de seguridad de la información y las integren en la gestión general de riesgos de la organización.
Visite nuestra sección de Artículos y Podcast.
Original en inglés en ISACA.
El primero de estos artículos, publicado originalmente en el número 4 de 2004 de la revista "Information Systems Control Journal", lleva por título "Implantando ISO17799: ¿Placer o Dolor?". En él, Carl Thorp habla acerca de ideas preconcebidas, ventajas y consejos sobre la implantación de ISO 17799, y de un SGSI en general, en una organización.
Carl Thorp es CISM y CISSP, lleva 18 años dedicándose a la gestión de sistemas de información y es fundador de Westthor Ltd., una empresa que desarrolla estrategias que protejan de los riesgos de seguridad de la información y las integren en la gestión general de riesgos de la organización.
Visite nuestra sección de Artículos y Podcast.
Original en inglés en ISACA.
Hemos reorganizado nuestra sección de preguntas más frecuentes (Faqs), incluyendo aquélllas que con más asiduidad recibimos últimamente como consultas y otras que consideramos de interés.
Visite nuestra sección de Faqs.
Visite nuestra sección de Faqs.
Nuevo boletín CobiT Focus
07/August/2006
07/August/2006
El pasado mes de Junio, ISACA y el IT Governance Institute publicaron el primer número de un nuevo boletín llamado CobiT Focus.
Este boletín en inglés ofrece noticias, casos prácticos y artículos para la comunidad de usuarios de CobiT.
Puede descargarse en: ISACA.
Este boletín en inglés ofrece noticias, casos prácticos y artículos para la comunidad de usuarios de CobiT.
Puede descargarse en: ISACA.
El 16 de agosto finaliza el plazo de inscripción temprana (con descuentos en el coste del examen) para los exámenes de ISACA para la obtención de las certificaciones de Certified Information Systems Auditor y Certified Information Security Manager que tendrán lugar el 9 de Diciembre.
La fecha límite de inscripción final (sin descuentos) es el 27 de Septiembre.
Para más detalles e inscripciones: ISACA.
La fecha límite de inscripción final (sin descuentos) es el 27 de Septiembre.
Para más detalles e inscripciones: ISACA.
ENISA (European Network and Information Security Agency) publicó en Julio una guía de ayuda a la creación de planes de concienciación en seguridad de la información (sobre todo de planes orientados a usuarios y pymes).
A lo largo de 64 páginas, el documento detalla en inglés cómo planificar, implementar, evaluar y ajustar un plan de concienciación de seguridad de la información.
La guía está disponible en: ENISA.
Visite nuestra sección de Herramientas para ver otras guías sobre el mismo tema.
A lo largo de 64 páginas, el documento detalla en inglés cómo planificar, implementar, evaluar y ajustar un plan de concienciación de seguridad de la información.
La guía está disponible en: ENISA.
Visite nuestra sección de Herramientas para ver otras guías sobre el mismo tema.
ENISA (European Network and Information Security Agency) ha iniciado un proyecto de recopilación de información sobre todos los esquemas de certificación de personas, tecnologías y organizaciones en seguridad de la información que se utilizan en Europa.
Para ello, está buscando en este momento la colaboración en el proyecto de expertos y certificadores para celebrar a finales de 2006 un workshop de presentación de las diferentes certificaciones. Esa será la base para moderar un debate sobre las similitudes y diferencias entre ellas y promover el uso de las mismas.
Para más información, inscripción en el proyecto y lista inicial de certificaciones: ENISA.
Para ello, está buscando en este momento la colaboración en el proyecto de expertos y certificadores para celebrar a finales de 2006 un workshop de presentación de las diferentes certificaciones. Esa será la base para moderar un debate sobre las similitudes y diferencias entre ellas y promover el uso de las mismas.
Para más información, inscripción en el proyecto y lista inicial de certificaciones: ENISA.
Gary Hinson hace referencia en NoticeBored a los documentos que publica la Federal Financial Institutions Examination Council (FFIEC) de EEUU.
Este organismo coordina la actividad de distintas agencias gubernamentales de EEUU dedicadas a la supervisión de instituciones financieras.
Dentro de esta labor de supervisión, ocupa un lugar muy importante la revisión y examen de los sistemas de información de dichas entidades financieras. La FFIEC ha editado una serie de guías para el propio personal de las agencias supervisoras en materia de sistemas de información que pueden ser muy útiles a cualquier interesado en estos temas.
En total, se trata de doce guías en inglés, dedicadas a seguridad de la información, continuidad de negocio, auditoría de sistemas de información, gestión y operaciones de TI, outsourcing, etc.
En su conjunto, ofrecen una visión completa, resumida y actualizada de lo que debería encontrarse un supervisor en una institución financiera para valorar positivamente sus sistemas de información. La mayor parte de las indicaciones son extensibles a cualquier tipo de organización.
Las guías forman parte de un sistema de información consultable online que incluye, además, una larga lista de enlaces a normas, regulaciones, leyes, etc. y un glosario
Puede consultarse en FFIEC .
Este organismo coordina la actividad de distintas agencias gubernamentales de EEUU dedicadas a la supervisión de instituciones financieras.
Dentro de esta labor de supervisión, ocupa un lugar muy importante la revisión y examen de los sistemas de información de dichas entidades financieras. La FFIEC ha editado una serie de guías para el propio personal de las agencias supervisoras en materia de sistemas de información que pueden ser muy útiles a cualquier interesado en estos temas.
En total, se trata de doce guías en inglés, dedicadas a seguridad de la información, continuidad de negocio, auditoría de sistemas de información, gestión y operaciones de TI, outsourcing, etc.
En su conjunto, ofrecen una visión completa, resumida y actualizada de lo que debería encontrarse un supervisor en una institución financiera para valorar positivamente sus sistemas de información. La mayor parte de las indicaciones son extensibles a cualquier tipo de organización.
Las guías forman parte de un sistema de información consultable online que incluye, además, una larga lista de enlaces a normas, regulaciones, leyes, etc. y un glosario
Puede consultarse en FFIEC .
El capítulo español de itSMF (Information Technology Service Management Forum) ha redactado y puesto a libre disposición en su página web una lista de más de 1000 términos y acrónimos en inglés relacionados con la gestión del servicio de TI, con su correspondiente traducción al español. El acuerdo de traducción, promovido por itSMF España, ha sido suscrito por OGC-TSO, itSMF Internacional, el Comité IPESC de itSMF. EXIN y Van Haren Publishing.
Muchos de estos términos se utilizan también en la gestión de la seguridad de la información, por lo que se trata de una fuente interesante también para este área.
El diccionario está disponible en itSMF España.
Muchos de estos términos se utilizan también en la gestión de la seguridad de la información, por lo que se trata de una fuente interesante también para este área.
El diccionario está disponible en itSMF España.
David Brewer y Michael Nash, consultores y expertos en seguridad de la información, han autorizado a www.iso27000.es a traducir su interesante documento "Exploiting an Integrated Management System", donde se explica cómo un Sistema de Gestión puede implementar el modelo Deming y satisfacer todos los aspectos de los objetivos de negocio de una organización, con el uso de los Planes de Aprovechamiento de Oportunidades (PAOs) y los Planes de Tratamiento del Riesgo (PTRs).
Juntos, los PAOs y los PTRs deberían identificar todos los procedimientos necesarios para que una organización alcance sus objetivos de negocio y sea dirigida con arreglo a sus obligaciones legales, regulatorias, contractuales y de buen gobierno corporativo. Sin embargo, existe una limitación en el modelo de Deming, y es que las omisiones son detectadas únicamente a posterior.
Se explica por qué esto es peligroso y la necesidad, por tanto, de algún otro tipo de análisis de riesgos potenciales. Se propone cómo puede implantarse una especie de Red de Seguridad, mediante el uso de las “Listas de Ideas Alternativas” (LIAs).
Visite nuestra sección de Artículos y Podcast.
Original en inglés e información en Gamma Secure Systems Limited.
Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa Gamma Secure Systems Limited han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.
Juntos, los PAOs y los PTRs deberían identificar todos los procedimientos necesarios para que una organización alcance sus objetivos de negocio y sea dirigida con arreglo a sus obligaciones legales, regulatorias, contractuales y de buen gobierno corporativo. Sin embargo, existe una limitación en el modelo de Deming, y es que las omisiones son detectadas únicamente a posterior.
Se explica por qué esto es peligroso y la necesidad, por tanto, de algún otro tipo de análisis de riesgos potenciales. Se propone cómo puede implantarse una especie de Red de Seguridad, mediante el uso de las “Listas de Ideas Alternativas” (LIAs).
Visite nuestra sección de Artículos y Podcast.
Original en inglés e información en Gamma Secure Systems Limited.
Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa Gamma Secure Systems Limited han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.
La Agencia Nacional de Inteligencia Geoespacial (NGA) Americana se ha convertido en la primera organización pública o privada en ser certificada en los tres estándares internacionales ISO 9001, ISO 15000 e ISO 27001.
ISO 9001 es el estándar para proporcionar la prestación de servicios con regularidad, ISO 15000 define los requisitos de una organización para la gestión y suministro de servicios TI a clientes e ISO 27001 es una metodología reconocida internacionalmente para la evaluación, implantación, mantenimiento y gestión de la seguridad de la información.
NGA es responsable de imágenes e información geoespacial relativa a características físicas y actividades geográficas terrestres y del aprovechamiento y análisis de esa información. Como agencia de apoyo al Departamento de Defensa, la precisión y puntualidad de su información es crítica.
Las certificaciones ISO han supuesto a la NGA el desarrollo de procesos, procedimientos y métricas del rendimiento que la agencia aplica a sus redes y centros de datos para el desarrollo diario de sus operaciones.
Artículo e Información completa: GCN.
ISO 9001 es el estándar para proporcionar la prestación de servicios con regularidad, ISO 15000 define los requisitos de una organización para la gestión y suministro de servicios TI a clientes e ISO 27001 es una metodología reconocida internacionalmente para la evaluación, implantación, mantenimiento y gestión de la seguridad de la información.
NGA es responsable de imágenes e información geoespacial relativa a características físicas y actividades geográficas terrestres y del aprovechamiento y análisis de esa información. Como agencia de apoyo al Departamento de Defensa, la precisión y puntualidad de su información es crítica.
Las certificaciones ISO han supuesto a la NGA el desarrollo de procesos, procedimientos y métricas del rendimiento que la agencia aplica a sus redes y centros de datos para el desarrollo diario de sus operaciones.
Artículo e Información completa: GCN.
Ranal obtiene la certificación ISO 27001
01/August/2006
01/August/2006
La división "Engineering Design Services", con sede central en Michigan y que proporciona servicios de diseño y simulación para las industrias del automóvil y aeroespacial, ha recibido la certificación en 'ISO 27001:2005' por TUV Rheinland Industrie Service GmbH en su filial de Bangalore en la India.
"En un entorno de desafíos y competitividad a escala mundial, la seguridad de la informacion es un elemento clave de negocio a nivel estratégico y operacional. Hemos diseñado e implantado procesos y las mejores prácticas para la seguridad de la información con el objeto de asegurar la confidencialidad, integridad y disponibilidad de la información."
"La certificación es un reflejo de nuestro compromiso con la calidad y la seguridad. Continuaremos con el control y mejora de nuestros procesos para satisfacer servicios a escala mundial y de primer orden a nuestros clientes.", declaró Ramesh Chandra, Director de operaciones de Ranal en la India.
Artículo e Información completa: EFY Group
"En un entorno de desafíos y competitividad a escala mundial, la seguridad de la informacion es un elemento clave de negocio a nivel estratégico y operacional. Hemos diseñado e implantado procesos y las mejores prácticas para la seguridad de la información con el objeto de asegurar la confidencialidad, integridad y disponibilidad de la información."
"La certificación es un reflejo de nuestro compromiso con la calidad y la seguridad. Continuaremos con el control y mejora de nuestros procesos para satisfacer servicios a escala mundial y de primer orden a nuestros clientes.", declaró Ramesh Chandra, Director de operaciones de Ranal en la India.
Artículo e Información completa: EFY Group
El fraude documental
01/August/2006
01/August/2006
Casi todos los delitos que se cometen en el mundo están relacionados o precedidos por un fraude documental. Esta afirmación parece exagerada, pero no lo es.
Documentos de identidad, pasaportes, certificados médicos, recetas, documentaciones de automóviles, pólizas de seguros, poderes, títulos, permisos, licencias, etiquetas, estuches, cheques, etc., falsificados o modificados fraudulentamente permiten al delincuente, a veces con demasiado éxito, suplantar personalidades, estafar a mutuas, obtener estupefacientes, robar y vender automóviles, estafar con operaciones inmobiliarias, ejercer fraudulentamente una profesión, falsificar productos, retirar fondos ajenos de un banco, etc.
Artículo e Información completa: Seguritecnia.
Visite nuestra sección de Boletines.
Documentos de identidad, pasaportes, certificados médicos, recetas, documentaciones de automóviles, pólizas de seguros, poderes, títulos, permisos, licencias, etiquetas, estuches, cheques, etc., falsificados o modificados fraudulentamente permiten al delincuente, a veces con demasiado éxito, suplantar personalidades, estafar a mutuas, obtener estupefacientes, robar y vender automóviles, estafar con operaciones inmobiliarias, ejercer fraudulentamente una profesión, falsificar productos, retirar fondos ajenos de un banco, etc.
Artículo e Información completa: Seguritecnia.
Visite nuestra sección de Boletines.
La Policía Nacional ha detenido a dos hombres por utilizar supuestamente la documentación de varios vecinos de la provincia de Alicante para abrir cuentas corrientes a su nombre con las que contrataban después líneas de teléfono móvil. Se les acusa de una treintena de delitos de usurpación de estado civil, estafa y falsedad documental.
Las víctimas habían sufrido el robo de su documentación, pero ignoraban que con ella habían sido abiertas cuentas bancarias y contratadas líneas telefónicas.
Artículo e Información completa: delitosinformáticos.com.
Las víctimas habían sufrido el robo de su documentación, pero ignoraban que con ella habían sido abiertas cuentas bancarias y contratadas líneas telefónicas.
Artículo e Información completa: delitosinformáticos.com.
Interesante entrevista en el número de Julio de mano de Red Seguridad a Carlos Solari, profesional que ha trabajado siete años en el FBI y ha sido Chief Information Officer (CIO) de la Casa Blanca durante dos años y medio.
Carlos Solari aboga por la seguridad proactiva y la implantación de estándares de seguridad que avalen el buen funcionamiento y la garantía de seguridad en los productos. En los Bell Labs, este experto encontró un estándar, el x.805, que describe la arquitectura de seguridad para los sistemas que permiten comunicaciones extremo a extremo.
Otro de los estándares que el vicepresidente de Seguridad de los Bell Labs asegura que se adaptará es la norma ISO 27001:2005, que da especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).
Artículo e Información completa: Red Seguridad.
Visite nuestra sección de Boletines.
Carlos Solari aboga por la seguridad proactiva y la implantación de estándares de seguridad que avalen el buen funcionamiento y la garantía de seguridad en los productos. En los Bell Labs, este experto encontró un estándar, el x.805, que describe la arquitectura de seguridad para los sistemas que permiten comunicaciones extremo a extremo.
Otro de los estándares que el vicepresidente de Seguridad de los Bell Labs asegura que se adaptará es la norma ISO 27001:2005, que da especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).
Artículo e Información completa: Red Seguridad.
Visite nuestra sección de Boletines.
Entre el 14 y el 16 de junio, se dieron cita más de 200 profesionales del sector de la banca para analizar, entre otras cuestiones, cómo estas instituciones afrontan las amenazas y peligros actuales -tanto físicos como informáticos- . Asimismo, asistieron representantes de empresas tecnológicas y portavoces de los Cuerpos de Seguridad del Estado.
Barclays Bank, BBVA, Caixa Tarragona, Caja Cantabria, Caja Madrid, Caja Navarra, Caja Torrent, Ibercaja, La Caixa, Banco Sabadell, Unicaja, entre otros, acudieron a una reunión profesional, en el Hotel Occidental de Sevilla, en la que poder contrastar experiencias e ideas para avanzar juntos en la concienciación y mejora de la seguridad.
Prepararse para la convergencia entre la seguridad tradicional y la seguridad de la información o adaptarse a la constante evolución tecnológica y a fenómenos como la globalización y la delincuencia organizada, son algunas de las opiniones destacables que se pudieron oír en este encuentro profesional.
Artículo e Información completa: Red Seguridad.
Visite nuestra sección de Boletines.
Barclays Bank, BBVA, Caixa Tarragona, Caja Cantabria, Caja Madrid, Caja Navarra, Caja Torrent, Ibercaja, La Caixa, Banco Sabadell, Unicaja, entre otros, acudieron a una reunión profesional, en el Hotel Occidental de Sevilla, en la que poder contrastar experiencias e ideas para avanzar juntos en la concienciación y mejora de la seguridad.
Prepararse para la convergencia entre la seguridad tradicional y la seguridad de la información o adaptarse a la constante evolución tecnológica y a fenómenos como la globalización y la delincuencia organizada, son algunas de las opiniones destacables que se pudieron oír en este encuentro profesional.
Artículo e Información completa: Red Seguridad.
Visite nuestra sección de Boletines.
El anteproyecto de reforma del Código Penal pretende endurecer las penas de determinados delitos ya contemplados e introducir otros nuevos.
Se producen cambios en los delitos económicos y societarios, estableciendo una pena de uno a cuatro años, a los administradores de sociedades que falseen sus balances o las informaciones que la sociedad deba publicar y difundir para captar inversores u obtener créditos o préstamos. Por otro lado, se establece una pena de prisión de uno a tres años a los auditores que aprueben balances falsos.
Hasta ahora, el mero acceso no consentido, conocido como hacking directo (acceso indebido o no autorizado con el único ánimo de vulnerar el password sin ánimo delictivo adicional) no se encuentra penado en el código penal, no obstante, con la reforma se pretende castigar dicha conducta, por una parte el perjuicio o daño a la intimidad que se ocasione a la victima y por otra los daños que dicha conducta pueda originar.
Artículo e Información completa: delitosinformáticos.com.
Se producen cambios en los delitos económicos y societarios, estableciendo una pena de uno a cuatro años, a los administradores de sociedades que falseen sus balances o las informaciones que la sociedad deba publicar y difundir para captar inversores u obtener créditos o préstamos. Por otro lado, se establece una pena de prisión de uno a tres años a los auditores que aprueben balances falsos.
Hasta ahora, el mero acceso no consentido, conocido como hacking directo (acceso indebido o no autorizado con el único ánimo de vulnerar el password sin ánimo delictivo adicional) no se encuentra penado en el código penal, no obstante, con la reforma se pretende castigar dicha conducta, por una parte el perjuicio o daño a la intimidad que se ocasione a la victima y por otra los daños que dicha conducta pueda originar.
Artículo e Información completa: delitosinformáticos.com.
El calor hace peligrar la información de los discos duros
01/August/2006
01/August/2006
Recovery Labs, compañía especializada en el desarrollo y comercialización de aplicaciones y servicios de recuperación de datos, borrado seguro y peritaje informático, ha detectado un aumento considerable de la demanda del servicio de recuperación de discos duros dañados por descompensación térmica durante los meses de verano. De hecho, en 2005, de un total de 18,5% de discos duros que entraron en laboratorio por este tipo de avería, el 69,66% lo hicieron durante los meses de julio, agosto y septiembre. Esta tendencia fue más acusada en el 2004 cuando, de un total de un 13,20% de averías producidas por descompensación térmica, el 83,84% de ellas se produjeron en esos meses estivales.
Artículo e Información completa: Recovery Labs.
Artículo e Información completa: Recovery Labs.
4,5 millones de españoles compraron online en 2005
01/August/2006
01/August/2006
Unos 4,5 millones de internautas españoles confiaron en comprar a través de la Red en 2005, lo que se traduce en uno de cada cuatro usuarios, según un estudio de comercio electrónico de empresas a clientes facilitado el jueves por Red.es, que depende del Ministerio de Industria.
La cifra supone un aumento de un 10% en relación al año anterior, dijo el estudio sobre comercio electrónico B2C 2006 elaborado para el Observatorio de las Telecomunicaciones y de la Sociedad de la Información de Red.es y de la Asociación Española de Comercio Electrónico y Marketing Relacional (AECEM-FECEMD).
Si existe una razón principal por la que los actuales compradores incrementen sus compras a través de la Red esa es la mejora en la seguridad en los pagos (29,7%), siguiéndole a continuación la mayor variedad de productos (23,5%) y el acceso a ofertas y mejores precios (15%).
Artículo e Información completa: Noticiasdot.com.
La cifra supone un aumento de un 10% en relación al año anterior, dijo el estudio sobre comercio electrónico B2C 2006 elaborado para el Observatorio de las Telecomunicaciones y de la Sociedad de la Información de Red.es y de la Asociación Española de Comercio Electrónico y Marketing Relacional (AECEM-FECEMD).
Si existe una razón principal por la que los actuales compradores incrementen sus compras a través de la Red esa es la mejora en la seguridad en los pagos (29,7%), siguiéndole a continuación la mayor variedad de productos (23,5%) y el acceso a ofertas y mejores precios (15%).
Artículo e Información completa: Noticiasdot.com.
"ISMS Implementation Guide" es un documento PDF en el que Vinod Kumar hace un repaso sobre los puntos clave a la hora de implementar un SGSI. El documento, pese a no ser exhaustivo, ya que en 23 páginas no se puede resumir todo lo necesario para entender un sistema de gestión de la seguridad, es, sin embargo, un buen resumen y un modo accesible para tener una primera toma de contacto, si queremos implantar un sistema de estas características.
Descarga del documento desde Infosecwriters.com .
Descarga alternativa y fuente de la noticia: Blog de Sergio Hernando.
Descarga del documento desde Infosecwriters.com .
Descarga alternativa y fuente de la noticia: Blog de Sergio Hernando.
ECA Certificación ofrece el próximo mes de Noviembre en Madrid y Barcelona cursos de 40 horas de duración sobre implementación y auditoría de SGSI según la norma ISO 27001
El curso va dirigido a Directores de seguridad informática y técnicos informáticos que deseen obtener formación práctica de acuerdo a los requistos de la norma.
El programa consta básicamente de:
1.- GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. NORMA ISO 17799
2.- ANÁLISIS DE RIESGOS
3.- AUDITAR EL SGSI
4.- EL PROCESO DE AUDITORIA
5.- EJERCICIOS PRÁCTICOS
6.- EXAMEN FINAL
Derechos de inscripción: 1.800 € (IVA no incluido).
Precio reducido para clientes de ECA: 1.400 € (IVA no incluido)
Certificado: Al final el cursos de emitirá un certificado de asistencia a cada participante
Lugar y Fechas:
- Parque Empresarial La Finca Pº del Club Deportivo, s/n, Edificio 12. 28223 POZUELO DE ALARCÓN. MADRID.
20,21,22,23 y 24 de noviembre de 2006
- C/Terré, 11 – 19, Barcelona .
13,14,15,16 y 17 de noviembre de 2006
Para más información e inscripciones: ECA Certificación.
El curso va dirigido a Directores de seguridad informática y técnicos informáticos que deseen obtener formación práctica de acuerdo a los requistos de la norma.
El programa consta básicamente de:
1.- GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. NORMA ISO 17799
2.- ANÁLISIS DE RIESGOS
3.- AUDITAR EL SGSI
4.- EL PROCESO DE AUDITORIA
5.- EJERCICIOS PRÁCTICOS
6.- EXAMEN FINAL
Derechos de inscripción: 1.800 € (IVA no incluido).
Precio reducido para clientes de ECA: 1.400 € (IVA no incluido)
Certificado: Al final el cursos de emitirá un certificado de asistencia a cada participante
Lugar y Fechas:
- Parque Empresarial La Finca Pº del Club Deportivo, s/n, Edificio 12. 28223 POZUELO DE ALARCÓN. MADRID.
20,21,22,23 y 24 de noviembre de 2006
- C/Terré, 11 – 19, Barcelona .
13,14,15,16 y 17 de noviembre de 2006
Para más información e inscripciones: ECA Certificación.
ECA Certificación ofrece el próximo mes de Septiembre en Madrid y Octubre en Barcelona cursos de 24 horas de duración sobre implementación de SGSI según la norma ISO 27001
El curso va dirigido a Directores de seguridad informática, y técnicos informáticos que deseen obtener formación práctica de acuerdo a los requistos de la norma.
El programa consta básicamente de:
1.- GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. NORMA ISO 17799
2.- ANÁLISIS DE RIESGOS
3.- AUDITAR EL SGSI
4.- EL PROCESO DE AUDITORIA
5.- EJERCICIOS PRÁCTICOS
6.- EXAMEN FINAL
Derechos de inscripción: 1.100 € (IVA no incluido).
Precio reducido para clientes de ECA: 800 € (IVA no incluido)
Certificado: Al final el cursos de emitirá un certificado de asistencia a cada participante
Lugar y Fechas:
- Parque Empresarial La Finca Pº del Club Deportivo, s/n, Edificio 12. 28223 POZUELO DE ALARCÓN. MADRID.
25,26 y 27 de septiembre de 2006.
- C/Terré, 11 – 19, Barcelona .
3,4 y 5 de octubre de 2006.
Para más información e inscripciones: ECA Certificación.
El curso va dirigido a Directores de seguridad informática, y técnicos informáticos que deseen obtener formación práctica de acuerdo a los requistos de la norma.
El programa consta básicamente de:
1.- GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. NORMA ISO 17799
2.- ANÁLISIS DE RIESGOS
3.- AUDITAR EL SGSI
4.- EL PROCESO DE AUDITORIA
5.- EJERCICIOS PRÁCTICOS
6.- EXAMEN FINAL
Derechos de inscripción: 1.100 € (IVA no incluido).
Precio reducido para clientes de ECA: 800 € (IVA no incluido)
Certificado: Al final el cursos de emitirá un certificado de asistencia a cada participante
Lugar y Fechas:
- Parque Empresarial La Finca Pº del Club Deportivo, s/n, Edificio 12. 28223 POZUELO DE ALARCÓN. MADRID.
25,26 y 27 de septiembre de 2006.
- C/Terré, 11 – 19, Barcelona .
3,4 y 5 de octubre de 2006.
Para más información e inscripciones: ECA Certificación.
Como ya anunciamos en días pasados, desde www.iso27000.es hemos realizado un documento .pps (presentación PowerPoint), acompañado de voz, sobre la evolución de ISO 27001 e ISO 17799.
Visite nuestra sección de Artículos y podcasts.
Visite nuestra sección de Artículos y podcasts.
Gary Hinson hace referencia en NoticeBored a un caso publicado por InformationWeek en el que un administrador de sistemas de la entidad financiera UBS ha sido declarado culpable de sabotear la red de la empresa hace dos años, paralizando casi 2.000 servidores.
A partir de ahí, el artículo analiza el origen del caso (empleado descontento), la dificultad de impedir los ataques internos, los efectos sobre el buen nombre de la empresa que causan las dudas sembradas por la defensa en el juicio y algunas posibles medidas de protección.
A partir de ahí, el artículo analiza el origen del caso (empleado descontento), la dificultad de impedir los ataques internos, los efectos sobre el buen nombre de la empresa que causan las dudas sembradas por la defensa en el juicio y algunas posibles medidas de protección.
Podcasts de Symantec sobre conformidad
26/July/2006
26/July/2006
Symantec ha comenzado un ciclo de interesantes podcasts en inglés sobre conformidad (Sarbanes-Oxley, privacidad...).
En el primer podcast (Compliance Briefing 1), David Smith, consultor de seguridad de Symantec, explica cómo el tratamiento de seguridad de la información en las organizaciones ha evolucionado de la conformidad con políticas internas a la conformidad con regulaciones externas y cómo esto ha llevado de un enfoque más técnico y preocupado de la seguridad día a día a un enfoque más orientado al negocio y sus riesgos. Ha pasado de ser una tarea táctica a ser estratégica, con lo que la seguridad de la información ha subido en la jerarquía de las organizaciones para intervenir en todas sus actividades, dejando de centrarse sólo en sistemas TI y abarcando los sistemas de negocio, formados por procesos, personas y herramientas.
En el segundo podcast de la serie (Compliance Briefing 2), David Smith y Jim Robinson, consultores de seguridad de Symantec, analizan uno de los pilares básicos de la seguridad de la información, y a veces no suficientemente estudiado en las organizaciones, como es el control de acceso a la información. En el curso de la conversación aparecen dos conceptos del control de acceso que las organizaciones suelen enfocar mal: la herencia cultural de que el área de TI es la propietaria de los datos (y no sólo la que los custodia) y el desconocimiento por parte de los propietarios reales de dónde se encuentra toda su información (servidores, PCs, bases de datos, cintas de backup, papel...). Dónde están los datos y quién es su propietario es la base organizativa para pasar a la parte técnica de implementación de accesos.
La serie de podcasts tendrá su continuación en próximas semanas.
En el primer podcast (Compliance Briefing 1), David Smith, consultor de seguridad de Symantec, explica cómo el tratamiento de seguridad de la información en las organizaciones ha evolucionado de la conformidad con políticas internas a la conformidad con regulaciones externas y cómo esto ha llevado de un enfoque más técnico y preocupado de la seguridad día a día a un enfoque más orientado al negocio y sus riesgos. Ha pasado de ser una tarea táctica a ser estratégica, con lo que la seguridad de la información ha subido en la jerarquía de las organizaciones para intervenir en todas sus actividades, dejando de centrarse sólo en sistemas TI y abarcando los sistemas de negocio, formados por procesos, personas y herramientas.
En el segundo podcast de la serie (Compliance Briefing 2), David Smith y Jim Robinson, consultores de seguridad de Symantec, analizan uno de los pilares básicos de la seguridad de la información, y a veces no suficientemente estudiado en las organizaciones, como es el control de acceso a la información. En el curso de la conversación aparecen dos conceptos del control de acceso que las organizaciones suelen enfocar mal: la herencia cultural de que el área de TI es la propietaria de los datos (y no sólo la que los custodia) y el desconocimiento por parte de los propietarios reales de dónde se encuentra toda su información (servidores, PCs, bases de datos, cintas de backup, papel...). Dónde están los datos y quién es su propietario es la base organizativa para pasar a la parte técnica de implementación de accesos.
La serie de podcasts tendrá su continuación en próximas semanas.
El 24 y 25 de Octubre próximos, el Institute for International Research imparte en Madrid un seminario titulado "Cómo diseñar e implantar el Plan de Seguridad de Sistemas de Información".
Tendrá lugar en el Hotel NH Príncipe de Vergara y tiene un coste de 1.399 € + IVA.
Para más información e inscripciones: IIR.
Tendrá lugar en el Hotel NH Príncipe de Vergara y tiene un coste de 1.399 € + IVA.
Para más información e inscripciones: IIR.
Curso en Seguridad Informática en Bogotá (Colombia)
26/July/2006
26/July/2006
La Universidad La Salle de Colombia ofrece un diplomado de seguridad informática de 84 horas que comienza el próximo 15 de Septiembre y tiene lugar los viernes y sábados.
Para más información e inscripciones: La Salle.
Para más información e inscripciones: La Salle.
La semana pasada hacíamos referencia a nuevos enlaces en nuestra sección de Herramientas.
Varios de esos enlaces llevan a documentos editados por la Dirección Central de la Seguridad de los Sistemas de Información de Francia. Su página web está disponible también en español y eso, unido a la calidad de la información ofrecida, hace especialmente interesante este sitio para normas, esquemas, metodologías, políticas, etc., relacionadas con la gestión de la seguridad de la información.
Visite www.ssi.gouv.fr/es y nuestra sección de Herramientas.
Varios de esos enlaces llevan a documentos editados por la Dirección Central de la Seguridad de los Sistemas de Información de Francia. Su página web está disponible también en español y eso, unido a la calidad de la información ofrecida, hace especialmente interesante este sitio para normas, esquemas, metodologías, políticas, etc., relacionadas con la gestión de la seguridad de la información.
Visite www.ssi.gouv.fr/es y nuestra sección de Herramientas.
BSI Americas ofrece en México varios cursos de dos días de duración sobre interpretación de SGSI e ISO 17799:2005:
7-8 de Agosto, en México D.F.
21-22 de Agosto, en Juárez
21-22 de Agosto, en Monterrey
11-12 de Septiembre, en Aguascalientes
11-12 de Septiembre, en Jalisco
26-27 de Octubre, en México D.F.
26-27 de Octubre, en Monterrey
Para más información e inscripciones: BSI Americas.
7-8 de Agosto, en México D.F.
21-22 de Agosto, en Juárez
21-22 de Agosto, en Monterrey
11-12 de Septiembre, en Aguascalientes
11-12 de Septiembre, en Jalisco
26-27 de Octubre, en México D.F.
26-27 de Octubre, en Monterrey
Para más información e inscripciones: BSI Americas.
BSI Americas ofrece en México varios cursos de tres días de duración sobre implementación de SGSI e ISO 17799:2005:
16-18 de Agosto, en Jalisco
16-18 de Agosto, en México D.F.
20-22 de Septiembre, en Juárez
20-22 de Septiembre, en Monterrey
11-13 de Octubre, en Aguascalientes
15-17 de Noviembre, en México D.F.
Para más información e inscripciones: BSI Americas.
16-18 de Agosto, en Jalisco
16-18 de Agosto, en México D.F.
20-22 de Septiembre, en Juárez
20-22 de Septiembre, en Monterrey
11-13 de Octubre, en Aguascalientes
15-17 de Noviembre, en México D.F.
Para más información e inscripciones: BSI Americas.
Cursos de auditor líder ISO 27001 en México
26/July/2006
26/July/2006
BSI Americas ofrece varios cursos de 40 horas de auditor líder en ISO 27001 en México:
18-22 de Septiembre, en Tijuana
18-22 de Septiembre, en México D.F.
23-27 de Octubre, en México D.F.
23-27 de Octubre, en Aguascalientes
Para más información e inscripciones: BSI Americas.
18-22 de Septiembre, en Tijuana
18-22 de Septiembre, en México D.F.
23-27 de Octubre, en México D.F.
23-27 de Octubre, en Aguascalientes
Para más información e inscripciones: BSI Americas.
Desde www.iso27000.es, hemos realizado un documento .pps (presentación PowerPoint), acompañado de voz, sobre la evolución de ISO 27001 e ISO 17799.
Visite nuestra sección de Artículos y podcasts.
Visite nuestra sección de Artículos y podcasts.
Contenidos: Nueva edición "Business Standards"
18/July/2006
18/July/2006
Revista trimestral en inglés publicada por BSI (British Standards Institution) con novedades sobre los estándares.
Visite nuestra sección de Boletines.
Centrado en el comercio ilegal de datos personales, el informe refleja la preocupación de que la información confidencial acerca de las personas puede obtenerse con demasiada facilidad de numerosas fuentes tanto públicas como privadas.
El Comisionado (Information Commissioner), máxima autoridad del Reino Unido sobre protección de datos personales y libertad de acceso a la información pública, viene expresando desde hace tiempo la necesidad de implantar en ese país penas de cárcel de hasta dos años para quienes compren o vendan información personal ilegalmente.
Este informe obedece a dicha preocupación, y se emite a partir de los poderes especiales que le otorga la Ley de Protección de Datos del Reino Unido.
Noticia publicada por datospersonales.org. El informe (en inglés) puede descargarse: ico.gov.uk.
El Comisionado (Information Commissioner), máxima autoridad del Reino Unido sobre protección de datos personales y libertad de acceso a la información pública, viene expresando desde hace tiempo la necesidad de implantar en ese país penas de cárcel de hasta dos años para quienes compren o vendan información personal ilegalmente.
Este informe obedece a dicha preocupación, y se emite a partir de los poderes especiales que le otorga la Ley de Protección de Datos del Reino Unido.
Noticia publicada por datospersonales.org. El informe (en inglés) puede descargarse: ico.gov.uk.
¿Debe sacrificarse necesariamente la privacidad en aras de una mayor seguridad y eficiencia? Ann Cavoukian argumenta que la mejor forma de combatir las amenazas a la privacidad en la actualidad es mediante medidas prácticas y comunes que ofrecen beneficios demostrables, como: adoptar normas de privacidad globales, desarrollar la privacidad en sistemas y tecnologías de la información y permitir a los interesados tomar decisiones mejor informadas mediante el uso de notificaciones cortas coherentes. Para ello, ilustra su argumento con ejemplos de trabajos recientes de su organismo.
Información completa disponible en: datospersonales.org.
Visite nuestra sección de Boletines.
La Universidad Pontificia Bolivariana de Colombia imparte en Quito, mediante un acuerdo con Clapam (Comisión Latinoamericana de Productividad y Medio Ambiente), un curso de 120 horas presenciales sobre seguridad informática.
Tendrá lugar entre el 4 de Agosto y el 11 de Noviembre, los viernes y sábados.
El temario versará sobre: Redes y Conectividad, Principios de Seguridad Informática, Criptografía, Seguridad en Redes y Sistemas Operativos, Sistemas de Detección de Intrusos, Gestión de la Continuidad del Negocio y Computación Forense.
Información completa disponible en: CLAPAM.
Tendrá lugar entre el 4 de Agosto y el 11 de Noviembre, los viernes y sábados.
El temario versará sobre: Redes y Conectividad, Principios de Seguridad Informática, Criptografía, Seguridad en Redes y Sistemas Operativos, Sistemas de Detección de Intrusos, Gestión de la Continuidad del Negocio y Computación Forense.
Información completa disponible en: CLAPAM.
La sección de Herramientas de www.iso27000.es ha sido renovada con nuevos enlaces, clasificados en diversas secciones: Normas, guías y buenas prácticas; Herramientas para análisis de riesgos; Herramientas para directivos y gerentes; Herramientas de auto-evaluación; Herramientas de implantación de SGSI; Herramientas de implantación de políticas; Herramientas de concienciación y sensibilización.
Nuestro agradecimiento a todos aquellos que nos hacen llegar recomendaciones y enlaces a contenidos relacionados con la seguridad de la información y las normas de la serie ISO/IEC 27000.
Visite nuestra sección de Herramientas.
Nuestro agradecimiento a todos aquellos que nos hacen llegar recomendaciones y enlaces a contenidos relacionados con la seguridad de la información y las normas de la serie ISO/IEC 27000.
Visite nuestra sección de Herramientas.
Como ya anunciamos el pasado mes de Mayo, Telefónica Empresas Perú, responsable de proveer soluciones integrales de comunicación y tecnologías de la información a las principales empresas del país, obtuvo la certificación ISO27001:2005 para su proceso de Gestión de Redes y Servicios, convirtiéndose en la primera empresa peruana en lograr esta certificación y la primera de telecomunicaciones en Latinoamérica.
De esta empresa está disponible una presentación sobre cómo abordar la implantación de ISO 17799 en el siguiente enlace: ISO17799 en Telefónica Perú.
De esta empresa está disponible una presentación sobre cómo abordar la implantación de ISO 17799 en el siguiente enlace: ISO17799 en Telefónica Perú.
Auditoría de protección de datos
18/July/2006
18/July/2006
¿Qué pasa después de la implantación en la entidad de las medidas para adecuarse a la ley orgánica de protección de datos de carácter personal? ¿Cómo sabemos si es correcta?
Artículo completo disponible en: Auditoría y seguridad.
Enlace al nuevo número 4 en: revista ays.
Visite nuestra sección de Boletines.
Artículo completo disponible en: Auditoría y seguridad.
Enlace al nuevo número 4 en: revista ays.
Visite nuestra sección de Boletines.
"Miembro de la Unión Europea, España tiene una población de 41.1 millones de habitantes, un ingreso bruto de 21.210 dólares por persona. Clasificada como un país de altos ingresos, España ha disfrutado de un crecimiento económico explosivo desde la recesión de 1992, lo que aumentó la inversión en sus industrias más importantes. Aunque los niveles de desempleo se mantienen en niveles preocupantes (8,42% en 2005), este valor representa una disminución considerable respecto a los últimos años. En 1998, España participó al frente en el proceso de la nueva moneda, logró un buen nivel de disciplina fiscal y ha privatizado rápidamente la industria estatal desarrollada por Franco."
Artículo completo disponible en: INform.
Enlace al nuevo número 11 en: INform.
Visite nuestra sección de Boletines.
El número actual del Boletín de Eficiencia Gerencial y Productividad contiene información sobre:
- ISO 27001:2005 y las Transiciones en la Certificación
- ¿Qué es Seguridad de Información?
- ISO/IEC 27001:2005 y la Gestión de la Continuidad del Negocio
- ISO/IEC 27001:2005 y Sarbanes-Oxley Act
Disponible en: Eficiencia Gerencial.com
- ISO 27001:2005 y las Transiciones en la Certificación
- ¿Qué es Seguridad de Información?
- ISO/IEC 27001:2005 y la Gestión de la Continuidad del Negocio
- ISO/IEC 27001:2005 y Sarbanes-Oxley Act
Disponible en: Eficiencia Gerencial.com
"Se aproximan las vacaciones más esperadas. Ahora que los días son más largos y la temperatura permite mayores alegrías, generalmente los empleados y los empleadores aprovechan para no ir a la oficina por unos días. Sin embargo, alejarse de la computadora puede suponer un problema si no se toman las medidas adecuadas."
Artículo completo disponible en: B:Secure.
Enlace al número de Julio en: B:Secure.
Visite nuestra sección de Boletines.
Contenidos: Boletín BSITIC
18/July/2006
18/July/2006
Los objetivos del boletín de comunicación BSITic son:
>> Ser un punto de encuentro de profesionales en gestión de la seguridad de la información, y entre profesionales interesados en gestionar su propia seguridad de la información.
>> Ser un canal de difusión de proyectos innovadores desarrollados en el seno de nuestras empresas.
>> Difundir el conocimiento en gestión de seguridad de la información de nuestros especialistas.
>> Sensibilizar al tejido empresarial de la importancia de gestionar la seguridad de la información que diariamente manejan.
Enlace al número 2 del Boletín: BSITIC.
Visite nuestra sección de Boletines.
"Las compañías que desean proteger el flujo de la información interna y conseguir mayor confianza de sus socios comerciales no deberían apresurarse".
"Necesitarán un sistema de gestión de la seguridad de la información (ISMS) y una estrategia a largo plazo para hacer uso del mismo".
You Cheng Hwee, consultor en seguridad de la información, declaró en la conferencia de dos dias celebrada en HCMC que "el 80% de las compañías que intentan aplicar ISO 27001 han fallado en la implantación de la norma ISO en seguridad."
"Un ISMS significa un acercamiento sistemático para reducir riesgos tales como la fuga de información y para asegurar las prácticas de gestión segura de la información en toda la compañía. De esta manera, una compañía ganará más confianza y obtendrá más ventajas en los procesos de outsourcing con sus socios."
"La razón es que mucha gente todavía considera que la aplicación de estándares para la seguridad internacional es una inversión puntual y no considera el proceso posterior de mejora continua."
"Además de un compromiso a largo plazo, para proteger con éxito su información, el negocio tiene que tener un fuerte respaldo de la gerencia, procesos de operación adaptados a las necesidades y auditores de seguridad de la información."
Artículo original: Saigon Times.
"Necesitarán un sistema de gestión de la seguridad de la información (ISMS) y una estrategia a largo plazo para hacer uso del mismo".
You Cheng Hwee, consultor en seguridad de la información, declaró en la conferencia de dos dias celebrada en HCMC que "el 80% de las compañías que intentan aplicar ISO 27001 han fallado en la implantación de la norma ISO en seguridad."
"Un ISMS significa un acercamiento sistemático para reducir riesgos tales como la fuga de información y para asegurar las prácticas de gestión segura de la información en toda la compañía. De esta manera, una compañía ganará más confianza y obtendrá más ventajas en los procesos de outsourcing con sus socios."
"La razón es que mucha gente todavía considera que la aplicación de estándares para la seguridad internacional es una inversión puntual y no considera el proceso posterior de mejora continua."
"Además de un compromiso a largo plazo, para proteger con éxito su información, el negocio tiene que tener un fuerte respaldo de la gerencia, procesos de operación adaptados a las necesidades y auditores de seguridad de la información."
Artículo original: Saigon Times.
Hubo un tiempo en que España se situaba en una posición avanzada en cuanto a la llamada 'eAdministración', pero la realidad actual es distinta. El informe eEspaña 2006 de la Fundación France Telecom constata el retraso de nuestro país en cuanto a la relación de los poderes públicos y los ciudadanos a través de las nuevas tecnologías.
Según el informe, España se encuentra en la cola de los países europeos en este indicativo, tan sólo por delante de Alemania, Grecia y Luxemburgo. Austria, Suecia y Reino Unido son líderes. El estudio recuerda la cadena de planes de sucesivos Gobiernos para impulsar este ámbito, el último de los cuales es el Plan Avanza.
El informe identifica como razones para el retraso la "ausencia de visión estratégica para aplicar las tecnologías en las organizaciones públicas", la "descoordinación entre administraciones" y el diferente desarrollo entre los niveles del sector público (Estado, comunidades y municipios). Destaca como excepciones la entrada del DNI digital o la presentación telemática de algunos impuestos.
Artículo e información completa:El Mundo.
Kaspersky Lab, empresa de desarrollo de sistemas de defensa contra virus, hackers y correo no solicitado (spam), acaba de anunciar la publicación en castellano de su enciclopedia de virus Viruslist.com (www.viruslist.com/sp/).
El conocido portal dedicado a la lucha contra las amenazas informáticas modernas, está a disposición de los usuarios de los productos de "Kaspersky Lab" y de todos los hispanohablantes de Internet.
En la versión en castellano de la web se pueden encontrar todas las secciones tradicionales de Viruslist.com: La Enciclopedia de virus, que contiene información general sobre los programas maliciosos y las descripciones individuales de gusanos, virus y troyanos.
En la sección de artículos de análisis, los usuarios pueden familiarizarse con los informes, estadísticas y otras publicaciones periódicas sobre temas de actualidad en el mundo de la seguridad informática.
Artículo e información completa:Cibersur.
En el recurso contra la resolución sancionadora de la Agencia de Protección de Datos sobre Osabide
N. L., Vitoria.- La Sala de lo Contencioso-Administrativo de la Audiencia Nacional ha anulado la resolución de 20 de octubre de 2003 de la Agencia Española de Protección de Datos contra Osakidetza, al considerar probado que el Programa Osabide (historia clínica digital) cumple los requerimientos de seguridad y confidencialidad legalmente establecidos.
Dicha resolución de la Agencia Española de Protección de Datos, reconociendo que “el sistema de información Osabide cumple con rigor la mayor parte de las medidas exigibles por el Reglamento de medidas de seguridad para los ficheros que contengan datos de salud”, sancionaba sin embargo como infracción grave el control de accesos, al considerar que en la documentación aportada no quedó probada la existencia de la identificación del registro accedido.
Con todo ello, tanto del procedimiento instruido por la Agencia como del contenido de esta sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional se concluye que Osabide cumple con rigor todas las medidas exigibles por el Reglamento de Medidas de Seguridad para los ficheros que contengan datos de salud.
Noticia e Información completa en:azprensa.
Resoluciones de Procedimientos sancionadores en 2006:Agencia de Protección de Datos.
Evento Congreso Seguridad en Cómputo
18/July/2006
18/July/2006
La seguridad informática en cualquiera de sus formas será la protagonista del Congreso Seguridad en Cómputo 2006, que se celebrará entre el 1 y el 8 de septiembre en Ciudad de México.
El Departamento de Seguridad en Cómputo/UNAM-CERT, que pertenece a la Universidad Nacional Autónoma de México, organiza este encuentro, considerado como uno de los más importantes para el sector en Latinoamérica. Acudirán universidades e instituciones de educación superior, organizaciones comerciales del sector público y privado e investigadores reconocidos mundialmente.
Entre los temas a tratar están:
- Administración y Seguridad en Windows
- Administración y Seguridad en Unix
- Análisis Forense e Implicaciones Legales
- Auditoría de Redes y Sistemas
- Ethical hacking
- Detección de Intrusos y Tecnologías Honeypots
- Seguridad en Servicios Microsoft
- Estándares, Planeación y Administración de la Seguridad Informática Basados en ISO 17799 El congreso se dividirá en dos grandes bloques. En lo que se ha denominado Líneas de Especialización se estudiarán las principales áreas de seguridad en cómputo (entre el 1 y el 6 de septiembre). Las conferencias propiamente dichas, en las que participarán expertos en seguridad informática, tendrán lugar los días 7 y 8 del mismo mes.
Información del evento:Congreso seguridad.
Evento "World Computer Congress" en Chile
18/July/2006
18/July/2006
Entre el 20 y el 26 de agosto, Chile se convertirá por primera vez en la sede del World Computer Congress, un evento bianual que analiza y debate los últimos avances en las ciencias y tecnologías de la información y la comunicación. El congreso, que tiene carácter itinerante y que se celebra por primera vez en Latinoamérica, contará con la presencia de más de 2.000 delegados de más de 70 países.
El World Computer Congress, organizado por la IFIP (International Federation of Informatic Processing), dedicará varias ponencias a cuestiones de seguridad. Por ejemplo, estudiará el estado y el futuro de los estándares en la gestión de la seguridad de la información o la protección del contenido digital. También se abordará un amplio abanico de temas que van desde la computación a nivel teórico a la relación entre las TIC y la sociedad, la intelencia artificial, la educación en las TIC, las infocomunicaciones o la dependencia de los ordenadores y de los sistemas de comunicación y los riesgos que conlleva.
Información del evento:wcc-2006.org.
En Asturias se está desarrollando una iniciativa pionera en España con la creación de la Red de Consultores Implantadores y Auditores en SGSI, homologada por AENOR y enmarcada dentro de ClusterTIC, asociación sectorial de empresas TIC de Asturias.
Forman esta red 8 empresas (Alamo Systems, Conectia, Contein XXI, Futuver, Legal Protect, Neosystems, Privacy Data y Start Up), que disponen de un total conjunto de 19 especialistas titulados por AENOR. Actualmente, estas empresas se encuentran finalizando la implantación de sus propios SGSIs según UNE 71502:2004.
En la web de "ClusterTIC" pueden consultarse noticias relacionadas con la iniciativa, además de acceder a su boletín de seguridad de la información BSITIC.
Forman esta red 8 empresas (Alamo Systems, Conectia, Contein XXI, Futuver, Legal Protect, Neosystems, Privacy Data y Start Up), que disponen de un total conjunto de 19 especialistas titulados por AENOR. Actualmente, estas empresas se encuentran finalizando la implantación de sus propios SGSIs según UNE 71502:2004.
En la web de "ClusterTIC" pueden consultarse noticias relacionadas con la iniciativa, además de acceder a su boletín de seguridad de la información BSITIC.
Los próximos 5 y 6 de Diciembre tendrá lugar en Londres el evento anual "27000 Business Goes Global" (hasta ahora se llamaba "7799 Goes Global"), organizado por el ISMS International User Group.
En este evento se reúnen profesionales de la seguridad de la información de todo el mundo para debatir, entre otros temas, sobre: seguridad empresarial, gestión de riesgos de negocio, gestión de identidades, desarrollos en el mundo de la estandarización de SGSI, experiencias en certificación e implementación de SGSIs, implementación de los controles de seguridad correctos, concienciación y formación, legislación y conformidad.
Más información en "27000 Business Goes Global"
En este evento se reúnen profesionales de la seguridad de la información de todo el mundo para debatir, entre otros temas, sobre: seguridad empresarial, gestión de riesgos de negocio, gestión de identidades, desarrollos en el mundo de la estandarización de SGSI, experiencias en certificación e implementación de SGSIs, implementación de los controles de seguridad correctos, concienciación y formación, legislación y conformidad.
Más información en "27000 Business Goes Global"
IsecT Ltd., empresa neozelandesa especializada en seguridad de la información, ha publicado un manual en inglés de políticas de seguridad de la información basadas en los controles de la ISO 17799:2005 (futura ISO 27002:2007).
El manual, de 115 páginas y disponible en formato Word, es un conjunto de políticas generales pensado para ser modificado y adaptado a cada organización en concreto.
Tiene un precio de 480 € y es posible descargar una muestra previamente.
Más información en IsecT Ltd.
El manual, de 115 páginas y disponible en formato Word, es un conjunto de políticas generales pensado para ser modificado y adaptado a cada organización en concreto.
Tiene un precio de 480 € y es posible descargar una muestra previamente.
Más información en IsecT Ltd.
José M. Fernández hace referencia al borrador de BS 25999-1 que BSI (British Standards Institution) ha puesto en su web a disposición del público para recibir comentarios.
BS25999-1 es un código de buenas prácticas de gestión de continuidad de negocio. Establece el proceso, principios y terminología de la gestión de continuidad de negocio, proporcionando una base para comprender, desarrollar e implementar la continuidad de negocio en una organización. Proporciona, además, un conjunto exhaustivo de controles basados en las mejores prácticas de gestión de continuidad de negocio y cubre el ciclo de vida completo de la misma.
El documento puede descargarse en BSI
BS25999-1 es un código de buenas prácticas de gestión de continuidad de negocio. Establece el proceso, principios y terminología de la gestión de continuidad de negocio, proporcionando una base para comprender, desarrollar e implementar la continuidad de negocio en una organización. Proporciona, además, un conjunto exhaustivo de controles basados en las mejores prácticas de gestión de continuidad de negocio y cubre el ciclo de vida completo de la misma.
El documento puede descargarse en BSI
Artículos sobre Phishing y Técnicas Anti-Spamming
11/July/2006
11/July/2006
En Infosecwriters.com se publican dos artículos en inglés referentes uno a Phishing y el otro a Técnicas Anti-Spamming.
Un estudio de Computer Associates sobre 642 grandes empresas de EEUU muestra que más del 84% de las mismas sufrieron un incidente de seguridad en los 12 últimos meses y que el número de incidentes continúa ascendiendo. De hecho, desde 2003, los incidentes de seguridad han aumentado un 17%.
El 54% de las organizaciones afectadas sufrieron pérdidas de productividad, el 25% pérdidas de confianza y reputación y el 20% pérdida de ingresos, clientes u otros activos tangibles. El 38% de las empresas afectadas lo fueron por incidentes de origen interno.
Más detalles del estudio en CA.
El 54% de las organizaciones afectadas sufrieron pérdidas de productividad, el 25% pérdidas de confianza y reputación y el 20% pérdida de ingresos, clientes u otros activos tangibles. El 38% de las empresas afectadas lo fueron por incidentes de origen interno.
Más detalles del estudio en CA.
Hasta Junio de 2006 están certificadas en el mundo 2.645 empresas en BS 7799-2 ó ISO 27001.
En ISO 27001 son concretamente 134, cifra que incluye 52 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 82 nuevas certificaciones.
Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.
En ISO 27001 son concretamente 134, cifra que incluye 52 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 82 nuevas certificaciones.
Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.
Artículo sobre ingeniería social
11/July/2006
11/July/2006
ORION 2000, empresa chilena especializada en seguridad de la información publica en su web un breve artículo con una serie de preguntas directas sobre ingeniería social: qué es, cuál es su objetivo, cómo se desarrolla, recomendaciones, etc.
Está disponible en ORION 2000.
Está disponible en ORION 2000.
Del 18 al 21 de Septiembre, la empresa S21sec impartirá en Barcelona un curso oficial BSI, con profesores certificados, sobre implementación de ISO 27001.
El curso dura 40 horas y tiene un coste de 2.380 € + IVA.
Información e inscripciones en S21sec.
El curso dura 40 horas y tiene un coste de 2.380 € + IVA.
Información e inscripciones en S21sec.
Hasta el 20 de Julio se mantienen las condiciones especiales de preinscripción (10% de descuento) para la VI Edición de los Másters en Auditoría Informática y en Seguridad Informática que organiza ALI (Asociación de Doctores, Licenciados e Ingenieros en Informática) durante 2007 en Madrid.
Información e inscripciones en ALI.
Información e inscripciones en ALI.
El Gobernador del Banco de España, Jaime Caruana, aseguró hoy que el proceso de implantación en el país del conjunto de normas sobre solvencia bancaria, recogido en Basilea II, va a ser "muy exigente" y se va a pedir el compromiso por parte de los supervisores y las entidades bancarias.
Caruana hizo estas declaraciones durante la presentación del libro Basilea II, cuyo autor es Raimundo Poveda y ha sido editado por la Fundación de las Cajas de Ahorro (Funcas).
El Gobernador del Banco de España destacó la gran cantidad de información aportada sobre todo el proceso de este conjunto de normas y confió en que de esta manera se ayude a que las entidades mejoren su gestión de riesgo.
Asimismo, Caruana indicó que el sistema bancario ha mejorado mucho en los últimos años, dado que se ha registrado una mejora del riesgo financiero de las entidades.
Artículo e Información completa: Europa Press
Caruana hizo estas declaraciones durante la presentación del libro Basilea II, cuyo autor es Raimundo Poveda y ha sido editado por la Fundación de las Cajas de Ahorro (Funcas).
El Gobernador del Banco de España destacó la gran cantidad de información aportada sobre todo el proceso de este conjunto de normas y confió en que de esta manera se ayude a que las entidades mejoren su gestión de riesgo.
Asimismo, Caruana indicó que el sistema bancario ha mejorado mucho en los últimos años, dado que se ha registrado una mejora del riesgo financiero de las entidades.
Artículo e Información completa: Europa Press
Especial seguridad en las pymes: Mesa Redonda
04/July/2006
04/July/2006
La gestión de la seguridad, clave en la mejora continua del negocio.
El número de amenazas a las redes empresariales está creciendo de manera estrepitosa. De hecho, los hackers diseñan sus programas hacia delitos como robos a gran escala, sabotajes o espionaje industrial. Pero para salvaguardar los activos de las compañías, no sólo hace falta aplicar las últimas innovaciones tecnológicas. Es imprescindible acompañarlas de una correcta gestión de la seguridad, aplicada desde la dirección del negocio y entendida y asumida por todos los miembros de la organización.
Como en cualquier organización, formada por personas, existen actitudes y aptitudes frente a la seguridad, pero los tiempos que corren no son precisamente buenos para quedarse atrás. En la actualidad, las empresas son objetivo de los ataques informáticos más sofisticados, que, en muchas ocasiones, tienen éxito por la suma de dos condicionantes: la falta de tecnología y la carencia total de gestión de la seguridad.
Cinco expertos en seguridad TIC se sentaron a analizar este problema en el Desayuno Red Seguridad. El debate, en el que respresentantes de Indra, Telefónica Ingeniería deSeguridad, Applus+, Panda Software y KPMG aportaron momentos intensos, fue llevado diligentemente por el director de Red Seguridad, Manuel Ballester.
Desayunos de trabajo de: RedSeguridad
Visite nuestra sección de Publicaciones.
El número de amenazas a las redes empresariales está creciendo de manera estrepitosa. De hecho, los hackers diseñan sus programas hacia delitos como robos a gran escala, sabotajes o espionaje industrial. Pero para salvaguardar los activos de las compañías, no sólo hace falta aplicar las últimas innovaciones tecnológicas. Es imprescindible acompañarlas de una correcta gestión de la seguridad, aplicada desde la dirección del negocio y entendida y asumida por todos los miembros de la organización.
Como en cualquier organización, formada por personas, existen actitudes y aptitudes frente a la seguridad, pero los tiempos que corren no son precisamente buenos para quedarse atrás. En la actualidad, las empresas son objetivo de los ataques informáticos más sofisticados, que, en muchas ocasiones, tienen éxito por la suma de dos condicionantes: la falta de tecnología y la carencia total de gestión de la seguridad.
Cinco expertos en seguridad TIC se sentaron a analizar este problema en el Desayuno Red Seguridad. El debate, en el que respresentantes de Indra, Telefónica Ingeniería deSeguridad, Applus+, Panda Software y KPMG aportaron momentos intensos, fue llevado diligentemente por el director de Red Seguridad, Manuel Ballester.
Desayunos de trabajo de: RedSeguridad
Visite nuestra sección de Publicaciones.
Interesante artículo de Canaudit donde se analizan las preguntas:
1. ¿Son seguras las bases de datos de la organización?
2. ¿Cómo de buena es mi seguridad física?
3. ¿Puede utilizarse software de control remoto para eludir al cortafuegos?
4. ¿Realmente podemos confiar en nuestros empleados y contratas?
5. ¿Están nuestros auditores internos autorizados a realizar tests de seguridad auténticos?
6. ¿Están los datos de nuestros ordenadores protegidos contra el robo?
7. ¿Están protegidos nuestros dispositivos portátiles?
8. ¿Pueden robarse nuestros datos y ser transportados fuera de las instalaciones?
9. ¿Está nuestra información a salvo cuando es transportada a otras localidades?
10.¿Se utiliza la autenticación de dos factores para los accesos comprometidos?
Artículo de Gordon Smith, Presidente de Canaudit: Canaudit
1. ¿Son seguras las bases de datos de la organización?
2. ¿Cómo de buena es mi seguridad física?
3. ¿Puede utilizarse software de control remoto para eludir al cortafuegos?
4. ¿Realmente podemos confiar en nuestros empleados y contratas?
5. ¿Están nuestros auditores internos autorizados a realizar tests de seguridad auténticos?
6. ¿Están los datos de nuestros ordenadores protegidos contra el robo?
7. ¿Están protegidos nuestros dispositivos portátiles?
8. ¿Pueden robarse nuestros datos y ser transportados fuera de las instalaciones?
9. ¿Está nuestra información a salvo cuando es transportada a otras localidades?
10.¿Se utiliza la autenticación de dos factores para los accesos comprometidos?
Artículo de Gordon Smith, Presidente de Canaudit: Canaudit
Este manual es un estándar profesional para el testeo de seguridad en cualquier entorno desde el exterior al interior. Como cualquier estándar profesional, incluye los lineamientos de acción, la ética del testeador profesional, la legislación sobre testeo de seguridad y un conjunto integral de tests. Debido a que los testeos de seguridad continúan evolucionando en una profesión válida y respetada, el OSSTMM intenta ser el manual de referencia del profesional.
Este es un documento de metodología de testeo de seguridad. Es un conjunto de reglas y lineamientos para CUANDO, QUE y CUALES eventos son testeados. Esta metodología cubre únicamente el testeo de seguridad externo, es decir, testear la seguridad desde un entorno no privilegiado hacia un entorno privilegiado, para evadir los componentes de seguridad, procesos y alarmas y ganar acceso privilegiado. Está también dentro del alcance de este documento proveer un método estandarizado para realizar un exhaustivo test de seguridad de cada sección con presencia de seguridad (por ejemplo, seguridad física, seguridad inalámbrica, seguridad de comunicaciones, seguridad de la información, seguridad de las tecnologías de Internet, y seguridad de procesos) de una organización.
Este manual está en plena concordancia con todos los requisitos de auditoría y testeo de seguridad remotos del BS7799 (y su equivalente internacional ISO 17799) para testeos informáticos de seguridad.
Descarga en español disponible en formato PDF: isecom.securenetltd.com
Visite nuestra sección de Publicaciones.
Contenidos: Nueva edición de Enisa
04/July/2006
04/July/2006
"En el entorno empresarial actual, los sistemas de información son cada vez más críticos, lo que convierte en imprescindible que exista una continuidad en la operación de estos sistemas para el mantenimiento de sus tareas y negocios.
Los sistemas de información son los que sustentan los procesos de negocio de las organizaciones. Por este motivo es necesario que cuenten con un nivel de continuidad que permita a la organización ejecutar sus procesos de negocio sin ningún tipo de pérdida.
Dentro las normas que rigen estos sistemas, como la UNE 71502, BS7799-2 y la ISO 27001, se hace especial mención a los planes de continuidad de negocio. Prueba de su importancia es que las entidades certificadoras consideran como no conformidad, de cara a la adjudicación de un sello de garantía, la ausencia de un plan de continuidad de negocio."
Artículo de Alejandro García Nieto, CISA, Gerente Risk Governance de IT Deusto y Juan Antonio Navarro, Disaster Recovery Services de IT Deusto en: RedSeguridad
Visite nuestra sección de Publicaciones.
Los sistemas de información son los que sustentan los procesos de negocio de las organizaciones. Por este motivo es necesario que cuenten con un nivel de continuidad que permita a la organización ejecutar sus procesos de negocio sin ningún tipo de pérdida.
Dentro las normas que rigen estos sistemas, como la UNE 71502, BS7799-2 y la ISO 27001, se hace especial mención a los planes de continuidad de negocio. Prueba de su importancia es que las entidades certificadoras consideran como no conformidad, de cara a la adjudicación de un sello de garantía, la ausencia de un plan de continuidad de negocio."
Artículo de Alejandro García Nieto, CISA, Gerente Risk Governance de IT Deusto y Juan Antonio Navarro, Disaster Recovery Services de IT Deusto en: RedSeguridad
Visite nuestra sección de Publicaciones.
"Cuando hablamos de Sistemas de Gestión de Seguridad de la Información (SGSI), según ISO 27001, la impresión es que la “gestión” se reduce a la definición, implantación y puesta en marcha del sistema y, llegados al caso, a la auditoría y posible certificación del SGSI por parte de una entidad de certificación (acreditada por una entidad nacional de acreditación del estándar en cuestión, ISO 27001).
Lo cierto es que, aunque hoy en día el asunto de la certificación en seguridad no ha alcanzado la relevancia necesaria en el ámbito empresarial, no tenemos ninguna duda de que se convertirá en algo de gran importancia en un corto periodo de tiempo. De hecho, la creación de esta norma ha tenido como objetivo fundamental su implantación en el entorno empresarial; lo cual nos viene a decir, que pasará a ser un imperativo en cualquier organización que aspire a mantener la seguridad de sus operaciones. Y es que si una empresa tiene relación con sus clientes, quiere controlar las comunicaciones internas y gestionar de forma segura sus pedidos, es vital mantener un nivel adecuado de seguridad con el fin de evitar amenazas en el sistema."
Artículo de Agustín Lerma, Security Manager Nextel S.A en: RedSeguridad
Visite nuestra sección de Publicaciones.
Lo cierto es que, aunque hoy en día el asunto de la certificación en seguridad no ha alcanzado la relevancia necesaria en el ámbito empresarial, no tenemos ninguna duda de que se convertirá en algo de gran importancia en un corto periodo de tiempo. De hecho, la creación de esta norma ha tenido como objetivo fundamental su implantación en el entorno empresarial; lo cual nos viene a decir, que pasará a ser un imperativo en cualquier organización que aspire a mantener la seguridad de sus operaciones. Y es que si una empresa tiene relación con sus clientes, quiere controlar las comunicaciones internas y gestionar de forma segura sus pedidos, es vital mantener un nivel adecuado de seguridad con el fin de evitar amenazas en el sistema."
Artículo de Agustín Lerma, Security Manager Nextel S.A en: RedSeguridad
Visite nuestra sección de Publicaciones.
"Que la seguridad de la información es un problema organizativo y de gestión, y no sólo tecnológico, parece que no se pone en cuestión. En los últimos años, todos los expertos, foros de seguridad, conferencias, etc. vienen recomendando incorporar la seguridad dentro de los objetivos del negocio.
Prueba de la creciente aceptación de la gestión de la seguridad es el auge de normas como ISO 27001:2005 e ISO 17799:2005 como referencias internacionales en este campo. Si aceptamos el hecho de que tenemos que gestionar la seguridad, debemos también analizar las consecuencias de esta decisión y desarrollar las actividades que ello implica."
Artículo de Laura Prats Abadía en: RedSeguridad
Visite nuestra sección de Publicaciones.
Prueba de la creciente aceptación de la gestión de la seguridad es el auge de normas como ISO 27001:2005 e ISO 17799:2005 como referencias internacionales en este campo. Si aceptamos el hecho de que tenemos que gestionar la seguridad, debemos también analizar las consecuencias de esta decisión y desarrollar las actividades que ello implica."
Artículo de Laura Prats Abadía en: RedSeguridad
Visite nuestra sección de Publicaciones.
"Si digo que el análisis de riesgos es una de las herramientas claves para implantar un modelo de gestión del riesgo de Seguridad de la Información, no descubro nada nuevo a los lectores. Sin embargo, sí me gustaría profundizar en el porqué de la necesidad de realizar dicho análisis de riesgos y de los beneficios a corto, medio y largo plazo que se obtienen por abordar un proceso de tales características.
Las organizaciones dependen cada día más de la información y ésta a su vez, se encuentra en mayor medida, ubicada, tratada y gestionada en los sistemas de información, pero no de forma exclusiva. Por ello, muchas veces, en la identificación de problemas asociados a la seguridad de la información, se dejan de lado aspectos fundamentales como la protección física de activos de información, que son, en ciertos casos, tratados de forma manual fuera de esos sistemas “custodios” de dicha información."
Artículo de Manuel Cortés Márquez, CISA, Manager Security Consulting del Grupo SIA en: RedSeguridad
Visite nuestra sección de Publicaciones.
Las organizaciones dependen cada día más de la información y ésta a su vez, se encuentra en mayor medida, ubicada, tratada y gestionada en los sistemas de información, pero no de forma exclusiva. Por ello, muchas veces, en la identificación de problemas asociados a la seguridad de la información, se dejan de lado aspectos fundamentales como la protección física de activos de información, que son, en ciertos casos, tratados de forma manual fuera de esos sistemas “custodios” de dicha información."
Artículo de Manuel Cortés Márquez, CISA, Manager Security Consulting del Grupo SIA en: RedSeguridad
Visite nuestra sección de Publicaciones.
"El interés creciente de las organizaciones por la seguridad de la información se ve impulsado y acelerado por un conjunto de factores, de origen diverso y variado. Uno de ellos radica en la fuerte presión que los accionistas y socios ejercen sobre sus consejos de administración, para conseguir garantías ine-quívocas sobre la veracidad de la situación patrimonial y, en el fondo, sobre la integridad de la información que proporcionan los sistemas de gestión del negocio. Por otro lado, los aspectos legales y la regulación cada vez más exigentes favorecen esta tendencia. La ley de protección de datos de carácter personal es un buen ejemplo de ello.
Pero puede que el argumento que probablemente esté cobrando más fuerza en estos momentos sea lo que realmente esté en juego. Es decir, garantizar la continuidad del negocio y, por tanto, proteger uno de los activos más importantes: la información.
Abordar un proyecto de esta envergadura implica resolver previamente cuatro cuestiones fundamentales antes de su inicio. La primera de estas consiste en obtener un fuerte compromiso por parte de la alta dirección. Para ello, será oportuno dotar a la organización de todas aquellas instancias de gobierno relevantes (por ejemplo, un Comité de Seguridad) e involucrar a la dirección general en las decisiones fundamentales."
Artículo de Mª Jesús Sánchez-Roldán, Consultora de Seguridad de Steria Ibérica y Guillaume MULLIER, Director de dataPROXIMA Ibérica en: RedSeguridad
Visite nuestra sección de Publicaciones.
Pero puede que el argumento que probablemente esté cobrando más fuerza en estos momentos sea lo que realmente esté en juego. Es decir, garantizar la continuidad del negocio y, por tanto, proteger uno de los activos más importantes: la información.
Abordar un proyecto de esta envergadura implica resolver previamente cuatro cuestiones fundamentales antes de su inicio. La primera de estas consiste en obtener un fuerte compromiso por parte de la alta dirección. Para ello, será oportuno dotar a la organización de todas aquellas instancias de gobierno relevantes (por ejemplo, un Comité de Seguridad) e involucrar a la dirección general en las decisiones fundamentales."
Artículo de Mª Jesús Sánchez-Roldán, Consultora de Seguridad de Steria Ibérica y Guillaume MULLIER, Director de dataPROXIMA Ibérica en: RedSeguridad
Visite nuestra sección de Publicaciones.
El pasado 22 de junio y organizado por Nexus Consultores y Auditores se celebró una jornada sobre Gestión de Seguridad de la Información según la norma ISO 27001 en el Palacio de Ferias y Congresos de Málaga.
Gracias a la colaboración de los ponentes y con la intención de hacer llegar los contenidos a todos los interesados en la norma, Nexus ha puesto a libre disposición las correspondientes presentaciones de las jornadas:
Oscar Lázaro, Gerente de Innovalia habló de las amenazas actuales para la seguridad de la información de las empresas.
José Manuel Fernández, Director de Consultoría de Gestión de Nexus, hizo un completo repaso a la norma, incluidos los objetivos de control del Anexo A.
Agustín Lerma, Security Manager de Nextel, se centró en la evaluación y gestión de riesgos, aportando su doble experiencia de certificación de Nextel en BS7799-2 y de consultoría en implantación de la norma para sus clientes.
Álvaro Rodríguez de Roa, Director de Certificación de Servicios de SGS ICS, describió en su ponencia el proceso de certificación propiamente dicho y otros aspectos relacionados.
Antonio Urgal, Subdirector de la Agencia IDEA, dio un completo repaso a los incentivos que da la Junta de Andalucía a las empresas para el fomento de las nuevas tecnologías, incluida la seguridad de la información.
Las ponencias y la noticia de cobertura del evento en el área de noticias de: Nexusasesores.com.
Gracias a la colaboración de los ponentes y con la intención de hacer llegar los contenidos a todos los interesados en la norma, Nexus ha puesto a libre disposición las correspondientes presentaciones de las jornadas:
Oscar Lázaro, Gerente de Innovalia habló de las amenazas actuales para la seguridad de la información de las empresas.
José Manuel Fernández, Director de Consultoría de Gestión de Nexus, hizo un completo repaso a la norma, incluidos los objetivos de control del Anexo A.
Agustín Lerma, Security Manager de Nextel, se centró en la evaluación y gestión de riesgos, aportando su doble experiencia de certificación de Nextel en BS7799-2 y de consultoría en implantación de la norma para sus clientes.
Álvaro Rodríguez de Roa, Director de Certificación de Servicios de SGS ICS, describió en su ponencia el proceso de certificación propiamente dicho y otros aspectos relacionados.
Antonio Urgal, Subdirector de la Agencia IDEA, dio un completo repaso a los incentivos que da la Junta de Andalucía a las empresas para el fomento de las nuevas tecnologías, incluida la seguridad de la información.
Las ponencias y la noticia de cobertura del evento en el área de noticias de: Nexusasesores.com.
Completa descripción de soluciones tecnológicas que ayuda a las organizaciones a lograr y mantener la conformidad con la legislación y estándares más conocidos como Sarbanes-Oxley Act (SOX), Gramm-Leach-Bliley Act (GLBA), Health Insurance Portability and Accountability Act (HIPAA), European Union Data Protection Directive (EUDPD), , Personal Data Act (523/1999) y Amendment (986/2000) de Finlandia y ISO 17799:2005 Code of Practice for Information Security Management (ISO 17799).
Visite nuestra sección de Publicaciones.
15 Consejos para Mantenerse Libre de Virus
04/July/2006
04/July/2006
Panda Software ofrece una atractiva presentación multimedia gratuita con 15 consejos para mantenerse libre de virus.
La presentación no incluye publicidad de productos antivirus. Su objetivo es educar a los usuarios en el correcto uso de sus ordenadores y ayudar al administrador de sistemas a implementar su política de seguridad.
Ofrecer la oportunidad de distribuir esta presentación a usuarios internos, con el fin de evitar posibles infecciones de virus y ayude a mejorar la seguridad de red.
Descarga disponible previa encuesta: Panda Software
La presentación no incluye publicidad de productos antivirus. Su objetivo es educar a los usuarios en el correcto uso de sus ordenadores y ayudar al administrador de sistemas a implementar su política de seguridad.
Ofrecer la oportunidad de distribuir esta presentación a usuarios internos, con el fin de evitar posibles infecciones de virus y ayude a mejorar la seguridad de red.
Descarga disponible previa encuesta: Panda Software
10 Consejos para no picar en el anzuelo del Phishing
04/July/2006
04/July/2006
Miles de personas facilitan sus claves bancarias en respuesta a correos electrónicos fraudulentos, sin ser conscientes de que están siendo estafadas.
Panda Software ofrece información útil para proteger a los usuarios frente al phishing y otras estafas on line mediente una atractiva animación multimedia.
Descarga en formato flash disponible previa encuesta: Panda Software
Panda Software ofrece información útil para proteger a los usuarios frente al phishing y otras estafas on line mediente una atractiva animación multimedia.
Descarga en formato flash disponible previa encuesta: Panda Software
Concienciación en los nuevos modelos de Cyber-Crimen
04/July/2006
04/July/2006
Los nuevos métodos y tecnologías empleados exigen un nuevo modelo de seguridad y la primera medida es explicar y difundir de forma clara y sencilla para todos los públicos como operan las nuevas amenazas.
Panda Software ofrece una atractiva presentación multimedia gratuita sobre el modelo BotNet y cómo sus promotores sacan partido de todo ello.
Descarga disponible previa encuesta: Panda Software
Panda Software ofrece una atractiva presentación multimedia gratuita sobre el modelo BotNet y cómo sus promotores sacan partido de todo ello.
Descarga disponible previa encuesta: Panda Software
Un buscador que borra las huellas
04/July/2006
04/July/2006
Ahora que la protección de la confidencialidad está cada vez más en peligro durante el empleo de motores de búsqueda de Internet, la Metabúsqueda Ixquick (www.ixquick.com) da un gran paso adelante: En fecha de hoy, todos los datos personales de sus usuarios se borrarán de manera irreversible de sus llamados registros de búsqueda, ”log-files”.
“Esta nueva función de nuestro motor de búsqueda asegura que nuestros clientes podrán disfrutar de una protección de confidencialidad y de un rendimiento de búsqueda de máxima calidad. Usuarios de Ixquick podrán buscar en los 11 mejores motores de búsqueda sin que estos motores graben sus datos personales”, declaró Alex Van Eesteren, portavoz de Ixquick.
Debido a la mayor digitalización el almacenamiento de datos personales va incrementando con fuerza. Los motores de búsqueda tienen un papel vital en este proceso, ya que registran la hora, las palabras claves, sitios visitados y la llamada dirección IP del usuario mientras buscan en Internet. En muchos casos, esta dirección IP permite identificar al ordenador y la dirección (domicilio) relacionada utilizada en la búsqueda.
Generalmente los motores de búsqueda almacenan datos personales durante largos periodos de tiempo. Estos datos son de interés comercial para las empresas, de interés de seguridad pública para el Estado, pero también pueden ser usados con fines criminales.
Información completa: ixquick press
“Esta nueva función de nuestro motor de búsqueda asegura que nuestros clientes podrán disfrutar de una protección de confidencialidad y de un rendimiento de búsqueda de máxima calidad. Usuarios de Ixquick podrán buscar en los 11 mejores motores de búsqueda sin que estos motores graben sus datos personales”, declaró Alex Van Eesteren, portavoz de Ixquick.
Debido a la mayor digitalización el almacenamiento de datos personales va incrementando con fuerza. Los motores de búsqueda tienen un papel vital en este proceso, ya que registran la hora, las palabras claves, sitios visitados y la llamada dirección IP del usuario mientras buscan en Internet. En muchos casos, esta dirección IP permite identificar al ordenador y la dirección (domicilio) relacionada utilizada en la búsqueda.
Generalmente los motores de búsqueda almacenan datos personales durante largos periodos de tiempo. Estos datos son de interés comercial para las empresas, de interés de seguridad pública para el Estado, pero también pueden ser usados con fines criminales.
Información completa: ixquick press
En SEGURINFO 2006, los ejecutivos responsables de las políticas de seguridad de la información encontraron un ámbito para compartir experiencias y actualizar su visión sobre los problemas y soluciones, a través de los especialistas en el tema.
Entre las presentaciones, que son de libre acceso, encontramos de especial interés entre otras:
Implementación y Certificación Bs7799 - Caso Real
ROSI, ROI de la Seguridad de la Información
Análisis de Normas y Metodologías que afectan a la Gestión de Seguridad de la Información
Cómo Crear y Sustentar un Programa de "Awarness" en Seguridad
En el congreso se trataron entre otros los siguientes temas:
- Seguridad Legal: Habeas Data, Protección y Privacidad de Datos, Firma Digital.
- Seguridad Forense: Peritajes, Fraudes Electrónicos.
- Sarbanes Oxley: Su plena vigencia y las experiencias de los casos.
- Seguridad Técnica: Accesos externos y protección de datos.
- Seguridad en redes y ambientes Wireless, IP.
- Formación Académica en Seguridad de la información: Habilitaciones y Certificaciones.
- Preservación Física y Lógica de Software (Escrow).
- Gestión de la seguridad de la Información.
Las correspondientes presentaciones al programa están disponibles en: Segurinfo
Entre las presentaciones, que son de libre acceso, encontramos de especial interés entre otras:
Implementación y Certificación Bs7799 - Caso Real
ROSI, ROI de la Seguridad de la Información
Análisis de Normas y Metodologías que afectan a la Gestión de Seguridad de la Información
Cómo Crear y Sustentar un Programa de "Awarness" en Seguridad
En el congreso se trataron entre otros los siguientes temas:
- Seguridad Legal: Habeas Data, Protección y Privacidad de Datos, Firma Digital.
- Seguridad Forense: Peritajes, Fraudes Electrónicos.
- Sarbanes Oxley: Su plena vigencia y las experiencias de los casos.
- Seguridad Técnica: Accesos externos y protección de datos.
- Seguridad en redes y ambientes Wireless, IP.
- Formación Académica en Seguridad de la información: Habilitaciones y Certificaciones.
- Preservación Física y Lógica de Software (Escrow).
- Gestión de la seguridad de la Información.
Las correspondientes presentaciones al programa están disponibles en: Segurinfo
Tras realizar un requerimiento de oficio para que inscribieran los ficheros antes del 1 de junio.
El director de la Agencia Española de Protección de Datos (AEPD) ha acordado la iniciación de actuaciones previas a la apertura de procedimientos sancionadores a más de 80 ayuntamientos, con una población superior a 2500 habitantes, que no han notificado sus ficheros con datos de carácter personal al Registro General de Protección de Datos (RGPD).
El pasado mes abril la Agencia Española de Protección de Datos realizó, con la colaboración de la Federación Española de Municipios y Provincias, un requerimiento de oficio a 155 Ayuntamientos con una población superior a 2500 habitantes, con excepción de los correspondientes a los ámbitos de competencia de las Agencias Autonómicas de Protección de Datos de Madrid, Cataluña y País Vasco, para que notificasen sus ficheros con datos de carácter personal al Registro General de Protección de Datos antes del 1 de junio.
Una vez transcurrido el plazo, la AEPD ha comprobado que más de 80 de los Ayuntamientos requeridos no han procedido a solicitar la inscripción de sus ficheros en el Registro General de Protección de Datos (RGPD) por lo que iniciará actuaciones previas a la apertura de procedimientos sancionadores por una presunta vulneración de la LOPD.
Nota informativa completa: Agencia de Protección de Datos.
Guia del derecho fundamental a la protección de datos de carácter personal: Guía Agencia de Protección de Datos.
El director de la Agencia Española de Protección de Datos (AEPD) ha acordado la iniciación de actuaciones previas a la apertura de procedimientos sancionadores a más de 80 ayuntamientos, con una población superior a 2500 habitantes, que no han notificado sus ficheros con datos de carácter personal al Registro General de Protección de Datos (RGPD).
El pasado mes abril la Agencia Española de Protección de Datos realizó, con la colaboración de la Federación Española de Municipios y Provincias, un requerimiento de oficio a 155 Ayuntamientos con una población superior a 2500 habitantes, con excepción de los correspondientes a los ámbitos de competencia de las Agencias Autonómicas de Protección de Datos de Madrid, Cataluña y País Vasco, para que notificasen sus ficheros con datos de carácter personal al Registro General de Protección de Datos antes del 1 de junio.
Una vez transcurrido el plazo, la AEPD ha comprobado que más de 80 de los Ayuntamientos requeridos no han procedido a solicitar la inscripción de sus ficheros en el Registro General de Protección de Datos (RGPD) por lo que iniciará actuaciones previas a la apertura de procedimientos sancionadores por una presunta vulneración de la LOPD.
Nota informativa completa: Agencia de Protección de Datos.
Guia del derecho fundamental a la protección de datos de carácter personal: Guía Agencia de Protección de Datos.
¿Es vulnerable la banca online?
04/July/2006
04/July/2006
No se ha realizado un estudio en detalle para otro tipo de sistemas de autentificación de banca on-line, debido a la falta de un “estándar” para el resto de sistemas de autentificación de firma.
La conclusión mas inmediata que se desprende del presente informe es que los sistemas de firma de banca online, ya sea basados en "tokens" físicos, teclados virtuales, u otros, actualmente distan mucho de poder considerarse como soluciones robustas pues prácticamente todos adolecen del mismo fallo: que su seguridad se implementa -en gran medida- a través de un protocolo, http, que jamás se diseñó para ser seguro, sino solo funcional.
Hasta que llegue el día en que los mecanismos de verificación de la identidad del usuario de una aplicación web sean “robustos”, la banca on-line estará expuesta a toda serie de riesgos. ¿Se pueden eliminar completamente dichos riesgos? No es probable, pero si que se pueden reducir en gran medida mediante la realización de pruebas periódicas especializadas sobre los sistemas de seguridad empleados.
Artículo e información completa: Alfa-Redi.
La conclusión mas inmediata que se desprende del presente informe es que los sistemas de firma de banca online, ya sea basados en "tokens" físicos, teclados virtuales, u otros, actualmente distan mucho de poder considerarse como soluciones robustas pues prácticamente todos adolecen del mismo fallo: que su seguridad se implementa -en gran medida- a través de un protocolo, http, que jamás se diseñó para ser seguro, sino solo funcional.
Hasta que llegue el día en que los mecanismos de verificación de la identidad del usuario de una aplicación web sean “robustos”, la banca on-line estará expuesta a toda serie de riesgos. ¿Se pueden eliminar completamente dichos riesgos? No es probable, pero si que se pueden reducir en gran medida mediante la realización de pruebas periódicas especializadas sobre los sistemas de seguridad empleados.
Artículo e información completa: Alfa-Redi.
El pasado 16 de Junio, el "Permanent Stakeholders Group" de ENISA (European Network and Information Security Agency) presentó en Londres un informe en el que analiza las tendencias en riesgos y amenazas de seguridad de la información y describe las acciones a largo plazo que puede desarrollar ENISA para mantenerse en línea con dichas tendencias.
Se mencionan diversas formas de malware, avances en gusanos, rootkits y botnet software, ataques DDoS, robo de identidad, incremento de vulnerabilidades en el software, ataques a redes móviles e inalámbricas, inseguridad en redes peer-to-peer, spam y spit, falta de concienciación en seguridad, profesionalización de los ciberdelincuentes y la mayor dependencia de las redes.
El documento, en inglés, está disponible en ENISA.
Se mencionan diversas formas de malware, avances en gusanos, rootkits y botnet software, ataques DDoS, robo de identidad, incremento de vulnerabilidades en el software, ataques a redes móviles e inalámbricas, inseguridad en redes peer-to-peer, spam y spit, falta de concienciación en seguridad, profesionalización de los ciberdelincuentes y la mayor dependencia de las redes.
El documento, en inglés, está disponible en ENISA.
Infosecurity Santiago 2006 (Chile)
25/June/2006
25/June/2006
Por tercer año consecutivo tendrá lugar en Santiago de Chile el evento InfoSecurity organizado por la empresa I-SEC Information Security.
Se celebrará los próximos 12, 13 y 14 de Septiembre en el Hotel Intercontinental Santiago y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
Se celebrará los próximos 12, 13 y 14 de Septiembre en el Hotel Intercontinental Santiago y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
DarkReading anuncia en su web un estudio que publicará el Computer Security Institute el próximo 12 de Julio, en el que se llega al dato significativo de que las empresas con ingresos por debajo de los 10 millones de dólares anuales invierten aproximadamente 746 dólares por empleado y año en seguridad, mientras que a las empresas que superan los 1000 millones de dólares anuales de ingresos, sólo les cuesta 58 dólares por empleado y año.
Más información en darkREADING.
Más información en darkREADING.
Exitosa Jornada ISO 27001 Málaga (España)
25/June/2006
25/June/2006
El 22 de junio, Nexus Consultores y Auditores celebró una jornada sobre Gestión de Seguridad de la Información según la norma ISO 27001 en el Palacio de Ferias y Congresos de Málaga.
El evento, muy bien organizado y con una importante presencia de público, contó con interesantes ponencias:
Oscar Lázaro, Gerente de Innovalia, habló de las amenazas actuales para la seguridad de la información de las empresas.
José Manuel Fernández, Director de Consultoría de Gestión de Nexus, hizo un completo repaso a la norma, incluidos los objetivos de control del Anexo A.
Agustín Lerma, Security Manager de Nextel, se centró en la evaluación y gestión de riesgos, aportando su doble experiencia de certificación de Nextel en BS7799-2 y de consultoría en implantación de la norma para sus clientes.
Álvaro Rodríguez de Roa, Director de Certificación de Servicios de SGS ICS, describió en su ponencia el proceso de certificación propiamente dicho y otros aspectos relacionados.
Antonio Urgal, Subdirector de la Agencia IDEA, dio un completo repaso a los incentivos que da la Junta de Andalucía a las empresas para el fomento de las nuevas tecnologías, incluida la seguridad de la información.
El evento, muy bien organizado y con una importante presencia de público, contó con interesantes ponencias:
Oscar Lázaro, Gerente de Innovalia, habló de las amenazas actuales para la seguridad de la información de las empresas.
José Manuel Fernández, Director de Consultoría de Gestión de Nexus, hizo un completo repaso a la norma, incluidos los objetivos de control del Anexo A.
Agustín Lerma, Security Manager de Nextel, se centró en la evaluación y gestión de riesgos, aportando su doble experiencia de certificación de Nextel en BS7799-2 y de consultoría en implantación de la norma para sus clientes.
Álvaro Rodríguez de Roa, Director de Certificación de Servicios de SGS ICS, describió en su ponencia el proceso de certificación propiamente dicho y otros aspectos relacionados.
Antonio Urgal, Subdirector de la Agencia IDEA, dio un completo repaso a los incentivos que da la Junta de Andalucía a las empresas para el fomento de las nuevas tecnologías, incluida la seguridad de la información.
El pasado 21 de Junio, la Fundación Dintel celebró en su lugar habitual de reuniones, el Club Financiero Génova en Madrid, la tercera sesión de sus Foros FAST 2006, titulada "Tópicos, problemas y soluciones en la seguridad de la información y las TIC".
En ella hubo ponencias sobre recuperación de desastres, gestión de la seguridad de la información, estrategias de seguridad, amenazas y soluciones en el spam y una presentación especialmente interesante para www.iso27000.es, por su relación con la norma, en la que Miguel Banegas, consultor senior de Telefónica Empresas, hizo una introducción a ISO 27001 y describió la experiencia de Telefónica en la implantación de la misma en su Centro de Datos Gestionado de Tres Cantos (Madrid).
En ella hubo ponencias sobre recuperación de desastres, gestión de la seguridad de la información, estrategias de seguridad, amenazas y soluciones en el spam y una presentación especialmente interesante para www.iso27000.es, por su relación con la norma, en la que Miguel Banegas, consultor senior de Telefónica Empresas, hizo una introducción a ISO 27001 y describió la experiencia de Telefónica en la implantación de la misma en su Centro de Datos Gestionado de Tres Cantos (Madrid).
El diario español "El Mundo" publicó el pasado viernes 23 la noticia de que Antoni Farriols, presidente de la independiente Comisión de Libertades e Informática, denunció que "sólo el 25% de las empresas conocen y cumplen la normativa sobre protección de datos". Lo que preocupa a Farriols es que este desconocimiento está siendo aprovechado para cometer abusos.
Artículo completo en: El Mundo.
Artículo completo en: El Mundo.
El error de delegar la seguridad
25/June/2006
25/June/2006
Cuando la dirección ejecutiva no valora o no se responsabiliza de la seguridad de la información, envía el mensaje a la plantilla de que a la dirección no le preocupa realmente la seguridad. En consecuencia, los empleados también pierden interés en la seguridad. Symantec analiza este problema en el siguiente podcast, en inglés: Symantec.
El pasado 23 de mayo fue presentada en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación de Madrid la Cátedra Applus+ de seguridad y desarrollo de la sociedad de la información.
La Cátedra tiene como finalidad fomentar la difusión y el intercambio de información en temas relacionados con la seguridad informática y la protección de datos en el desarrollo de la Sociedad de la Información.
La página web de la Cátedra contiene más información: Capsdesi.
La Cátedra tiene como finalidad fomentar la difusión y el intercambio de información en temas relacionados con la seguridad informática y la protección de datos en el desarrollo de la Sociedad de la Información.
La página web de la Cátedra contiene más información: Capsdesi.
El panorama de amenazas de seguridad
25/June/2006
25/June/2006
Symantec describe en un podcast, en inglés, cómo están cambiando las amenazas de seguridad de la información y cómo afrontarlas.
El podcast puede escucharse en Symantec.
El podcast puede escucharse en Symantec.
Symantec ofrece en un podcast, en inglés, algunos consejos prácticos de cómo afrontar la tarea de crear un plan de recuperación de desastres, especialmente en pymes. En un lenguaje sencillo, resume algunos de los conceptos básicos relacionados con continuidad de negocio y recuperación de desastres.
El podcast puede escucharse en Symantec.
El podcast puede escucharse en Symantec.
En www.iso27000.es abrimos hoy nuestra sección de podcasts. Con el objetivo de hacer la experiencia de navegación más rica e interesante, añadimos pequeños archivos sonoros (en los que sacrificaremos algo de calidad de sonido a cambio de menor tamaño de fichero) de entre diez y quince minutos de duración, en los que mantendremos entrevistas y charlas con expertos en sistemas de gestión de seguridad de la información o plasmaremos por nuestra parte informaciones en formato sonoro que descarguen al visitante de la ardua tarea de leer largos documentos.
En esta primera entrevista, tenemos con nosotros a Carlos Manuel Fernández, Product Manager de Certificación TIC de AENOR, que es un profesional de reconocido prestigio y larga trayectoria en sistemas de gestión de seguridad de la información. A lo largo de una serie de preguntas, Carlos Manuel nos irá contando qué es AENOR, cómo se relaciona con la ISO 27001, cuándo estará disponible la norma en español, cuáles son los mayores problemas de implantación, etc.
Visite nuestra sección de Artículos y podcasts.
En esta primera entrevista, tenemos con nosotros a Carlos Manuel Fernández, Product Manager de Certificación TIC de AENOR, que es un profesional de reconocido prestigio y larga trayectoria en sistemas de gestión de seguridad de la información. A lo largo de una serie de preguntas, Carlos Manuel nos irá contando qué es AENOR, cómo se relaciona con la ISO 27001, cuándo estará disponible la norma en español, cuáles son los mayores problemas de implantación, etc.
Visite nuestra sección de Artículos y podcasts.
Conferencia ISO 27001 2006
19/June/2006
19/June/2006
Los participantes que asistan a esta conferencia oirán de primera mano de expertos en la industria y participarán en sesiones que cubren asuntos tales como:
- Cómo las organizaciones, con el uso en las empresas y la experiencia, están utilizando ISO/IEC 27001 para generar confianza y confianza en su gerencia de la seguridad de la información. - Casos de estudio en la certificación de las organizaciones que realizaron y se benefician de los estándares internacionales.
- Cómo los estándares internacionales pueden facilitar y proporcionar un proceso holístico que pueda reunir o sobrepasar los requisitos colectivos de COBIT, de ITIL, de ISF y de otros.
- Sesiones abiertas de "¿Cómo...?" sobre áreas prácticas críticas tales como la definición del alcance, evaluación de la identificación del tratamiento del riesgo, del activo e identificación de los controles.
- Las tendencias actuales y futuras en el desarrollo de sistemas de gestión de la seguridad de la información, estandarización y certificación.
- La implantación práctica de ISO/IEC 27001 y de ISO/IEC 20000 en áreas tales como continuidad del negocio (PAS56), conformidad con la legislación y armonización con ISO 9001/ISO 14001.
El evento se celebrará los días 27 y 28 de Septiembre en el Hotel Hilton McLean Tysons Corner de Virginia, EEUU.
Información y registro en BSI Americas.
- Cómo las organizaciones, con el uso en las empresas y la experiencia, están utilizando ISO/IEC 27001 para generar confianza y confianza en su gerencia de la seguridad de la información. - Casos de estudio en la certificación de las organizaciones que realizaron y se benefician de los estándares internacionales.
- Cómo los estándares internacionales pueden facilitar y proporcionar un proceso holístico que pueda reunir o sobrepasar los requisitos colectivos de COBIT, de ITIL, de ISF y de otros.
- Sesiones abiertas de "¿Cómo...?" sobre áreas prácticas críticas tales como la definición del alcance, evaluación de la identificación del tratamiento del riesgo, del activo e identificación de los controles.
- Las tendencias actuales y futuras en el desarrollo de sistemas de gestión de la seguridad de la información, estandarización y certificación.
- La implantación práctica de ISO/IEC 27001 y de ISO/IEC 20000 en áreas tales como continuidad del negocio (PAS56), conformidad con la legislación y armonización con ISO 9001/ISO 14001.
El evento se celebrará los días 27 y 28 de Septiembre en el Hotel Hilton McLean Tysons Corner de Virginia, EEUU.
Información y registro en BSI Americas.
Contenidos: Checklist para ISO/IEC 17799:2005
19/June/2006
19/June/2006
SANS pone a libre disposición en formato PDF y WORD una completa lista de verificación para ISO/IEC 17799:2005 actualizada según ISO/IEC 27001:2005.
Descarga disponible desde: SANS
Visite nuestra sección de Herramientas
Descarga disponible desde: SANS
Visite nuestra sección de Herramientas
Entrevista a Kevin Mitnick
19/June/2006
19/June/2006
Tom Espiner de ZDnet realizó este breve entrevista a Kevin Mitnick antes de su conferencia "art of deception" en el MIS CISO Executive Summit & Roundtable de Barcelona celebrado los pasados 14 y 15 de Junio.
"Las personas no pueden ser detectores de mentiras. Las compañías necesitan desarrollar un protocolo de seguridad sencillo para que los empleados sepan cuándo deberían consultar la política en su Intranet. La alta gerencia necesita creer en esta idea."
"Las compañías deberían realizar workshops en respuesta a la ingeniería social con objeto de demostrar la sensación de tonto que la gente puede llegar a tener cuando es estafada. Las empresas necesitan motivar el acatamiento de una política y explicar por qué es ésta importante para los empleados. Las empresas deberían así mismo desarrollar sus políticas de seguridad y alentar la participación y educación de los empleados. Se puede contratar una firma externa para comprobar la seguridad y ver si se puede engañar a la gente para que revelen información."
Artículo e información completa en ZDnet
"Las personas no pueden ser detectores de mentiras. Las compañías necesitan desarrollar un protocolo de seguridad sencillo para que los empleados sepan cuándo deberían consultar la política en su Intranet. La alta gerencia necesita creer en esta idea."
"Las compañías deberían realizar workshops en respuesta a la ingeniería social con objeto de demostrar la sensación de tonto que la gente puede llegar a tener cuando es estafada. Las empresas necesitan motivar el acatamiento de una política y explicar por qué es ésta importante para los empleados. Las empresas deberían así mismo desarrollar sus políticas de seguridad y alentar la participación y educación de los empleados. Se puede contratar una firma externa para comprobar la seguridad y ver si se puede engañar a la gente para que revelen información."
Artículo e información completa en ZDnet
La Reunión Española sobre Criptología y Seguridad de la Información (RECSI) llega en el año 2006 a su novena edición, organizada de forma conjunta por la Universidad Autónoma de Barcelona y la Universidad Oberta de Catalunya.
Esta IX RECSI quiere seguir siendo el lugar de encuentro y el foro en el que los criptólogos y, en general, todos aquellos que trabajan en el campo de la Seguridad de la Información expongan sus hallazgos y debatan sus ideas.
Se trata de un congreso bienal que se celebra en universidades y centros de investigación de España. Las ediciones anteriores se llevaron a cabo en Palma de Mallorca (U. Illes Balears), Madrid (CSIC), Barcelona (U. Politècnica de Catalunya), Valladolid (U. de Valladolid), Torremolinos (U. de Málaga), Santa Cruz de Tenerife (U. de La Laguna), Oviedo (U. de Oviedo) y Leganés (U. Carlos III).
Información y registro en RECSI2006.
Esta IX RECSI quiere seguir siendo el lugar de encuentro y el foro en el que los criptólogos y, en general, todos aquellos que trabajan en el campo de la Seguridad de la Información expongan sus hallazgos y debatan sus ideas.
Se trata de un congreso bienal que se celebra en universidades y centros de investigación de España. Las ediciones anteriores se llevaron a cabo en Palma de Mallorca (U. Illes Balears), Madrid (CSIC), Barcelona (U. Politècnica de Catalunya), Valladolid (U. de Valladolid), Torremolinos (U. de Málaga), Santa Cruz de Tenerife (U. de La Laguna), Oviedo (U. de Oviedo) y Leganés (U. Carlos III).
Información y registro en RECSI2006.
Mediante la Disposición N° 006 del 3 de agosto de 2005, la ONTI (Oficina Nacional de Tecnologías de Información de Argentina) aprobó la Política de Seguridad de la Información Modelo (versión 1), en el cual deben basarse los Organismos para dictar o adecuar sus políticas de seguridad, de acuerdo a lo dispuesto por la Decisión Administrativa 669/2004 y la Resolución SGP 45/2005.
El Modelo de Política de Seguridad de la Información se compone de 12 capítulos, los 3 primeros de introducción y los 9 restantes de contenidos de las distintas áreas abordadas. Los objetivos correspondientes a los objetivos de contenido son:
Organización de la Seguridad
Clasificación y Control de Activos
Seguridad del Personal
Seguridad Física y Ambiental
Gestión de Comunicaciones y Operaciones
Control de Accesos
Desarrollo y Mantenimiento de Sistemas
Administración de la Continuidad de las Actividades del Organismo
Cumplimiento
El desarrollo del Modelo de Política de Seguridad de la Información ha sido basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).
Descarga disponible desde: ArCert
Visite nuestra sección de Herramientas
El Modelo de Política de Seguridad de la Información se compone de 12 capítulos, los 3 primeros de introducción y los 9 restantes de contenidos de las distintas áreas abordadas. Los objetivos correspondientes a los objetivos de contenido son:
Organización de la Seguridad
Clasificación y Control de Activos
Seguridad del Personal
Seguridad Física y Ambiental
Gestión de Comunicaciones y Operaciones
Control de Accesos
Desarrollo y Mantenimiento de Sistemas
Administración de la Continuidad de las Actividades del Organismo
Cumplimiento
El desarrollo del Modelo de Política de Seguridad de la Información ha sido basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).
Descarga disponible desde: ArCert
Visite nuestra sección de Herramientas
El Toolkit de UCISA se ha desarrollado para facilitar a las organizaciones el desarrollo de un marco básico de políticas y procesos de seguridad de la información.
La última versión es de Agosto 2005 y, por tanto, está basada en BS-7799:2002, pero sigue siendo de gran utilidad.
Descarga completa en formato PDF: Ucisa completo.
Página y descarga en secciones independientes:Ucisa capítulos.
Visite nuestra sección de Herramientas.
La última versión es de Agosto 2005 y, por tanto, está basada en BS-7799:2002, pero sigue siendo de gran utilidad.
Descarga completa en formato PDF: Ucisa completo.
Página y descarga en secciones independientes:Ucisa capítulos.
Visite nuestra sección de Herramientas.
La 1ª Conferencia Ibérica de Sistemas y Tecnologías de la Información - CISTI -, se celebrará en Esposende (Portugal) los próximos 21, 22 y 23 de Junio de 2006.
Enlace al evento: CISTI.
Enlace al evento: CISTI.
La seguridad camina hacia la madurez
19/June/2006
19/June/2006
En los últimos años hemos visto cómo las empresas españolas han iniciado un proceso hacia la madurez en su aproximación al área de seguridad. Sin embargo, todavía queda camino por recorrer. Hay muchas empresas que consideran que la seguridad es una cuestión que se soluciona con la implantación de los productos tecnológicos más sofisticados del mercado.
No obstante, la seguridad no es una cuestión de producto, sino de estrategia. En este artículo, Moisés Navarro, Responsable de Consultoría Tecnológica de IBM España, expone las claves para orientar a las empresas a la hora de abordar la seguridad.
Artículo e información completa: Universia Business Review.
No obstante, la seguridad no es una cuestión de producto, sino de estrategia. En este artículo, Moisés Navarro, Responsable de Consultoría Tecnológica de IBM España, expone las claves para orientar a las empresas a la hora de abordar la seguridad.
Artículo e información completa: Universia Business Review.
Presentaciones de la Conferencia IT Governance 2006
19/June/2006
19/June/2006
La conferencia celebrada en el pasado 9 y 10 de Mayo en el Hotel Instana de Kuala Lumpur en Malasia nos dejó las siguientes presentaciones disponibles para su consulta en ISACA ITGovernance 2006.
Destacamos la presentación de Alan See titulada "A practical Approach to Implementing IT Security Standard" donde el autor presenta el proceso de implantación y el desarrollo de un marco de seguridad del estándar ISO 27001 en base al modelo ISO/OSI de 7 capas.
Destacamos la presentación de Alan See titulada "A practical Approach to Implementing IT Security Standard" donde el autor presenta el proceso de implantación y el desarrollo de un marco de seguridad del estándar ISO 27001 en base al modelo ISO/OSI de 7 capas.
Los clientes pueden verse desbordados al intentar llevar a cabo la administración de riesgos de seguridad. Esto probablemente se debe a que no disponen de expertos internos, recursos presupuestarios ni directrices para la subcontratación. Con el fin de ayudar a estos clientes, Microsoft ha desarrollado la Guía de administración de riesgos de seguridad.
El fichero comprimido incluye la guía en inglés y plantillas excel para la evaluación de los riesgos.
Visite nuestra sección de Publicaciones.
Contenidos: Nuevo número de (IN) Secure
19/June/2006
19/June/2006
Nuevo número de la revista en formato electrónico en idioma inglés dedicada a la seguridad de la información. Contiene:- SSH port forwarding: security from two perspectives, part one
- An inside job
- CEO spotlight: Q&A with Patricia Sueltz, SurfControl
- Server monitoring with munin and monit
- Compliance vs. awareness in 2006
- Infosecurity 2006
- 2005 *nix malware evolution
- InfoSec World 2006
- Overview of quality security podcasts
Visite nuestra sección de Boletines.
Directivos de Core Security Technologies informaron que un amplio número de sistemas telefónicos ponen a las infraestructuras telefónicas de las empresas en riesgo crítico.
La primera vulnerabilidad afecta a AsteriskPBX, un popular programa de código abierto que da soporte a equipos de VoIP, protocolos y funcionalidades. La forma en que el programa realiza el tratamiento de imágenes de video IAX2 deja abierta la posibilidad de comprometer de forma remota el sistema. Todas las versiones de software Asterisk PBX hasta e incluida la v1.2.8 están afectadas.
"Normalmente la gente no piensa en los sistemas telefónicos como objetos que necesiten protegerse de vulnerabilidades o ataques, pero según converge la telefonía con las redes de datos, son objeto de las mismas cuestiones."
"Este es otro componente más que forma parte de la red y que puede ser utilizado para lanzar ataques adicionales", concluyó Ferguson.
Noticia e información completa: SC Magazine.
La primera vulnerabilidad afecta a AsteriskPBX, un popular programa de código abierto que da soporte a equipos de VoIP, protocolos y funcionalidades. La forma en que el programa realiza el tratamiento de imágenes de video IAX2 deja abierta la posibilidad de comprometer de forma remota el sistema. Todas las versiones de software Asterisk PBX hasta e incluida la v1.2.8 están afectadas.
"Normalmente la gente no piensa en los sistemas telefónicos como objetos que necesiten protegerse de vulnerabilidades o ataques, pero según converge la telefonía con las redes de datos, son objeto de las mismas cuestiones."
"Este es otro componente más que forma parte de la red y que puede ser utilizado para lanzar ataques adicionales", concluyó Ferguson.
Noticia e información completa: SC Magazine.
"La falta de investigación, de compromiso y de entrenamiento son factores que han debilitado los niveles de seguridad en Chile", afirmó Vladimir Cobarrubias, perito de seguridad informática de la Policía Civil de Investigaciones.
"La falta de investigación, de compromiso y de entrenamiento son factores que han debilitado los niveles de seguridad en Chile", precisó y explicó que "las empresas prefieren destinar 30 millones de pesos (56,60 millones de dólares) en modernizar sus equipos que en desarrollar políticas de seguridad contundentes".
Según John Ferguson, director de la empresa líder en seguridad digital VeriSign Corp, la falta de información ha permitido además la profesionalización de un crimen organizado.
"En Chile se ha identificado una falta de educación y conciencia tanto en los usuarios como en organizaciones públicas y privadas respecto al valor que tiene el invertir en políticas y elementos de seguridad digital", concluyó Ferguson.
Noticia e información completa: Mouse Digital.
"La falta de investigación, de compromiso y de entrenamiento son factores que han debilitado los niveles de seguridad en Chile", precisó y explicó que "las empresas prefieren destinar 30 millones de pesos (56,60 millones de dólares) en modernizar sus equipos que en desarrollar políticas de seguridad contundentes".
Según John Ferguson, director de la empresa líder en seguridad digital VeriSign Corp, la falta de información ha permitido además la profesionalización de un crimen organizado.
"En Chile se ha identificado una falta de educación y conciencia tanto en los usuarios como en organizaciones públicas y privadas respecto al valor que tiene el invertir en políticas y elementos de seguridad digital", concluyó Ferguson.
Noticia e información completa: Mouse Digital.
La información personal de cerca de 2,2 millones de militares en activo, miembros de la Guardia Nacional y tropas de reserva fueron robados el mes pasado de la casa de un empleado del Gobierno, dijeron el martes las autoridades, la última revelación de un escándalo que va en aumento.
Esto significa que casi todo el personal militar en activo de EEUU corre el riesgo de sufrir robos de identidad, según el Pentágono.
El Departamento de Asuntos de Veteranos dijo que la información, que incluía nombres, números de la Seguridad Social y fechas de nacimiento, podría haber estado almacenada en el mismo equipamiento electrónico fue robado con datos personales similares de 26,5 millones de veteranos estadounidenses.
El secretario de Asuntos de los Veteranos, Jim Nicholson, dio a conocer el mes pasado que unos ladrones no identificados entraron el 3 de mayo en la residencia un analista de datos de los veteranos en Maryland que había violado procedimientos oficiales al llevarse los datos a casa. Los ladrones robaron equipos que contenían los datos.
Noticia e información completa: Iblnews.
Esto significa que casi todo el personal militar en activo de EEUU corre el riesgo de sufrir robos de identidad, según el Pentágono.
El Departamento de Asuntos de Veteranos dijo que la información, que incluía nombres, números de la Seguridad Social y fechas de nacimiento, podría haber estado almacenada en el mismo equipamiento electrónico fue robado con datos personales similares de 26,5 millones de veteranos estadounidenses.
El secretario de Asuntos de los Veteranos, Jim Nicholson, dio a conocer el mes pasado que unos ladrones no identificados entraron el 3 de mayo en la residencia un analista de datos de los veteranos en Maryland que había violado procedimientos oficiales al llevarse los datos a casa. Los ladrones robaron equipos que contenían los datos.
Noticia e información completa: Iblnews.
David Brewer y Michael Nash, consultores y expertos en seguridad de la información, han autorizado a www.iso27000.es a traducir su interesante documento "The similarity between ISO 9001 and BS 7799-2". En él analizan los parelelismos entre ambos estándares y proponen un método de integración del sistema de gestión de calidad y el de seguridad de la información de una organización, que sea auditable en base a ambas normas.
Este método lo han aplicado con éxito en su propia empresa, Gamma Secure Systems Limited.
Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa Gamma Secure Systems Limited han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.
Visite nuestra sección de Artículos.
Este método lo han aplicado con éxito en su propia empresa, Gamma Secure Systems Limited.
Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa Gamma Secure Systems Limited han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.
Visite nuestra sección de Artículos.
Tienen lugar los exámenes de CISA y CISM de ISACA
11/June/2006
11/June/2006
Este sábado 10 de Junio han tenido lugar los exámenes de ISACA para la obtención de las certificaciones de Certified Information Systems Auditor y Certified Information Security Manager.
La siguiente convocatoria tendrá lugar el próximo 9 de Diciembre. La fecha límite de inscripción temprana (con descuentos en el coste del examen) es el 16 de Agosto y la fecha límite de inscripción final es el 27 de Septiembre.
Para más detalles e inscripciones: ISACA.
La siguiente convocatoria tendrá lugar el próximo 9 de Diciembre. La fecha límite de inscripción temprana (con descuentos en el coste del examen) es el 16 de Agosto y la fecha límite de inscripción final es el 27 de Septiembre.
Para más detalles e inscripciones: ISACA.
Curso de implantación de SGSI en Quito (Ecuador)
11/June/2006
11/June/2006
La Comisión Latinoamericana de Productividad y Medio Ambiente (CLAPAM) organiza del 27 al 29 de Junio en Quito el curso "Cómo implantar un sistema de gestión de seguridad de la información. ISO 27001:2005".
El curso será impartido por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones: Curso CLAPAM Quito.
El curso será impartido por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones: Curso CLAPAM Quito.
Jornada ISO 27001 en Málaga (España)
11/June/2006
11/June/2006
Como anunciábamos la semana pasada, el próximo día 22 de junio, de 9:00 a 14:30, Nexus Consultores y Auditores va a celebrar una jornada gratuita sobre Gestión de Seguridad de la Información según la norma ISO 27001 en el Palacio de Ferias y Congresos de Málaga.
Los asistentes tendremos la oportunidad de escuchar ponencias de SGS ICS Ibérica, la Asociación Española para la Calidad, Innovalia, Grupo Nexus, Nextel y la Agencia IDEA sobre la seguridad de la información en general, la implantación y certificación de ISO 27001, la gestión de riesgos y la incorporación y subvenciones para las TIC en empresas andaluzas , además de poder intercambiar impresiones y establecer contactos en el cocktail posterior.
Más información e inscripciones en: Noticias Nexus.
Los asistentes tendremos la oportunidad de escuchar ponencias de SGS ICS Ibérica, la Asociación Española para la Calidad, Innovalia, Grupo Nexus, Nextel y la Agencia IDEA sobre la seguridad de la información en general, la implantación y certificación de ISO 27001, la gestión de riesgos y la incorporación y subvenciones para las TIC en empresas andaluzas , además de poder intercambiar impresiones y establecer contactos en el cocktail posterior.
Más información e inscripciones en: Noticias Nexus.
Ingeniería Social vía USB
11/June/2006
11/June/2006
Gary Hinson, en NoticeBored, comenta el caso publicado por DarkReading donde la empresa de seguridad informática Secure Networks recibe el encargo de un banco de intentar un ataque de hacking ético a través de ingeniería social, para comprobar el nivel de concienciación de sus empleados.
Secure Networks se decidió por una técnica sencilla. Grabó en 20 memorias USB una serie de imágenes inofensivas y un troyano que correría en segundo plano recolectando información de usuario y máquina, contraseñas, etc. y enviándola por e-mail a su propio sistema. Antes de la entrada del personal a las oficinas, un día distribuyeron las memorias en los alrededores del edificio, en zonas de aparcamiento y de fumadores, dejándolas tiradas en el suelo como si hubiesen sido perdidas.
Quince memorias USB fueron encontradas por los empleados y todas ellas fueron insertadas en ordenadores de la empresa. Con la información obtenida, Secure Networks pudo acceder a otros sistemas y ampliar su ataque, demostrando que la curiosidad humana sigue siendo uno de los factores que más puede poner en riesgo la seguridad de la información de una organización.
Secure Networks se decidió por una técnica sencilla. Grabó en 20 memorias USB una serie de imágenes inofensivas y un troyano que correría en segundo plano recolectando información de usuario y máquina, contraseñas, etc. y enviándola por e-mail a su propio sistema. Antes de la entrada del personal a las oficinas, un día distribuyeron las memorias en los alrededores del edificio, en zonas de aparcamiento y de fumadores, dejándolas tiradas en el suelo como si hubiesen sido perdidas.
Quince memorias USB fueron encontradas por los empleados y todas ellas fueron insertadas en ordenadores de la empresa. Con la información obtenida, Secure Networks pudo acceder a otros sistemas y ampliar su ataque, demostrando que la curiosidad humana sigue siendo uno de los factores que más puede poner en riesgo la seguridad de la información de una organización.
Guía de Seguridad de la Información para Pymes
11/June/2006
11/June/2006
La Ventana Digital de la Región de Murcia pone a disposición del público un interesante documento de 84 páginas titulado
"Guía de Seguridad de la Información para Pymes".
En él se dan una serie de indicaciones de cómo abordar la seguridad de la información en pequeñas y medianas empresas basándose en la legislación vigente en la materia y en los controles de ISO 17799:2005.
Es muy destacable el enfoque práctico del documento. Por cada control hay una breve descripción, una enumeración de las medidas a implantar, una indicación de las normativas relacionadas y un ejemplo a modo de caso práctico con y sin implementación de medidas.
El documento puede descargarse gratuitamente en: www.vdigitalrm.com.
En él se dan una serie de indicaciones de cómo abordar la seguridad de la información en pequeñas y medianas empresas basándose en la legislación vigente en la materia y en los controles de ISO 17799:2005.
Es muy destacable el enfoque práctico del documento. Por cada control hay una breve descripción, una enumeración de las medidas a implantar, una indicación de las normativas relacionadas y un ejemplo a modo de caso práctico con y sin implementación de medidas.
El documento puede descargarse gratuitamente en: www.vdigitalrm.com.
Infosecurity Santa Cruz 2006 (Bolivia)
10/June/2006
10/June/2006
Tendrá lugar en Santa Cruz (Bolivia) el evento InfoSecurity organizado por la empresa I-SEC Information Security.
Se celebrará los próximos 26, 27 y 28 de Julio en el Hotel Los Tajibos y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
Se celebrará los próximos 26, 27 y 28 de Julio en el Hotel Los Tajibos y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
Dentro del VI Congreso TechBusiness Week 2006 que se celebrará en Santiago de Compostela del 14 al 16 de Junio, la mañana del día 15 estará dedicada a ponencias relacionadas con seguridad y legislación informática.
Más información e inscripciones en: TechBusiness Week.
Más información e inscripciones en: TechBusiness Week.
La empresa con sede en Lima (Perú), Eficiencia Gerencial y Productividad S.A, ha lanzado su página web, en la que detalla sus servicios en el área de asesoría y formación en implantación de ISO9001, ISO 27001 y Planes de Continuidad de Negocio, al tiempo que pone a disposición del visitante una serie de artículos de Alberto G. Alexander relacionados con estos temas.
La séptima Conferencia Internacional "Common Criteria" tendrá lugar los próximos 19 al 21 de septiembre, 2006, en el Hotel Princesa Yaiza, de Lanzarote.
Este importante evento reunirá a organismos de certificación, laboratorios, expertos, legisladores y fabricantes de productos interesados en la especificación, evaluación y certificación de la seguridad de las tecnologías de la información.
La conferencia la organiza el Organismo de Certificación del Centro Criptológico Nacional, como una actividad de promoción de la normalización y uso de la certificación de la seguridad de las tecnologías de la información, dentro de las funciones que le son encomendadas en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.
La conferencia está coordinada en su organización y en la definición de sus contenidos con otros organismos de certificación del Arreglo sobre el reconocimiento de los certificados de criterios comunes en el campo de la seguridad de la tecnología de la información, del que España es miembro.
Más información en www.7iccc.es.
Este importante evento reunirá a organismos de certificación, laboratorios, expertos, legisladores y fabricantes de productos interesados en la especificación, evaluación y certificación de la seguridad de las tecnologías de la información.
La conferencia la organiza el Organismo de Certificación del Centro Criptológico Nacional, como una actividad de promoción de la normalización y uso de la certificación de la seguridad de las tecnologías de la información, dentro de las funciones que le son encomendadas en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.
La conferencia está coordinada en su organización y en la definición de sus contenidos con otros organismos de certificación del Arreglo sobre el reconocimiento de los certificados de criterios comunes en el campo de la seguridad de la tecnología de la información, del que España es miembro.
Más información en www.7iccc.es.
Curso de Experto en Seguridad en Madrid (España)
10/June/2006
10/June/2006
Durante el año académico 2006-07, la escuela de negocios IDE-CESEM impartirá en colaboración con S21sec un Curso de Experto en Seguridad Informática en Madrid.
El curso, presencial, tiene una duración de 150 horas. Está orientado a proporcionar conocimientos sobre gestión de la seguridad de los sistemas de información desde una perspectiva no técnica.
Más información e inscripciones en: IDE-CESEM, sección Masters presenciales, Profesionales, Cursos de experto.
El curso, presencial, tiene una duración de 150 horas. Está orientado a proporcionar conocimientos sobre gestión de la seguridad de los sistemas de información desde una perspectiva no técnica.
Más información e inscripciones en: IDE-CESEM, sección Masters presenciales, Profesionales, Cursos de experto.
Cómo afrontar la convergencia de la seguridad
10/June/2006
10/June/2006
"The Alliance for Enterprise Security Risk Management", una coalición formada por las prestigiosas organizaciones ASIS, ISACA e ISSA, tiene publicado un informe de 32 páginas en el que aborda el estudio de cómo las organizaciones plantean la convergencia de la seguridad, definida como "la identificación de los riesgos e interdependencias de seguridad entre funciones y procesos dentro de la empresa y el desarrollo de soluciones de procesos de gestión de negocio para afrontar dichos riesgos e interdependencias".
En el estudio se desarrollan los factores que están forzando esta convergencia: rápida extensión del ecosistema empresarial, migración del valor de activos físicos a activos de información intangibles, nuevas tecnologías de protección con límites funcionales difusos, nuevos requerimientos regulatorios y presión continua para reducir costes.
El informe está disponible en ISACA.
En el estudio se desarrollan los factores que están forzando esta convergencia: rápida extensión del ecosistema empresarial, migración del valor de activos físicos a activos de información intangibles, nuevas tecnologías de protección con límites funcionales difusos, nuevos requerimientos regulatorios y presión continua para reducir costes.
El informe está disponible en ISACA.
Como iniciativa de una serie de profesionales relacionados con la actividad de informática forense -entre los que se encuentra el conocido Javier Pagès-, se ha creado la empresa Informática Forense, S.L., cuya actividad se centrará en la elaboración de dictámenes judiciales en el área de peritaje informático.
Fuente: InForenseS.
Fuente: InForenseS.
Declaración de Zaragoza
10/June/2006
10/June/2006
En el recientemente finalizado I Congreso Iberoamericano Bitácor@s y Derecho en Zaragoza (España), se ha redactado la denominada "Declaración de Zaragoza", donde se propone un modelo de desarrollo jurídico para las bitácoras o "weblogs".
En la web bitacorasyderecho.com es posible adherirse a la Declaración.
En la web bitacorasyderecho.com es posible adherirse a la Declaración.
Nueva certificación en ISO 27001 en España
07/June/2006
07/June/2006
Izenpe es una sociedad anónima cuyo capital se reparte entre Ejie, S.A. (Gobierno Vasco), CCA, S.A. (Diputación Foral de Álava), Lantik, S.A. (Diputación Foral de Bizkaia) e Izfe, S.A. (Diputación Foral de Gipuzkoa).
Izenpe, como prestador de servicios de certificación, tiene entre sus valores más importantes, tal y como refleja el objeto social, la confianza y la credibilidad que ofrece a sus ciudadanos y a terceros.
Para reforzar dicha confianza, Izenpe decidió obtener la certificación en ISO 27001 de su Sistema de Gestión de Seguridad de la Información y también, de forma paralela, la certificación específica para Autoridades de Certificación (CA) de acuerdo a la norma ETSI TS 101 456 (Policy requirements for certification Authorities issuing qualified certificates). El alcance para el cual ha obtenido la ISO 27001 es el de su CA.
Noticia: Noticias Izenpe.
Consulta de certificaciones y alcances: iso27001certificates.
Izenpe, como prestador de servicios de certificación, tiene entre sus valores más importantes, tal y como refleja el objeto social, la confianza y la credibilidad que ofrece a sus ciudadanos y a terceros.
Para reforzar dicha confianza, Izenpe decidió obtener la certificación en ISO 27001 de su Sistema de Gestión de Seguridad de la Información y también, de forma paralela, la certificación específica para Autoridades de Certificación (CA) de acuerdo a la norma ETSI TS 101 456 (Policy requirements for certification Authorities issuing qualified certificates). El alcance para el cual ha obtenido la ISO 27001 es el de su CA.
Noticia: Noticias Izenpe.
Consulta de certificaciones y alcances: iso27001certificates.
Uno de los mayores retos que afrontan las organizaciones hoy en día es la protección de la privacidad de la información personal de los empleados y clientes. El coste originado por las brechas en seguridad se incrementa día a día. Los clientes, proveedores y partners comerciales quieren garantías de que su información personal recogida está protegida y se utiliza únicamente para el propósito para el cual fue originalmente recopilada.
"Global Technology Audit Guide – 5: Managing and Auditing Privacy Risks" intenta ofrecer una visión tanto a auditores como a directivos de los riesgos relacionados con la privacidad de la información que las organizaciones deberían considerar cuando recogen, retienen o difunden información personal.
Presentación: The Institute of Internal Auditors
Descarga directa: Download GTAG 5: Managing and Auditing Privacy Risks (PDF 752KB).
España, en la encrucijada del consenso
07/June/2006
07/June/2006
A partir de ahora, el Subcomité 27, tanto en el ámbito internacional como en el nacional, contará con dos nuevos Grupos de Trabajo, el WG4 –centrado en la normalización de servicios y aplicaciones que apoyen la implantación de los controles de la ISO/IEC 27002 (hoy 17799:2005)–, y el WG5 –que entenderá de los aspectos técnicos relativos a la privacidad y la gestión de identidad–, que vienen a sumarse a los tres ya existentes: WG1 –gestión de la seguridad–, WG2 –criptografía– y WG3 –certificación y evaluación de la seguridad de las tecnologías de la información–.
Cabe añadir que también se aprobaron los criterios que se aplicarán, en adelante, para decidir qué normas deben formar parte de la Familia 27000, se llevó a efecto la revisión de las dos partes de la norma de sellado de tiempo, ISO/IEC 18014, marcándose la ruta de tramitación de cada una, y se decidió revisar las normas ISO/IEC 15408 y 18045 para acompasarlas con la versión 3 de los Common Criteria (CC) y de los Common Evaluation Methodology (CEM), que se espera para este verano.
Artículo de José de la Peña Muñoz: SIC.
Cabe añadir que también se aprobaron los criterios que se aplicarán, en adelante, para decidir qué normas deben formar parte de la Familia 27000, se llevó a efecto la revisión de las dos partes de la norma de sellado de tiempo, ISO/IEC 18014, marcándose la ruta de tramitación de cada una, y se decidió revisar las normas ISO/IEC 15408 y 18045 para acompasarlas con la versión 3 de los Common Criteria (CC) y de los Common Evaluation Methodology (CEM), que se espera para este verano.
Artículo de José de la Peña Muñoz: SIC.
Jornada Gratuita ISO 27001 en Málaga (España)
07/June/2006
07/June/2006
El próximo día 22 de junio de 2006, Nexus Consultores y Auditores, va a celebrar una jornada gratuita en la que ofrecerá a los presentes toda la información referente a la Gestión de Seguridad de la Información según la Norma Internacional ISO 27001. Tendrá lugar en el Palacio de Ferias y Congresos de Málaga entre las 9:00 h. y 14:30 h.
Artículo e información completa: Noticias Nexus.
Información y Boletín de Preinscripción: Nexus Asesores.
Artículo e información completa: Noticias Nexus.
Información y Boletín de Preinscripción: Nexus Asesores.
El grupo de trabajo internacional de protección de datos y telecomunicaciones, también conocido como “grupo de Berlín”, ha elaborado un borrador de documento de trabajo en relación con el acceso en línea a la historia clínica electrónica, e invita a los profesionales sanitarios y expertos en la materia a plantear observaciones.
El grupo de trabajo da la bienvenida a las iniciativas actualmente en consideración en la Organización Internacional de Estandarización (ISO) para la aprobación de un estándar de seguridad para el sector médico y de salud (con el estándar propuesto ISO 27799, adaptando el estándar ISO 17799 sobre gestión de la seguridad de la información al sector sanitario).
Artículo e información completa: datospersonales.org.
El grupo de trabajo da la bienvenida a las iniciativas actualmente en consideración en la Organización Internacional de Estandarización (ISO) para la aprobación de un estándar de seguridad para el sector médico y de salud (con el estándar propuesto ISO 27799, adaptando el estándar ISO 17799 sobre gestión de la seguridad de la información al sector sanitario).
Artículo e información completa: datospersonales.org.
El evento tuvo lugar en Madrid entre los días 8 y 17 del mes de mayo y estuvo organizado por el Subcomité español de Normalización en materia de Seguridad de la ISO, conocido como CTN 71/SC 27 español. En la actualidad, el Subcomité está presidido por Dña. Rosa García Ontoso - Directora de la Agencia de Protección de Datos de la Comunidad de Madrid entre los años 1997 y 2001 y miembro del Subcomité durante más de diez años- y en el mismo hay representantes tanto de la Agencia Española de Protección de Datos como de la Agencia de Protección de Datos de la Comunidad de Madrid.
Artículo e información completa: Madrid.org.
Artículo e información completa: Madrid.org.
Guía para la gestión de amenazas
07/June/2006
07/June/2006
Es un cortafuegos, es un IPS, es un antivirus, es un antispam...pero, ¿es apropiado para usted?
Artículo e información completa: informationsecurity.
Nuevo número de Information Security disponible desde nuestro apartado de Boletines.
Artículo e información completa: informationsecurity.
Nuevo número de Information Security disponible desde nuestro apartado de Boletines.
La cesión de datos personales de pasajeros entre la UE y EEUU se llevaba a cabo desde mayo del 2004 en base a un acuerdo con la finalidad de controlar posibles actos terroristas. El Tribunal Europeo de Justicia considera que no hay base legal para dicha cesión.
Artículo e información completa: Datospersonales.org.
Artículo e información completa: Datospersonales.org.
Bajo el lema “La confidencialidad de la Historia de Salud”, los días 17 y 18 de mayo de 2006 se ha celebrado en Barcelona el III Foro sobre Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud, que tiene como principal objetivo el desarrollo y la implantación de las nuevas tecnologías de la información y las comunicaciones en el sector sanitario.
El objetivo principal del III Foro sobre Protección de Datos de Salud ha sido establecer, a través de un profundo debate sobre la normativa vigente y la praxis cotidiana, criterios comunes y válidos que sirvan de guía a los profesionales de la salud, a los técnicos y a los responsables de los centros asistenciales y de las instituciones sanitarias, para el tratamiento seguro de los datos y de la información contenida en las historias de salud.
Artículo e información completa: Madrid.org.
El objetivo principal del III Foro sobre Protección de Datos de Salud ha sido establecer, a través de un profundo debate sobre la normativa vigente y la praxis cotidiana, criterios comunes y válidos que sirvan de guía a los profesionales de la salud, a los técnicos y a los responsables de los centros asistenciales y de las instituciones sanitarias, para el tratamiento seguro de los datos y de la información contenida en las historias de salud.
Artículo e información completa: Madrid.org.
Readaptación de la política de riesgos
07/June/2006
07/June/2006
Tanto si gestionas las políticas manualmente como si utilizas herramientas automáticas es una obligación que tus políticas y sistemas se mantengan en sintonía.
Artículo e información completa: informationsecurity.
Nuevo número de Information Security disponible desde nuestro apartado de Boletines.
Artículo e información completa: informationsecurity.
Nuevo número de Information Security disponible desde nuestro apartado de Boletines.
Entrevista a Carlos Jiménez, Presidente de Secuware
07/June/2006
07/June/2006
Carlos Jiménez fundó en 1989 Anyware Seguridad Informática S.A., la primera empresa española de I+D+i para la seguridad de los ordenadores. Diez años más tarde vendió Anyware a McAfee (multinacional americana) y pudo financiar su segundo proyecto: Secuware, que actualmente protege la información de la Agencia Tributaria, de varios ministerios del Gobierno español, así como de diversas empresas privadas y públicas.
Carlos Jiménez ha charlado con los lectores.
Artículo e información completa: El País.
Carlos Jiménez ha charlado con los lectores.
Artículo e información completa: El País.
"La Criptovirología es el malvado hermano pequeño de la Criptografía. Veamos cómo la intensidad de esta oscura ciencia se alimenta directamente de las características defensivas en seguridad de su hermano mayor."
Artículo e información completa: Windowsecurity.
Artículo e información completa: Windowsecurity.
En las empresas de hoy en día, responder a las vulnerabilidades de la seguridad se convierte a menudo en un duro trámite, que cuesta a las organizaciones cientos de miles de euros para subsanar incidentes. Con cada nuevo paso destinado a fortalecer la seguridad, como el descubrimiento de una nueva vulnerabilidad, la aparición de código malicioso o el lanzamiento de un nuevo parche de software “crítico”, los departamentos de TI se vean forzados a dejar a un lado sus proyectos y emplear gran parte de su tiempo en hacer frente a las amenazas.
Los productos orientados a remediar estas situaciones o al parcheo de seguridad se han convertido en un gran negocio en los últimos años. Las soluciones de gestión de parches proporcionan infraestructuras que identifican a su vez, nuevos parches, los prueban, determinen qué sistemas los necesitan, para finalizar desplegándolos y, así, seguir su rastro.
Pero algunas de las mejores soluciones han provocado a las compañías un espectacular incremento de costes, no ayudan a priorizar qué parche es más necesario -dependiendo del contexto de la organización- y muchas empresas se ahogan en el círculo de “alarma, remiende, limpie y repita”.
Artículo e información completa: Red@Seguridad.
Los productos orientados a remediar estas situaciones o al parcheo de seguridad se han convertido en un gran negocio en los últimos años. Las soluciones de gestión de parches proporcionan infraestructuras que identifican a su vez, nuevos parches, los prueban, determinen qué sistemas los necesitan, para finalizar desplegándolos y, así, seguir su rastro.
Pero algunas de las mejores soluciones han provocado a las compañías un espectacular incremento de costes, no ayudan a priorizar qué parche es más necesario -dependiendo del contexto de la organización- y muchas empresas se ahogan en el círculo de “alarma, remiende, limpie y repita”.
Artículo e información completa: Red@Seguridad.
En la mayoría de las organizaciones de hoy en día, existe un amplio número de ordenadores y dispositivos de red que producen voluminosas salidas de datos. ¿Qué utilidad tiene disponer de tanta información a menos que se pueda hacer uso de ella?.
Don Parker ofrece información consejos útiles y herramientas para consolidar logs de routers, cortafuegos, PDC, BDC o del directorio activo.
Artículo e información completa: Windowsecurity.
Don Parker ofrece información consejos útiles y herramientas para consolidar logs de routers, cortafuegos, PDC, BDC o del directorio activo.
Artículo e información completa: Windowsecurity.
El 6 y 7 de Junio de 2006, el Institute for International Research imparte en Madrid un seminario de Disaster Recovery.
Tendrá lugar en el Hotel NH Eurobuilding, tiene un precio de 1.399 euros y será impartido por José M. de Acuña.
Para más detalles e inscripciones: IIR.
Tendrá lugar en el Hotel NH Eurobuilding, tiene un precio de 1.399 euros y será impartido por José M. de Acuña.
Para más detalles e inscripciones: IIR.
Curso de implementación de ISMS en Chile
29/May/2006
29/May/2006
Del 10 al 14 de Julio de 2006, la empresa NeoSecure organiza en su sede de Providencia un curso de formación para la implementación de sistemas de gestión de la seguridad de la información basados en ISO 17799:2005. Se trata de un curso oficial BSI (British Standards Institution), impartido por un formador de BSI-Americas.
Para más detalles e inscripciones: NeoSecure.
Para más detalles e inscripciones: NeoSecure.
Curso de ISO 27001 en Santiago de Chile
29/May/2006
29/May/2006
Del 14 al 16 de Junio tendrá lugar en Santiago de Chile el curso "ISO 27001:2005, Sistema de Gestión de Seguridad de la Información", impartido por BureauVeritas.
Más información e inscripciones, en BureauVeritas.cl.
Más información e inscripciones, en BureauVeritas.cl.
InfoSecurity Lima 2006
29/May/2006
29/May/2006
Por segundo año consecutivo tendrá lugar en Lima (Perú) el evento InfoSecurity organizado por la empresa I-SEC Information Security.
Se celebrará los próximos 4, 5 y 6 de Julio en el Hotel JW Marriot y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
Se celebrará los próximos 4, 5 y 6 de Julio en el Hotel JW Marriot y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
Del 24 al 29 de Julio próximos tendrá lugar en Quito la novena edición del Taller sobre Tecnología de Redes Internet para América Latina y el Caribe, organizado por la Escuela Latinoamericana de Redes, ESLARED.
Se imparten 8 talleres diferentes, siendo uno de ellos el dedicado a Seguridad Informática. El temario que se desarrollará a lo largo de 40 horas teóricas y prácticas es: Diseño de Políticas de Seguridad Informática, Seguridad de Sistemas Operativos (Unix y Windows), Seguridad Periférica e Interna, Fundamentos de Criptografía, Utilización de elementos criptográficos para la seguridad informática (VPN, Correo Seguro, PKI), Auditoría informática y peritaje forense y Seguridad en ambientes WIFI.
Para más información e inscripciones: WALC 2006
Se imparten 8 talleres diferentes, siendo uno de ellos el dedicado a Seguridad Informática. El temario que se desarrollará a lo largo de 40 horas teóricas y prácticas es: Diseño de Políticas de Seguridad Informática, Seguridad de Sistemas Operativos (Unix y Windows), Seguridad Periférica e Interna, Fundamentos de Criptografía, Utilización de elementos criptográficos para la seguridad informática (VPN, Correo Seguro, PKI), Auditoría informática y peritaje forense y Seguridad en ambientes WIFI.
Para más información e inscripciones: WALC 2006
Respuestas SIC en Madrid (España) el 28 de Junio
29/May/2006
29/May/2006
El próximo 28 de Junio tendrá lugar en el Hotel NH Eurobuilding de Madrid el evento Respuestas SIC con el título de "La autenticación de usuarios en la empresa extendida".
Está organizado por la revista SIC (Seguridad en Informática y Comunicaciones), es gratuito con inscripción previa y tiene aforo limitado.
Para más información e inscripciones: Respuestas SIC
Está organizado por la revista SIC (Seguridad en Informática y Comunicaciones), es gratuito con inscripción previa y tiene aforo limitado.
Para más información e inscripciones: Respuestas SIC
Con motivo del Día de Internet, el pasado 17 de Mayo, la Agencia Española de Protección de Datos publicó en su web un documento de 31 páginas con consejos e indicaciones relacionadas con la seguridad para internautas.
El documento, que también puede servir de inspiración para un plan concienciación en la empresa en el marco de la ISO27001, puede descargarse en la AEPD
El documento, que también puede servir de inspiración para un plan concienciación en la empresa en el marco de la ISO27001, puede descargarse en la AEPD
Sergio Hernando publica en la web de Hispasec Sistemas un interesante documento titulado "Los diez errores más frecuentes en Sistemas de Protección de Datos", donde repasa en clave gerencial los errores más habituales a la hora de desplegar sistemas de gestión de la seguridad de la información, con referencias también a la protección de datos personales.
Puede descargarse en Hispasec
Puede descargarse en Hispasec
Al parecer, en un hotel de Manchester han sido encontrados documentos oficiales, marcados como "Restringido" y "Confidencial", donde se detallan los métodos que podrían utilizar presuntos terroristas para atentar contra Tony Blair y miembros de su gobierno durante el congreso del Partido Laborista en Manchester el próximo Septiembre.
A pesar de los intentos de restar importancia al asunto por parte de diversos portavoces oficiales, queda patente una vez más que la seguridad de la información sigue siendo una asignatura pendiente incluso para aquellos que tienen la seguridad como su actividad principal.
Más información en Yahoo News
A pesar de los intentos de restar importancia al asunto por parte de diversos portavoces oficiales, queda patente una vez más que la seguridad de la información sigue siendo una asignatura pendiente incluso para aquellos que tienen la seguridad como su actividad principal.
Más información en Yahoo News
Noticiasdot.com nos ofrece una información detallada de la situación del software pirata por áreas mundiales y países concretos. Se destaca el alto porcentaje que presentan España (45%) y los países iberoamericanos (media del 68%) frente a la media mundial (35%)
Más información en Noticiasdot.com
Más información en Noticiasdot.com
El pasado 17 de mayo se celebró en los países de la Comunidad Iberoamericana de Naciones, el Día de Internet.
El CATA (Centro de Alerta Temprana sobre Virus y Seguridad Informática) organizó en la jornada una video-conferencia de título "Charlas de Seguridad Informática" cuyo contenido se pone ahora a disposición general en alerta-antivirus.red.es
El CATA (Centro de Alerta Temprana sobre Virus y Seguridad Informática) organizó en la jornada una video-conferencia de título "Charlas de Seguridad Informática" cuyo contenido se pone ahora a disposición general en alerta-antivirus.red.es
¿Es ISO 27001 la nueva norma ISO 9001?
21/May/2006
21/May/2006
"Acabo de oir que el Banco de la Reserva Federal de Nueva York se ha convertido en la primera organización de Norte America en ser certificada en el nuevo estándar internacional ISO 27001 para las mejores prácticas en la seguridad de la información.
Me pregunto si esta certificación provocará que otros se unan a este criterio en seguridad de la información, espero que sí."
"El estándar ISO 27001:2005, que reemplaza a BS7799-2:2002 (la cual disponía ya de cerca de 2,500 organizaciones certificadas en todo el mundo), se titula "Information Security Management - Specification With Guidance for Use" y sigue las líneas de ISO 9001 y ISO 14001 para una gestión homogénea. Junto a la certificación ISO 27001 se debería también engrasar los procesos para otros requisitos de conformidad, que incluyen Gramm-Leach-Bliley Act (GLBA), the Health Insurance Portability and Accountability Act (HIPAA) y Sarbanes-Oxley Act (SOX).
Fuente e información completa de Victor R. Garza en: Infoworld
Me pregunto si esta certificación provocará que otros se unan a este criterio en seguridad de la información, espero que sí."
"El estándar ISO 27001:2005, que reemplaza a BS7799-2:2002 (la cual disponía ya de cerca de 2,500 organizaciones certificadas en todo el mundo), se titula "Information Security Management - Specification With Guidance for Use" y sigue las líneas de ISO 9001 y ISO 14001 para una gestión homogénea. Junto a la certificación ISO 27001 se debería también engrasar los procesos para otros requisitos de conformidad, que incluyen Gramm-Leach-Bliley Act (GLBA), the Health Insurance Portability and Accountability Act (HIPAA) y Sarbanes-Oxley Act (SOX).
Fuente e información completa de Victor R. Garza en: Infoworld
La calidad en la seguridad: asignatura pendiente
21/May/2006
21/May/2006
"En 1999 se publicó la norma BS 7799 que consta de dos partes: BS 7799-1 (ISO 17799-1) Código de buenas practicas de seguridad de la información y BS 7799-2 Implantación y certificación de un sistema de gestión de seguridad de la información. En el año 2002 se publica una revisión de la norma, cuya parte principal es la armonización entre controles y estructura de las normas BS7799, ISO 9000, e ISO 14000. Estas correspondencias se detallan..."
Artículo de Agustín Lerma, Security Manager NEXTEL, S.A.
Auditoría+seguridad
Artículo de Agustín Lerma, Security Manager NEXTEL, S.A.
Auditoría+seguridad
Cuando las nuevas regulaciones sean aplicadas, las empresas y particulares podrían verse obligados a entregar las claves criptográficas a las fuerzas de seguridad policiales o enfrentarse a posibles penas de hasta 2 años de prisión en caso de no hacerlo. La razón, bastante sorprendente, es que el gobierno necesita los claves para poder combatir de forma efectiva a oedófilos, terroristas y demás amenazas públicas que pudieran estar relacionadas. Pero el resultado puede tornarse en el abandono de actividades por parte de algunas empresas fuera del país y causar, en realidad, un aumento del riesgo a los ciudadanos.
Noticia de Tom Espiner e información completa:ZDNet
Noticia de Tom Espiner e información completa:ZDNet
Reporteros sin Fronteras ha denunciado el espionaje y el robo sufridos por Daniel Santoro, del diario Clarín, el 11 de mayo de 2006. Unos piratas informáticos le hurtaron toda la correspondencia electrónica que había mantenido con el juez Daniel Rafecas, en relación con un asunto de narcotráfico. Los autores del delito no han podido ser identificados.
Noticia e información completa:Reporteros sin fronteras
Noticia e información completa:Reporteros sin fronteras
"SI LA ORGANIZACIÓN NECESITA ACREDITAR ANTE TERCEROS QUE ESTÁ PREOCUPADA POR LA SEGURIDAD, SERÁ IMPORTANTE ELEGIR UN ESTÁNDAR QUE PUEDA SER CERTIFICADO POR UN TERCERO"
Artículo de Antonio Ramos, Director de consultoría y auditoría informática de S21.
Auditoría+seguridad
Artículo de Antonio Ramos, Director de consultoría y auditoría informática de S21.
Auditoría+seguridad
Visita al centro de gestión de alarmas del BBVA
21/May/2006
21/May/2006
En cumplimiento del marco legal por el que se desarrolla la actividad de Seguridad en el entorno bancario, y atendiendo al precepto por el que se obliga a la instalación de sistemas de seguridad en las oficinas bancarias y a su conexión con empresas Receptoras de Alarmas, el Grupo BBVA tiene creado desde 1989 su propio Centro de Gestión de Alarmas (CGA), que hasta hace poco ha estado ubicado en su sede central del madrileño Paseo de la Castellana, y que en la actualidad tiene localizado dentro del edificio que alberga el Centro de Proceso de Datos, en la localidad de Tres Cantos, en las cercanías de Madrid.
Seguritecnia
Seguritecnia
Jorge Ramió Aguirre es Dr. Ingeniero de Telecomunicación Diplomado por la Universidad Politécnica de Madrid, e imparte docencia en el Departamento de Lenguajes, Proyectos y Sistemas Informáticos de la Escuela Universitaria de Informática en las asignaturas Seguridad Informática, desde el año 1994, y Gestión, Auditoría, Normativas y Legislación en Seguridad Informática, desde el año 2004.
Es fundador y coordinador de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed, que cuenta a marzo de 2006 con 574 miembros que representan a 161 universidades y 201 empresas. El servidor de esta red cursa un tráfico visto medio superior a los 35 Gbytes mensuales, equivalentes a unas 40.000 visitas y que se traduce más de 25.000 documentos freeware descargados cada mes.
Es el creador y organizador de los Congresos Iberoamericanos de Seguridad Informática CIBSI, de los que se han celebrado ya tres ediciones, siendo la cuarta cita a finales del año 2007 en Buenos Aires, Argentina.
Entre otros méritos, es autor del libro electrónico de libre distribución "Seguridad Informática y Criptografía" cuya quinta edición de marzo de 2005 en versión 4.0 alcanzó 39.000 descargas y la sexta edición en versión 4.1, con 1.106 diapositivas, se publica en la red 1 de marzo de 2006 alcanzando en el primer mes 8.000 descargas. En fecha próxima se publicará una versión del libro en inglés.
Es autor además del Cuaderno de Prácticas de Criptografía en formato HTML y es tutor de más de una docena de proyectos de software de laboratorio para prácticas de criptografía. Todos estos documentos y aplicaciones son de libre distribución en Internet. El profesor Ramió participa en diversos congresos en muchos países de Latinoamérica así como en cursos de postgrado como ponente y profesor invitado. Puede ver los enlaces en Google desde la búsqueda precisa: Google
Fuente e información completa en:Linuxpreview.org
Es fundador y coordinador de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed, que cuenta a marzo de 2006 con 574 miembros que representan a 161 universidades y 201 empresas. El servidor de esta red cursa un tráfico visto medio superior a los 35 Gbytes mensuales, equivalentes a unas 40.000 visitas y que se traduce más de 25.000 documentos freeware descargados cada mes.
Es el creador y organizador de los Congresos Iberoamericanos de Seguridad Informática CIBSI, de los que se han celebrado ya tres ediciones, siendo la cuarta cita a finales del año 2007 en Buenos Aires, Argentina.
Entre otros méritos, es autor del libro electrónico de libre distribución "Seguridad Informática y Criptografía" cuya quinta edición de marzo de 2005 en versión 4.0 alcanzó 39.000 descargas y la sexta edición en versión 4.1, con 1.106 diapositivas, se publica en la red 1 de marzo de 2006 alcanzando en el primer mes 8.000 descargas. En fecha próxima se publicará una versión del libro en inglés.
Es autor además del Cuaderno de Prácticas de Criptografía en formato HTML y es tutor de más de una docena de proyectos de software de laboratorio para prácticas de criptografía. Todos estos documentos y aplicaciones son de libre distribución en Internet. El profesor Ramió participa en diversos congresos en muchos países de Latinoamérica así como en cursos de postgrado como ponente y profesor invitado. Puede ver los enlaces en Google desde la búsqueda precisa: Google
Fuente e información completa en:Linuxpreview.org
La auditoría está viviendo un momento de cambio en lo que a las Tecnologías de la Información se refiere. Para Gordon Smith, presidente y CEO de Canaudit y una de las más respetadas figuras del mundo de la auditoría tecnológica a nivel mundial, “los auditores han ignorado los riesgos tecnológicos en la última década”. Además, el florecimiento del mercado de la seguridad ha generado un volumen de negocio que no ha podido ser absorbido por el actual número de auditores especializados. Ante todas estas realidades, Smith apuesta por “Audit Re-Evolution”, un nuevo concepto con el que se pretende “dotar de nueva energía a la auditoría”.
Fuente e información completa en: Redseguridad
Fuente e información completa en: Redseguridad
"¿Preparado para una auditoría? La conformiadad con SOX significa para las empresas la necesidad de auditorías externas que certifiquen sus controles financieros.
Existen muchas recomendaciones disponibles sobre como poner a punto tu infraestructura TI para esas malditas auditorías, pero existe una de la que puede que no hayas oído antes. ¿Que son las plantillas de seguridad?"
Columna de Mitch Tulloch para ITworld
Existen muchas recomendaciones disponibles sobre como poner a punto tu infraestructura TI para esas malditas auditorías, pero existe una de la que puede que no hayas oído antes. ¿Que son las plantillas de seguridad?"
Columna de Mitch Tulloch para ITworld
El próximo martes, 23 de mayo, se presenta la “Guía para tu seguridad en Internet”, elaborada por el Foro de las Evidencias Electrónicas (una plataforma de análisis y discusión jurídica y técnica sobre determinadas consecuencias que se derivan del uso de las nuevas tecnologías). D. Antonio Garrigues, presidente del Foro, será el encargado de explicar su contenido.
El objetivo de esta guía es dar pautas para la seguridad de los casi 14 millones de internautas españoles. Editada en forma de díptico y con un lenguaje muy divulgativo, incluye recomendaciones y consejos de fácil aplicación y gran utilidad para garantizar la seguridad de los usuarios en Internet.
La presentación de la ‘Guía para tu seguridad en Internet’ (primera iniciativa para ‘educar’ sobre el uso de Internet en nuestro país) tendrá lugar el próximo martes, 23 de mayo, a las 11.30 horas en la sede corporativa del despacho Garrigues (C/Hermosilla, 3, Madrid).
Durante el acto de prensa, se dará a conocer también el programa de la tercera sesión presencial del Foro de las Evidencias Electrónicas, que tendrá lugar el martes, 30 de mayo, en el Hotel Ritz de Madrid y que será inaugurado por el Presidente del Consejo General del Poder Judicial, D. Francisco José Hernando. La sesión de este año pondrá su acento, entre otros asuntos, en el DNI electrónico, las diferentes formas de ciberdelincuencia, la vulneración de los derechos de autor en Internet y el valor probatorio de la evidencia electrónica.
El Foro de las Evidencias Electrónicas que este año está patrocinado por: Ancert, el Consejo General del Poder Judicial, la SGAE, Atos Origin, KPMG, Informa, Informática el Corte Inglés, Azertia, El Derecho, Cybex y Secuware, surgió hace más de dos años con el objetivo de generar seguridad jurídica en el ámbito de las transacciones electrónicas, el intercambio de documentos y la creación y comercialización de contenidos que se generan diariamente en la Sociedad de la Información. Desde entonces, sus miembros han mantenido una comunicación permanente y numerosos debates a través de un foro electrónico, así como reuniones presenciales que han contado con la participación de expertos de reconocido prestigio en nuevas tecnologías y seguridad jurídica.
Cibersur.com
El objetivo de esta guía es dar pautas para la seguridad de los casi 14 millones de internautas españoles. Editada en forma de díptico y con un lenguaje muy divulgativo, incluye recomendaciones y consejos de fácil aplicación y gran utilidad para garantizar la seguridad de los usuarios en Internet.
La presentación de la ‘Guía para tu seguridad en Internet’ (primera iniciativa para ‘educar’ sobre el uso de Internet en nuestro país) tendrá lugar el próximo martes, 23 de mayo, a las 11.30 horas en la sede corporativa del despacho Garrigues (C/Hermosilla, 3, Madrid).
Durante el acto de prensa, se dará a conocer también el programa de la tercera sesión presencial del Foro de las Evidencias Electrónicas, que tendrá lugar el martes, 30 de mayo, en el Hotel Ritz de Madrid y que será inaugurado por el Presidente del Consejo General del Poder Judicial, D. Francisco José Hernando. La sesión de este año pondrá su acento, entre otros asuntos, en el DNI electrónico, las diferentes formas de ciberdelincuencia, la vulneración de los derechos de autor en Internet y el valor probatorio de la evidencia electrónica.
El Foro de las Evidencias Electrónicas que este año está patrocinado por: Ancert, el Consejo General del Poder Judicial, la SGAE, Atos Origin, KPMG, Informa, Informática el Corte Inglés, Azertia, El Derecho, Cybex y Secuware, surgió hace más de dos años con el objetivo de generar seguridad jurídica en el ámbito de las transacciones electrónicas, el intercambio de documentos y la creación y comercialización de contenidos que se generan diariamente en la Sociedad de la Información. Desde entonces, sus miembros han mantenido una comunicación permanente y numerosos debates a través de un foro electrónico, así como reuniones presenciales que han contado con la participación de expertos de reconocido prestigio en nuevas tecnologías y seguridad jurídica.
Cibersur.com
El departamento de estado ha confirmado que aproximadamente 900 ordenadores comprados a Lenovo Corp. no serán utilizados en redes confidenciales.
La comisión EEUU-China, creada por el congreso para supervisar e investigar las implicaciones nacionales de seguridads en las relaciones económicas y de comercio entre ambos países, expuso en Abril la decisión del estado de comprar cerca de 16,000 PC de sobremesa a Lenovo.
Fuente e información completa en: GCN
La comisión EEUU-China, creada por el congreso para supervisar e investigar las implicaciones nacionales de seguridads en las relaciones económicas y de comercio entre ambos países, expuso en Abril la decisión del estado de comprar cerca de 16,000 PC de sobremesa a Lenovo.
Fuente e información completa en: GCN
Crean Comisión de Gobierno Digital en Costa Rica
21/May/2006
21/May/2006
En el diario oficial La Gaceta aparece publicado el decreto ejecutivo N° 33147-MP, por medio del cual se crea una Comisión Intersectorial de Gobierno Digital, al más alto nivel político.
Provoca una enorme satisfacción constatar que las autoridades que asumieron el poder el pasado 8 de mayo estén tomando el tema en serio, al punto de ser una de las primeras medidas estratégicas adoptadas ese mismo día. Ojalá el programa no caiga en el abandono en que lo dejó la pasada administración.
A todo lo anterior me referí en mi artículo del 2 de abril, "Retomar la agenda digital".
La nueva disposición ha sido agregada al "Inventario de normativa costarricense sobre derecho informático".
Noticia publicada por Christian Hess Araya en http://www.hess-cr.com/
Provoca una enorme satisfacción constatar que las autoridades que asumieron el poder el pasado 8 de mayo estén tomando el tema en serio, al punto de ser una de las primeras medidas estratégicas adoptadas ese mismo día. Ojalá el programa no caiga en el abandono en que lo dejó la pasada administración.
A todo lo anterior me referí en mi artículo del 2 de abril, "Retomar la agenda digital".
La nueva disposición ha sido agregada al "Inventario de normativa costarricense sobre derecho informático".
Noticia publicada por Christian Hess Araya en http://www.hess-cr.com/
Ponemos a disposición en nuestra sección de enlaces, de una clasificación completa de enlaces a las direcciones más interesantes relacionadas directa o indirectamente con la norma, así como aquellos sitios con los que iso27000.es establece relaciones de colaboración.
La nueva relación de apartados consta de:
- Páginas oficiales ISO 27000
- Servicios de acreditación
- Certificación Auditores
- Asociaciones de Auditores
- Biométrica
- Continuidad de Negocio
- Autoridades Corporativas
- Protección de Datos
- Servicios de comercio electrónico y de confianza
- Comunidad Forense
- Fraude
- Autoridades
- Gestión de incidentes y respuesta a emergencias
- Proyectos y Foros
- Legislación y Regulaciones
- Seguridad Personal
- Seguridad Física
- Gestión del Riesgo
- Estandarización
- Información relacionada
- Colaboraciones
Información y consultas relacionas: webmaster@iso27000.es
La nueva relación de apartados consta de:
- Páginas oficiales ISO 27000
- Servicios de acreditación
- Certificación Auditores
- Asociaciones de Auditores
- Biométrica
- Continuidad de Negocio
- Autoridades Corporativas
- Protección de Datos
- Servicios de comercio electrónico y de confianza
- Comunidad Forense
- Fraude
- Autoridades
- Gestión de incidentes y respuesta a emergencias
- Proyectos y Foros
- Legislación y Regulaciones
- Seguridad Personal
- Seguridad Física
- Gestión del Riesgo
- Estandarización
- Información relacionada
- Colaboraciones
Información y consultas relacionas: webmaster@iso27000.es
"El valor más importante de cualquier empresa es su personal, pero también es uno de los que más daño puede infringir, ya sea de manera dolosa o negligente"
"Los propios trabajadores, ante una situación conflictiva con sus empresarios, pueden ser sujetos activos de denuncias ante la Agencia de Protección de Datos contra sus patronos y, una vez puesta en marcha la denuncia, no cabe ya negociación posible porque el engranaje se pone en marcha."
"No cabe duda que las personas que se dedican a labores administrativas van a realizar un manejo permanente de datos de carácter personal y por ello deben conocer con rigor las medidas que deben adoptar para evitar eventuales tratamientos indebidos. Pero son los departamentos comerciales y de marketing los más delicados y difíciles de concienciar respecto a la necesidad imperiosa de protección de los datos personales: ¿cómo explicarle a un comercial que mandar una felicitación de Navidad o cumpleaños a un posible cliente puede terminar en una sanción para la empresa de 60.000 euros?"
Artículo completo de Pilar de Dios, Abogada - Socio Director JKM CONSULTORES en: Auditoría y seguridad
"Los propios trabajadores, ante una situación conflictiva con sus empresarios, pueden ser sujetos activos de denuncias ante la Agencia de Protección de Datos contra sus patronos y, una vez puesta en marcha la denuncia, no cabe ya negociación posible porque el engranaje se pone en marcha."
"No cabe duda que las personas que se dedican a labores administrativas van a realizar un manejo permanente de datos de carácter personal y por ello deben conocer con rigor las medidas que deben adoptar para evitar eventuales tratamientos indebidos. Pero son los departamentos comerciales y de marketing los más delicados y difíciles de concienciar respecto a la necesidad imperiosa de protección de los datos personales: ¿cómo explicarle a un comercial que mandar una felicitación de Navidad o cumpleaños a un posible cliente puede terminar en una sanción para la empresa de 60.000 euros?"
Artículo completo de Pilar de Dios, Abogada - Socio Director JKM CONSULTORES en: Auditoría y seguridad
Ponemos a disposición en nuestra sección de herramientas, de una relación ampliada de herramientas dedicadas a:
- Herramientas formales para procesos de auditoria
- Herramientas técnicas de auditoría de seguridad
Información y consultas relacionas: webmaster@iso27000.es
- Herramientas formales para procesos de auditoria
- Herramientas técnicas de auditoría de seguridad
- Escáneres de puertos
- Analizadores de protocolos
- Escáneres de vulnerabilidades
- Entornos de explotación de vulnerabilidades
- Recuperación de Contraseñas
- Análisis Forense
- Wireless
- Intrusion Detection Systems (IDS) / Intrusion Prevention Systems (IPS)
- Firewall
- Criptografía
- Miscelánea y utilidades de red
- Enlaces de referencia sobre herramientas de seguridad informática<
Información y consultas relacionas: webmaster@iso27000.es
En este artículo se ponen de manifiesto los criterios que las pymes deben tener en cuenta a la hora de acometer un proyecto de adecuación en la materia por sí mismas o por medio de una subcontratación.
Fuente e información completa en: Delitosinformaticos.com
Fuente e información completa en: Delitosinformaticos.com
Dan Kaplan 17 May 2006 19:03 Los empleados que denotan una satisfación alta en el trabajo tienen menos probabilidades de convertirse en amenazas internas, según palabras de un coferenciante del SC Forum en Hilton Head Island, S.C.
"es un concepto fascinante, y para él, desafortunadamente, no disponemos de un buen estudio de datos empírico que sirva para extrapolar. Pero aquellas firmas que disponen de buenos ratios de satisfacción....tienden a tener una mejor cultura y mucho menor número de incidentes internos", comunicó Hession en una entrevista posterior a su presentanción de una hora de duración.
Por otro lado, el crecimiento de los empleados móviles en la nación se está convirtiendo en una nueva faceta de ataques internos, dijo Hession que los empleados remotos carecen de una lealtad y ética que los empleados de las oficinas sí comparten.
Artículo e información completa en: SCmagazine
"es un concepto fascinante, y para él, desafortunadamente, no disponemos de un buen estudio de datos empírico que sirva para extrapolar. Pero aquellas firmas que disponen de buenos ratios de satisfacción....tienden a tener una mejor cultura y mucho menor número de incidentes internos", comunicó Hession en una entrevista posterior a su presentanción de una hora de duración.
Por otro lado, el crecimiento de los empleados móviles en la nación se está convirtiendo en una nueva faceta de ataques internos, dijo Hession que los empleados remotos carecen de una lealtad y ética que los empleados de las oficinas sí comparten.
Artículo e información completa en: SCmagazine
Los hombres son más propicios a surfear por la red, incluidos sitios reservados para adultos,en el trabajo, acorde a un estudio publicado recientemente.
El 65% de los hombres encuestados declararon que accedían a sitios no relacionados con el trabajo durantes en horas de jornada laboral, en contraste con el 58% de las mujeres.
Artículo e información completa en: SCmagazine
El 65% de los hombres encuestados declararon que accedían a sitios no relacionados con el trabajo durantes en horas de jornada laboral, en contraste con el 58% de las mujeres.
Artículo e información completa en: SCmagazine
Los profesionales de la seguridad tienen la expectativa de convertirse en expertos en una serie de tecnicas de seguridad pero, ¿qué cualificaciones son necesarias para progresar en tu carrera?.
Conocer las cualificaciones necesrias para el progreso de tu carrera es un dilema al que hay que debe enfrentarse todo profesional de la seguridad en la información. Con una miriada de certificados entre los que elegir...
Artículo e Información completa por Avinash W Kadam en Computerweekly
Conocer las cualificaciones necesrias para el progreso de tu carrera es un dilema al que hay que debe enfrentarse todo profesional de la seguridad en la información. Con una miriada de certificados entre los que elegir...
Artículo e Información completa por Avinash W Kadam en Computerweekly
En el segundo incidente que golpea la industria energética Japonesa en los últimos 12 meses, un PC que tenía instalado software para compartir archivos ha sido el culpable de la fuga a Internet de información sensible relacionada con la infraestructura y recusos energéticos de la compañía.
Un empresa contratada para manejar la seguridad física de Chubu Electric Power Co. fue la causante, al parecer de forma inadvertida, de la fuga de información relacionada con procedimientos operativos y la localización de zonas críticas de un planta de energía térmica, desde un PC con acceso a la información y que tenía instalado un programa de compatición de ficheros instalado, según indica el Japan Times.
La información afectada incluye la localización de varios recursos de Chubu Electric Power Co. en plantas de energía térmica en Owase, Mie Prefecture, que incluyen la de control, la sala de paneles de control and calderas, oficiales de seguridad de la compañía, manuales y como manejar las situaciones de registro de intrusos no confirmadas en la planta, además de una lista de nombres y direcciones personales de los empleados de seguridad de la empresa, entre otra información personal.
La información salió desde un ordemador conectado a la red de un empleado de la empresa de seguridad de 40 años, que almacenaba la información en su PC desde el 2000.
El pasado Junio, un ordenador de una planta nuclear infectado por un virus produjo una fuga de unos 40MB de documentos sensibles a Internet, según se anunció.
Un empresa contratada para manejar la seguridad física de Chubu Electric Power Co. fue la causante, al parecer de forma inadvertida, de la fuga de información relacionada con procedimientos operativos y la localización de zonas críticas de un planta de energía térmica, desde un PC con acceso a la información y que tenía instalado un programa de compatición de ficheros instalado, según indica el Japan Times.
La información afectada incluye la localización de varios recursos de Chubu Electric Power Co. en plantas de energía térmica en Owase, Mie Prefecture, que incluyen la de control, la sala de paneles de control and calderas, oficiales de seguridad de la compañía, manuales y como manejar las situaciones de registro de intrusos no confirmadas en la planta, además de una lista de nombres y direcciones personales de los empleados de seguridad de la empresa, entre otra información personal.
La información salió desde un ordemador conectado a la red de un empleado de la empresa de seguridad de 40 años, que almacenaba la información en su PC desde el 2000.
El pasado Junio, un ordenador de una planta nuclear infectado por un virus produjo una fuga de unos 40MB de documentos sensibles a Internet, según se anunció.
The Silver Bullet Security Podcast
21/May/2006
21/May/2006
Entrevista a Gary McGraw sobre seguridad de la información
Gary McGraw es profesor de informática y director del instituto para la seguridad de la información de la Universidad Johns Hopkins.
Descarga de la entrevista: Cigital - Show 001 Download
La asociación nacional de compañías de software y servicios de la India Nasscom (National Association of Software and Services Companies (Nasscom) está organizando el establecimiento de una organización de vigilancia, que se dedicará a la introducción y supervisión de las mejores prácticas en privacidad y seguridad de los datos relacionados con servicios, call center e industrias de externalización de procesos de negocio TI del país.
"Estamos diseñando una organización auto reguladora (SRO) que será establecida inicialmente por Nasscom pero que operará independientemente con un jefe ejecutivo y cuadro de dirección independientes", declaró Sunil Mehta, vicepresidente de Nasscom en Delhi.
La iniciativa de Nasscom nace de las alegaciones en Estados Unidos y el Reino Unido acerca del robo y venta de datos procesados por las compañías de externalización de la India por parte de trabajadores de los call centers.
El SRO tiene como objetivo elevar el listón de la seguridad y privacidad de los datos mediante la inclusión de las mejores prácticas actualmente estipuladas por certificaciones como la del estándar ISO 17799, así como la aplicación de leyes globales para la protección y privacidad de datos, dijo Mehta.
"Convertirse en miembro del SRO significará estar certificado, y como compañía miembro tendrá que seguir las mejores prácticas especificadas por SRO," declaró.
Además de establecer criterios de evaluación y proporcionar formación sobre las mejores prácticas a las compañías, la nueva organización dispondrá de autoridad para aplicar medidas de carácter disciplinario y expulsar a compañías miembro por faltas e incumplimientos.
El SRO se espera inicie sus actividades a finales del presente año 2006 y será financiado por Nasscom únicamente durante el primer año y que ya ha aportado fondos por valor de $300,000 para éste propósito.
Información completa: Computerworld
"Estamos diseñando una organización auto reguladora (SRO) que será establecida inicialmente por Nasscom pero que operará independientemente con un jefe ejecutivo y cuadro de dirección independientes", declaró Sunil Mehta, vicepresidente de Nasscom en Delhi.
La iniciativa de Nasscom nace de las alegaciones en Estados Unidos y el Reino Unido acerca del robo y venta de datos procesados por las compañías de externalización de la India por parte de trabajadores de los call centers.
El SRO tiene como objetivo elevar el listón de la seguridad y privacidad de los datos mediante la inclusión de las mejores prácticas actualmente estipuladas por certificaciones como la del estándar ISO 17799, así como la aplicación de leyes globales para la protección y privacidad de datos, dijo Mehta.
"Convertirse en miembro del SRO significará estar certificado, y como compañía miembro tendrá que seguir las mejores prácticas especificadas por SRO," declaró.
Además de establecer criterios de evaluación y proporcionar formación sobre las mejores prácticas a las compañías, la nueva organización dispondrá de autoridad para aplicar medidas de carácter disciplinario y expulsar a compañías miembro por faltas e incumplimientos.
El SRO se espera inicie sus actividades a finales del presente año 2006 y será financiado por Nasscom únicamente durante el primer año y que ya ha aportado fondos por valor de $300,000 para éste propósito.
Información completa: Computerworld
Contenidos: Nuevos servicios de iso27000.es
15/May/2006
15/May/2006
Con motivo del aumento de los contenidos en http://www.iso27000.es, hemos introducido algunos cambios para garantizar un acceso más rápido y cómodo a Noticias actuales, Noticias anteriores, Artículos, Boletines y Publicaciones.
Hemos habilitado un acceso directo a las Noticias que permite su presentación en ventana exclusiva, regular el tamaño de texto y según dos modelos de presentación distintos a elegir.
Nuestro canal principal de noticias con todas las novedades sobre la norma ISO 27000 y contenidos se mantiene sin cambios y sigue siendo:
http://www.iso27000.es/iso27000.xml
Adicionalmente y para los interesados en apartados concretos, ya están a disposición los siguientes canales específicos para lectores RSS:
http://www.iso27000.es/articulos.xml
http://www.iso27000.es/boletines.xml
http://www.iso27000.es/publicaciones.xml
Aprovechamos para agradeceros vuestro interés, así como cualquier indicación sobre enlaces, contenidos y mejoras que consideréis oportuno comunicarnos.
Atentamente,
webmaster@iso27000.es
Hemos habilitado un acceso directo a las Noticias que permite su presentación en ventana exclusiva, regular el tamaño de texto y según dos modelos de presentación distintos a elegir.
Nuestro canal principal de noticias con todas las novedades sobre la norma ISO 27000 y contenidos se mantiene sin cambios y sigue siendo:
http://www.iso27000.es/iso27000.xml
Adicionalmente y para los interesados en apartados concretos, ya están a disposición los siguientes canales específicos para lectores RSS:
http://www.iso27000.es/articulos.xml
http://www.iso27000.es/boletines.xml
http://www.iso27000.es/publicaciones.xml
Aprovechamos para agradeceros vuestro interés, así como cualquier indicación sobre enlaces, contenidos y mejoras que consideréis oportuno comunicarnos.
Atentamente,
webmaster@iso27000.es
Revista trimestral de ENISA
15/May/2006
15/May/2006
ENISA es la Agencia Europea para la Seguridad de las Redes y la Información. Trimestralmente publica un newsletter online con interesantes artículos relacionados con la seguridad de la información tanto de expertos internacionales como de los propios de ENISA. En nuestra sección de Boletines podrá encontrar el enlace.
Telefónica Empresas Perú, responsable de proveer soluciones integrales de comunicación y tecnologías de la información a las principales empresas del país, obtuvo la certificación ISO27001:2005 para su proceso de Gestión de Redes y Servicios, convirtiéndose en la primera empresa peruana en lograr esta certificación y la primera de telecomunicaciones en Latinoamérica.
Fuente: RPP
Fuente: RPP
Web de IRCA en español
14/May/2006
14/May/2006
Recientemente, IRCA (International Register of Certificated Auditors) ha comenzado a publicar su página web también en español.
De la misma forma, su boletín IRCA INforma también se publica ahora en español.
IRCA es la mayor entidad del mundo de certificación de auditores de sistemas de gestión (de calidad, medio ambiente, seguridad de la información, seguridad y salud laboral, TickIT, etc). Con sede en Londres, certifica a más de 11.500 auditores en 105 países y tiene aprobadas a más de 90 organizaciones que ofrecen cursos de formación de auditores a más de 50.000 asistentes anuales en todo el mundo.
De la misma forma, su boletín IRCA INforma también se publica ahora en español.
IRCA es la mayor entidad del mundo de certificación de auditores de sistemas de gestión (de calidad, medio ambiente, seguridad de la información, seguridad y salud laboral, TickIT, etc). Con sede en Londres, certifica a más de 11.500 auditores en 105 países y tiene aprobadas a más de 90 organizaciones que ofrecen cursos de formación de auditores a más de 50.000 asistentes anuales en todo el mundo.
Curso de auditor ISO27001 en Madrid (España)
14/May/2006
14/May/2006
Del 17 al 22 de Julio, la empresa Deloitte organiza un curso de certificación de Lead Auditor en Madrid. Incluye el examen al final del mismo.
Para más información, contactar con seguridad@deloitte.es.
Para más información, contactar con seguridad@deloitte.es.
Hasta Mayo de 2006 están certificadas en el mundo 2.546 empresas en BS 7799-2 o ISO 27001.
Esta información puede obtenerse mes a mes de forma detallada en International Register of ISMS Certificates.
Esta información puede obtenerse mes a mes de forma detallada en International Register of ISMS Certificates.
Curso de auditor ISO27001 en Barcelona (España)
14/May/2006
14/May/2006
La empresa Internet Security Auditors tiene una acuerdo con BSI España (British Standards Institution) para impartir la formación oficial que permite obtener la certificación de Lead Auditor en ISO27001.
Del 26 al 30 de Junio tendrá lugar un curso (40 horas de duración más 3 horas de examen de certificación) en Barcelona, al precio de 2.250 euros y con fecha límite de inscripción del 9 de Junio.
Para más información, consultar isecauditors.
Del 26 al 30 de Junio tendrá lugar un curso (40 horas de duración más 3 horas de examen de certificación) en Barcelona, al precio de 2.250 euros y con fecha límite de inscripción del 9 de Junio.
Para más información, consultar isecauditors.
InfoSecurity Guayaquil 2006
14/May/2006
14/May/2006
Por primera vez tendrá lugar en Guayaquil (Ecuador) el evento InfoSecurity organizado por la empresa I-SEC Information Security.
Se celebrará los próximos 6 y 7 de Junio en el Hotel Four Points Sheraton y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
Se celebrará los próximos 6 y 7 de Junio en el Hotel Four Points Sheraton y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.
Más información e inscripciones, en www.infosecurityonline.org.
El próximo día 17 de mayo se celebra en los paises de la Comunidad Iberoamericana de Naciones, el Día de Internet.
El CATA (Centro de Alerta Temprana sobre Virus y Seguridad Informática) organiza en la jornada una video-conferencia de título "Charlas de Seguridad Informática", que tendrá lugar de 13:00 a 14:30 (GMT+1).
Más información, en alerta-antivirus.red.es.
El CATA (Centro de Alerta Temprana sobre Virus y Seguridad Informática) organiza en la jornada una video-conferencia de título "Charlas de Seguridad Informática", que tendrá lugar de 13:00 a 14:30 (GMT+1).
Más información, en alerta-antivirus.red.es.
IT Governace Institute ha publicado la segunda edición del documento titulado "COBIT MAPPING: Overview of International
IT Guidance", en el cual se comenta a lo largo de 76 páginas la correspondencia de COBIT 4.0 con distintos estándares internacionales (ISO17799, COSO, ITIL, NIST 800-14, TickIT, Common Criteria, etc).
El documento, que se puede descargar en ISACA, pretende ser un resumen de las correspondencias de procesos criterios y recursos de COBIT 4.0 con estos estándares y no una descripción detallada, que se irá publicando en sucesivos documentos. Por ejemplo, hacia finales de 2006 está previsto el dedicado a ISO 17799:2005.
Por otra parte, para finales de Agosto de 2006, está prevista la publicación de COBIT 4.1, que hará leves modificaciones a la versión 4.0.
El documento, que se puede descargar en ISACA, pretende ser un resumen de las correspondencias de procesos criterios y recursos de COBIT 4.0 con estos estándares y no una descripción detallada, que se irá publicando en sucesivos documentos. Por ejemplo, hacia finales de 2006 está previsto el dedicado a ISO 17799:2005.
Por otra parte, para finales de Agosto de 2006, está prevista la publicación de COBIT 4.1, que hará leves modificaciones a la versión 4.0.
La empresa Eficiencia Gerencial y Productividad S.A. de Lima (Perú) ofrece dos cursos contratables a nivel internacional:
"Cómo implantar un Sistema de Gestión de Seguridad de Información ISO 27001:2005”, que ofrece en 16 horas una introducción a esta norma y su implantación.
"Diseño y gestión de un Plan de Continuidad del Negocio (Business Continuity Plans)”, curso de 24 horas centrado en cómo implantar la gestión de continuidad del negocio.
Ambos cursos son impartidos por Alberto Alexander, Ph.D. por la University of Kansas, licenciado en administración por la Universidad de Lima, auditor de Sistemas de Gestión de Seguridad de la Información y auditor líder en Sistemas de Gestión de Calidad certificado por IRCA, Certified Business Continuity Professional (CBCP) y experimentado consultor, formador y autor de libros.
Para más información, contactar con alexander@eficienciagerencial.com.
"Cómo implantar un Sistema de Gestión de Seguridad de Información ISO 27001:2005”, que ofrece en 16 horas una introducción a esta norma y su implantación.
"Diseño y gestión de un Plan de Continuidad del Negocio (Business Continuity Plans)”, curso de 24 horas centrado en cómo implantar la gestión de continuidad del negocio.
Ambos cursos son impartidos por Alberto Alexander, Ph.D. por la University of Kansas, licenciado en administración por la Universidad de Lima, auditor de Sistemas de Gestión de Seguridad de la Información y auditor líder en Sistemas de Gestión de Calidad certificado por IRCA, Certified Business Continuity Professional (CBCP) y experimentado consultor, formador y autor de libros.
Para más información, contactar con alexander@eficienciagerencial.com.
ISACA denuncia un fraude en Internet
13/May/2006
13/May/2006
ISACA denuncia un fraude que se ha producido en Internet, donde la página www.cisaca.org se ha anunciado como sitio oficial de inscripción a los exámenes oficiales de CISA del próximo mes de Junio y ha vendido material de preparación para los mismos.
ISACA avisa que no tiene ninguna relación con dicha organización y que cualquier registro realizado con ella no es válido ni da derecho a devolución alguna de dinero por su parte.
Para más información, ver Alerta fraude ISACA.
ISACA avisa que no tiene ninguna relación con dicha organización y que cualquier registro realizado con ella no es válido ni da derecho a devolución alguna de dinero por su parte.
Para más información, ver Alerta fraude ISACA.
Alberto G. Alexander publica esta semana en ISO27000.es un nuevo artículo de interés:
- "Análisis del Riesgo de la Información: Un Caso en la Banca "
Alberto Alexander es Ph.D. por la University of Kansas, licenciado en administración por la Universidad de Lima, auditor de Sistemas de Gestión de Seguridad de la Información y auditor líder en Sistemas de Gestión de Calidad certificado por IRCA, Certified Business Continuity Professional (CBCP) y tiene amplia experiencia como consultor internacional en Sistemas de Gestión de Seguridad de Información y Gestión de Calidad. Es, además, director del Centro para la Excelencia Empresarial , dependiente de la escuela de negocios Centrum Católica de la Pontificia Universidad Católica del Perú.
En Caracas, Venezuela Alberto Alexander dictará entre el 13 al 16 de Junio a través del organismo normalizador venezolano (FONDONORMA) el curso "Formación de Auditores en Sistemas de Gestión de Seguridad de Información".
En Lima, Perú el 5 y 6 de Julio dictará el curso "Implantación de un Sistema de Seguridad de Información: ISO 27001:2005".
Visite nuestras secciones de Artículos y Eventos.
- "Análisis del Riesgo de la Información: Un Caso en la Banca "
Alberto Alexander es Ph.D. por la University of Kansas, licenciado en administración por la Universidad de Lima, auditor de Sistemas de Gestión de Seguridad de la Información y auditor líder en Sistemas de Gestión de Calidad certificado por IRCA, Certified Business Continuity Professional (CBCP) y tiene amplia experiencia como consultor internacional en Sistemas de Gestión de Seguridad de Información y Gestión de Calidad. Es, además, director del Centro para la Excelencia Empresarial , dependiente de la escuela de negocios Centrum Católica de la Pontificia Universidad Católica del Perú.
En Caracas, Venezuela Alberto Alexander dictará entre el 13 al 16 de Junio a través del organismo normalizador venezolano (FONDONORMA) el curso "Formación de Auditores en Sistemas de Gestión de Seguridad de Información".
En Lima, Perú el 5 y 6 de Julio dictará el curso "Implantación de un Sistema de Seguridad de Información: ISO 27001:2005".
Visite nuestras secciones de Artículos y Eventos.
La auditoría de Tecnologías de la Información en una organización es una tarea compleja que requiere del auditor muchos conocimientos y habilidades. Este artículo, traducido del original por ISO27000.es, da consejos a aquellos que se inician en esta actividad.
Lakshmana Rao Vemuri, CISA y consultor sénior de seguridad en Paladion Networks (India), ha autorizado a www.iso27000.es la traducción de su interesante artículo “Preparándose para la Auditoría de Seguridad — Recomendaciones para Auditores de TI Principiantes”, publicado originalmente en ITAudit, Vol. 9, 10 de Abril de 2006 por The Institute of Internal Auditors Inc., www.theiia.org/itaudit
Lakshmana Rao Vemuri es CISA (Certified Information Systems Auditor, por ISACA) y consultor sénior de seguridad en Paladion Networks (India). Previamente a su actividad como consultor de seguridad, fue Director de TI de un banco del sector público en la India. Trabaja en el sector bancario desde hace 23 años y es miembro colegiado del Indian Institute of Bankers. También es profesor invitado en el Institute of Chartered Accountants of India (Instituto de Censores Jurados de Cuentas de la India) en el Programa de Auditoría de Sistemas de Información.
Originally published in ITAudit, Vol. 9, April 10, 2006, published by The Institute of Internal Auditors Inc.,www.theiia.org/itaudi
Visite nuestra sección de Artículos
Lakshmana Rao Vemuri, CISA y consultor sénior de seguridad en Paladion Networks (India), ha autorizado a www.iso27000.es la traducción de su interesante artículo “Preparándose para la Auditoría de Seguridad — Recomendaciones para Auditores de TI Principiantes”, publicado originalmente en ITAudit, Vol. 9, 10 de Abril de 2006 por The Institute of Internal Auditors Inc., www.theiia.org/itaudit
Lakshmana Rao Vemuri es CISA (Certified Information Systems Auditor, por ISACA) y consultor sénior de seguridad en Paladion Networks (India). Previamente a su actividad como consultor de seguridad, fue Director de TI de un banco del sector público en la India. Trabaja en el sector bancario desde hace 23 años y es miembro colegiado del Indian Institute of Bankers. También es profesor invitado en el Institute of Chartered Accountants of India (Instituto de Censores Jurados de Cuentas de la India) en el Programa de Auditoría de Sistemas de Información.
Originally published in ITAudit, Vol. 9, April 10, 2006, published by The Institute of Internal Auditors Inc.,www.theiia.org/itaudi
Visite nuestra sección de Artículos
Contenidos: Nueva edición de IRCA ezine INFORM
07/May/2006
07/May/2006
10 publicación de la revista trimestral en inglés de IRCA y que incluye un interesante artículo de Alan Calder y Steve Watkins sobre ISO 27001.
Visite nuestra sección de Boletines
Desde hace algunos años, las actividades cotidianas de las autoridades de protección de datos conllevan de manera recurrente una dimensión internacional.
En particular, para algunas autoridades de protección de datos a las que pertenece la CNIL (Comisión Nacional de Informática y Libertades de Francia), esto consiste especialmente en garantizar la aplicación de normas específicas relativas a las transferencias internacionales de datos, tal como se derivan, entre otros, de la Directiva 95/46/CE, de 24 de octubre de 1995, o del Protocolo adicional al Convenio 108.
Georges de la Loyère, Miembro de la Comisión Nacional de Informática y Libertades (CNIL), Francia, publica un interesante artículo en datospersonales.org
Visite nuestra sección de Boletines
En particular, para algunas autoridades de protección de datos a las que pertenece la CNIL (Comisión Nacional de Informática y Libertades de Francia), esto consiste especialmente en garantizar la aplicación de normas específicas relativas a las transferencias internacionales de datos, tal como se derivan, entre otros, de la Directiva 95/46/CE, de 24 de octubre de 1995, o del Protocolo adicional al Convenio 108.
Georges de la Loyère, Miembro de la Comisión Nacional de Informática y Libertades (CNIL), Francia, publica un interesante artículo en datospersonales.org
Visite nuestra sección de Boletines
Expertos de primer nivel compartieron con los asistentes al b: Secure Conference 2006 sus experiencias sobre la gestión efectiva de la seguridad, el rol del CSO y lo último sobre auditorias, alineación, phishing y RFID.
Visite nuestra sección de Boletines
Visite nuestra sección de Boletines
DTI Information Security Breaches Survey 2006
07/May/2006
07/May/2006
PricewaterhouseCoopers en nombre del Departamento de comercio e industria del Reino Unido (UK Department of Trade and Industry, DTI) ha puesto recientemente a disposición los resultados de las encuestas a empresas y que son la fuente principal de información en incidentes de seguridad sufridos por compañías tanto grandes como pequeñas en el Reino Unido.
Información completa con los resultados en: PricewaterhouseCoopers o DTI
Información completa con los resultados en: PricewaterhouseCoopers o DTI
Especial Seguridad en Computerworld
07/May/2006
07/May/2006
07 Mayo de 2006.
Contents of the Special Report
The Business of Security
Editor's Note: Savvy IT leaders are taking a more business-like approach to security. They're using cost/benefit analyses, dashboards and data-classification schemes to match investments to the biggest risks, writes Mitch Betts.
Risk-Based Security Model
The risk-based security model directs a company's spending to where damage from a breach would cause the most financial harm.
The Big Picture: Security Dashboards
Security dashboards cut down the monitoring workload, isolate threats earlier and reduce downtime by discovering configuration errors.
Avoiding Security Spending Fatigue
No matter how much money you pour into security, you'll always find yourself needing to go back to the well. Here's how CIOs keep the flame hot under security.
Securing Data with Classification Schemes
A new breed of data-classification tools could help set policies and access controls on sensitive information buried in unruly, unstructured data sets.
Employee Security Training: Beyond Posters
Employees need more than a tip sheet to hang on their cubicle walls. Here are some new ways companies are training their employees to take security seriously.
Explainer: Security standards and frameworks
Like pieces of a puzzle, frameworks Cobit, ISO 27001, ITIL and SAS 70 offer guidelines for improving particular elements of security.
Skills: Chief Risk Officer
Chief risk officers act as the linchpins for enterprise risk management. According to Forrester Research, by next year, three quarters of large, critical-infrastructure organizations will have a CRO or equivalent role.
QuickStudy: Computer forensics
Computer forensics is the application of specialized investigative and analytic techniques to identify, collect, examine and preserve data from computer systems or networks so that it may serve as evidence in a court of law. More narrowly, the term applies to the process of finding digital evidence after a computer security incident has occurred.
Personal memory device security leaks
With so much on the line, many CIOs are enacting tough security policies for their employees' personal memory devices.
No Silver Bullet
Opinion: Risk is an inherent part of business, says columnist Mark Hall. The biggest security mistake that you can make is putting all of your eggs in one basket.
Online Exclusive
IT Management Survey: Security
Technologies may rise and fall, systems may be upgraded, and job responsibilities may expand, but there's one thing that remains the same: Dealing with security threats. The following report details the security challenges IT managers like you are facing, and what they are doing to protect their systems. Included in the survey are data on the use of classification schemes, encryption, device restrictions, third-party auditors, chief risk officers, budgets, and technologies used to boost enterprise security. It's based on a 2006 Computerworld survey of more than 500 IT professionals.
Online Exclusive
Biometric Authentication: Sci-Fi Security Enters Mainstream IT
Biometric authentication is widely regarded as the most foolproof of authentication systems. It's been used to protect everything from data on laptops to Olympic facilities, and is set to take off in enterprise environments as organizations demand stronger authentication than what password and card systems can offer. This webcast will give an overview of biometrics, and some of the key issues IT professionals should be aware of when evaluating biometric technologies.
Contents of the Special Report
The Business of Security
Editor's Note: Savvy IT leaders are taking a more business-like approach to security. They're using cost/benefit analyses, dashboards and data-classification schemes to match investments to the biggest risks, writes Mitch Betts.
Risk-Based Security Model
The risk-based security model directs a company's spending to where damage from a breach would cause the most financial harm.
The Big Picture: Security Dashboards
Security dashboards cut down the monitoring workload, isolate threats earlier and reduce downtime by discovering configuration errors.
Avoiding Security Spending Fatigue
No matter how much money you pour into security, you'll always find yourself needing to go back to the well. Here's how CIOs keep the flame hot under security.
Securing Data with Classification Schemes
A new breed of data-classification tools could help set policies and access controls on sensitive information buried in unruly, unstructured data sets.
Employee Security Training: Beyond Posters
Employees need more than a tip sheet to hang on their cubicle walls. Here are some new ways companies are training their employees to take security seriously.
Explainer: Security standards and frameworks
Like pieces of a puzzle, frameworks Cobit, ISO 27001, ITIL and SAS 70 offer guidelines for improving particular elements of security.
Skills: Chief Risk Officer
Chief risk officers act as the linchpins for enterprise risk management. According to Forrester Research, by next year, three quarters of large, critical-infrastructure organizations will have a CRO or equivalent role.
QuickStudy: Computer forensics
Computer forensics is the application of specialized investigative and analytic techniques to identify, collect, examine and preserve data from computer systems or networks so that it may serve as evidence in a court of law. More narrowly, the term applies to the process of finding digital evidence after a computer security incident has occurred.
Personal memory device security leaks
With so much on the line, many CIOs are enacting tough security policies for their employees' personal memory devices.
No Silver Bullet
Opinion: Risk is an inherent part of business, says columnist Mark Hall. The biggest security mistake that you can make is putting all of your eggs in one basket.
Online Exclusive
IT Management Survey: Security
Technologies may rise and fall, systems may be upgraded, and job responsibilities may expand, but there's one thing that remains the same: Dealing with security threats. The following report details the security challenges IT managers like you are facing, and what they are doing to protect their systems. Included in the survey are data on the use of classification schemes, encryption, device restrictions, third-party auditors, chief risk officers, budgets, and technologies used to boost enterprise security. It's based on a 2006 Computerworld survey of more than 500 IT professionals.
Online Exclusive
Biometric Authentication: Sci-Fi Security Enters Mainstream IT
Biometric authentication is widely regarded as the most foolproof of authentication systems. It's been used to protect everything from data on laptops to Olympic facilities, and is set to take off in enterprise environments as organizations demand stronger authentication than what password and card systems can offer. This webcast will give an overview of biometrics, and some of the key issues IT professionals should be aware of when evaluating biometric technologies.
La cooperación digital en debate
07/May/2006
07/May/2006
El IV Foro Ministerial Unión Europea - América Latina y el Caribe sobre la Sociedad de la Información se clausuró el 29 de abril en Lisboa, con una declaración que señala la voluntad mutua de dar continuación a la cooperación en curso entre los dos continentes en materia de tecnologías de la información y la comunicación (TIC), pero evita comprometer nuevos recursos.
Artículo e Información completa en: Alfa-Redi
Artículo e Información completa en: Alfa-Redi
El National Institute of Standards and Technology ha hecho público el borrador de su Special Publication 800-80 titulado Guide for Developing Performance Metrics for Information Security.
NIST invita al público en general a la aportación de sus comentarios sobre la guía, la cual proporciona una metodología que enlaza las actuaciones del programa de seguridad de la información a las de la propia agencia. Es una guía que acompaña a SP 800-55, titulada Security Metrics for Information Technology Systems y que utiliza controles de seguridad explicados en la tercera publicación de NIST, SP 800-53 Recommended Security Controls for Federal Information Systems.
Las publicaciones pretenden ayudar a las agencias a cumplir con los imperativos gubernamentales, incluida el acta Federal Information Security management Act y President’s Management Agenda. Ofrecen modelos y métricas de referencia para facilitar la implantación de cada una de las 17 familias de control identificadas en SP 800-53. El objetivo es proporcionar a las agencias el nivel adecuado de protección de los sistemas TI, con el reconocimiento de la seguridad de la información como una función de negocio esencial.
La guía describe el proceso de desarrollo de métricas para la mejora de la seguridad de la información como un proceso ligado a la implantación, efectividad y eficacia de los controles de seguridad de la información y con objeto de procurar el éxito de la agencia en sus actividades críticas”, declaró NIST.
Comentarios sobre el borrador pueden ser enviados a 800-80comments@nist.gov
Artículo publicado en: CGN
NIST invita al público en general a la aportación de sus comentarios sobre la guía, la cual proporciona una metodología que enlaza las actuaciones del programa de seguridad de la información a las de la propia agencia. Es una guía que acompaña a SP 800-55, titulada Security Metrics for Information Technology Systems y que utiliza controles de seguridad explicados en la tercera publicación de NIST, SP 800-53 Recommended Security Controls for Federal Information Systems.
Las publicaciones pretenden ayudar a las agencias a cumplir con los imperativos gubernamentales, incluida el acta Federal Information Security management Act y President’s Management Agenda. Ofrecen modelos y métricas de referencia para facilitar la implantación de cada una de las 17 familias de control identificadas en SP 800-53. El objetivo es proporcionar a las agencias el nivel adecuado de protección de los sistemas TI, con el reconocimiento de la seguridad de la información como una función de negocio esencial.
La guía describe el proceso de desarrollo de métricas para la mejora de la seguridad de la información como un proceso ligado a la implantación, efectividad y eficacia de los controles de seguridad de la información y con objeto de procurar el éxito de la agencia en sus actividades críticas”, declaró NIST.
Comentarios sobre el borrador pueden ser enviados a 800-80comments@nist.gov
Artículo publicado en: CGN
Las compañías deben prestar atención a cómo protegen sus datos, declara Harriet Pearson.
Las leyes de notificación de infracciones y la creciente globalización de las operaciones de negocio están forzando a las compañías ameritas a prestar más atención a los riesgos asociados con la retención de datos sensibles de carácter personal que estén bajo su control, de acuerdo con Harriet P.Pearson, vicepresidente de asuntos corporativos y principal oficial para la privacidad de IBM. Minimizar éstos riesgos es un reto que requiere de un esfuerzo real multidisciplinar que comprende la seguridad, la tecnología, legalidad, auditoría y marketing de las organizaciones.
En una entrevista con Computerworld, Pearson (responsable de las guías para la recopilación de datos y uso de políticas en IBM) habló sobre algunos de esos retos.
Entrevista disponible en Computerworld
Las leyes de notificación de infracciones y la creciente globalización de las operaciones de negocio están forzando a las compañías ameritas a prestar más atención a los riesgos asociados con la retención de datos sensibles de carácter personal que estén bajo su control, de acuerdo con Harriet P.Pearson, vicepresidente de asuntos corporativos y principal oficial para la privacidad de IBM. Minimizar éstos riesgos es un reto que requiere de un esfuerzo real multidisciplinar que comprende la seguridad, la tecnología, legalidad, auditoría y marketing de las organizaciones.
En una entrevista con Computerworld, Pearson (responsable de las guías para la recopilación de datos y uso de políticas en IBM) habló sobre algunos de esos retos.
Entrevista disponible en Computerworld
Documento sobre seguridad en VoIP
07/May/2006
07/May/2006
Las comunicaciones de voz sobre el protocolo IP prometen ser la nueva generación de las telecomunicaciones, permitiendo llamadas que ahorran dinero y ofrecen ventajas adicionales y mayor productividad. Todos éstos beneficios se cobran un precio, el de la vulnerabilidad. Es fácil atacar y explotar una red de voz y datos y VoIP necesitará de medidas de seguridad adicionales a los habituales de una red de ordenadores.
Artículo e Información completa en formato .pdf: Infosecwriters
Artículo e Información completa en formato .pdf: Infosecwriters
Katrina provoca una tormenta de datos
07/May/2006
07/May/2006
De todas las consecuencias inesperadas del huracán Katrina, pocos podían esperar la tormenta que ha provocado el debate sobre el uso y abuso de la información personal.
En el azote de la tormenta, el interés de las personas que buscaban a familiares o refugiados provocaron una disparatado número de bases de datos, muchas de ellas creadas de forma provisional y otras cuantas de origen oficial.
La importancia del tratamiento de los datos ante una catástrofe de éste tipo y sus polémicas consecuencias desde distintos puntos de vista en Wired News.
En el azote de la tormenta, el interés de las personas que buscaban a familiares o refugiados provocaron una disparatado número de bases de datos, muchas de ellas creadas de forma provisional y otras cuantas de origen oficial.
La importancia del tratamiento de los datos ante una catástrofe de éste tipo y sus polémicas consecuencias desde distintos puntos de vista en Wired News.
Enfrentados a un descenso en los desembolsos en seguridad y la crítica abierta de los informes de seguridad por la ejecutiva, los directivos relacionados con la seguridad necesitan mejorar el nivel de sus informes.
¿Cuál es el valor de los informes en seguridad que generan? La mayoría de los ejecutivos responden a la pregunta, “no muy alto”.
Uno de cada cuatro ejecutivos está insatisfecho con los informes de seguridad que recibe y esto es debido en gran medida producido porque no ven el tipo de información que ellos quieren. Para evitar esto, los directivos de seguridad deberían proporcionar información en un contexto que haga que la información sea relevante y útil para la toma de decisiones y evaluación.
Los directivos de seguridad necesitan posicionar la información en el contexto de la política de riesgos, el cumplimiento de las políticas y los principios de negocio relacionados.
Artículo e Información completa en: Enterprise Systems
¿Cuál es el valor de los informes en seguridad que generan? La mayoría de los ejecutivos responden a la pregunta, “no muy alto”.
Uno de cada cuatro ejecutivos está insatisfecho con los informes de seguridad que recibe y esto es debido en gran medida producido porque no ven el tipo de información que ellos quieren. Para evitar esto, los directivos de seguridad deberían proporcionar información en un contexto que haga que la información sea relevante y útil para la toma de decisiones y evaluación.
Los directivos de seguridad necesitan posicionar la información en el contexto de la política de riesgos, el cumplimiento de las políticas y los principios de negocio relacionados.
Artículo e Información completa en: Enterprise Systems
Cuando la ‘solución’ es peor que el problema
07/May/2006
07/May/2006
Sancionar al personal de seguridad no soluciona nada (tampoco los agujeros).
Una escena sacada del mundo corporativo: llega la hora de exponer la síntesis de los resultados de las pruebas de seguridad de las aplicaciones o de la red y el asesor (un examinador o quizás un consultor independiente) comunica que existen vulnerabilidades de seguridad no parcheadas. Tras un incómodo silencio en sala de reuniones, alguien del equipo dice silenciosamente que es terrible, sencillamente terrible. ¿Está el equipo de la corporación inquieta por el riesgo de pérdida de datos?, ¿pillados por un hacker?. No, es una mala noticia porque el equipo perderá su bonificación o quizás incluso serán penalizados si el grupo que ha sido contratado detecta errores o alguna vulnerabilidad.
Inevitablemente, se genera una necesidad de cambio del informe (bien redefiniendo los términos para ocultar el riesgo entre los valores más bajos o priorizando las vulnerabilidades para que nadie las califique de riesgo inminente). A veces, la respuesta pasa por ser incluso hostil hacia el consultor externo, presentando los hallazgos como falsos y al consultor externo como un incompetente o que utiliza métodos inusuales e incompatibles con la gestión de riesgos de la organización.
Este tipo de comportamientos es pueril y la solución depende de la organización, pero el principio es claro: No disparar al mensajero. Al contrario, los directivos de TI deberían prestar atención a las malas noticias que vienen acompañadas de información útil para solucionar el problema y recompensar la honestidad manifiesta.
Artículo e Información completa en: Computerworld
Una escena sacada del mundo corporativo: llega la hora de exponer la síntesis de los resultados de las pruebas de seguridad de las aplicaciones o de la red y el asesor (un examinador o quizás un consultor independiente) comunica que existen vulnerabilidades de seguridad no parcheadas. Tras un incómodo silencio en sala de reuniones, alguien del equipo dice silenciosamente que es terrible, sencillamente terrible. ¿Está el equipo de la corporación inquieta por el riesgo de pérdida de datos?, ¿pillados por un hacker?. No, es una mala noticia porque el equipo perderá su bonificación o quizás incluso serán penalizados si el grupo que ha sido contratado detecta errores o alguna vulnerabilidad.
Inevitablemente, se genera una necesidad de cambio del informe (bien redefiniendo los términos para ocultar el riesgo entre los valores más bajos o priorizando las vulnerabilidades para que nadie las califique de riesgo inminente). A veces, la respuesta pasa por ser incluso hostil hacia el consultor externo, presentando los hallazgos como falsos y al consultor externo como un incompetente o que utiliza métodos inusuales e incompatibles con la gestión de riesgos de la organización.
Este tipo de comportamientos es pueril y la solución depende de la organización, pero el principio es claro: No disparar al mensajero. Al contrario, los directivos de TI deberían prestar atención a las malas noticias que vienen acompañadas de información útil para solucionar el problema y recompensar la honestidad manifiesta.
Artículo e Información completa en: Computerworld
Examinando ITIL como marco de seguridad
07/May/2006
07/May/2006
Muchas empresas han mostrado un interés creciente en la mejora de la gestión de sus procesos y en el uso de las guías que ofrece ITIL (IT Infrastructure Library).
Pros y contras son analizados por Chris Byrnes, CISM por ISACA y 10 años vicepresidente y director de servicios de META Group en la siguiente entrevista de audio ofrecida por Dale Kutnick, vicepresidente de Gartner y CEO de META.
Información completa sobre el audio en: Gartner Voice
Descarga directa del audio en: Download MP3 (9:04 7.62MB)
Pros y contras son analizados por Chris Byrnes, CISM por ISACA y 10 años vicepresidente y director de servicios de META Group en la siguiente entrevista de audio ofrecida por Dale Kutnick, vicepresidente de Gartner y CEO de META.
Información completa sobre el audio en: Gartner Voice
Descarga directa del audio en: Download MP3 (9:04 7.62MB)
La compañía de seguros médicos Aetna Inc., declaró el robo del ordenador portátil del coche de uno de sus empleados y que contenía información personal (nombres, direcciones y números de la seguridad social) de 38.000 afiliados.
Los afiliados son empleados de dos compañías clientes de Aetna, que prefieren mantener el anonimato hasta que sus empleados hayan recibido directamente la notificación.
El coche fue forzado en un aparcamiento público y la compañía ha ofrecido el pago de los costes derivados de los servicios de supervisión de los afectados como ayuda preventiva a un mal uso potencial de la información.
Aetna lamenta profundamente el incidente y ha presentado sus disculpas a sus afiliados. Así mismo, declara que está aumentando sus esfuerzos para garantizar el cumplimiento por parte de los empleados de todos sus requisitos en seguridad y declaró que, el empleado “no siguió nuestras políticas corporativas, unido al robo delictivo”.
Cynthia Michener, portavoz de Aetna, se negó a declarar si el empleado aún trabaja para la compañía.
Fuente e Información completa: Reuters
Los afiliados son empleados de dos compañías clientes de Aetna, que prefieren mantener el anonimato hasta que sus empleados hayan recibido directamente la notificación.
El coche fue forzado en un aparcamiento público y la compañía ha ofrecido el pago de los costes derivados de los servicios de supervisión de los afectados como ayuda preventiva a un mal uso potencial de la información.
Aetna lamenta profundamente el incidente y ha presentado sus disculpas a sus afiliados. Así mismo, declara que está aumentando sus esfuerzos para garantizar el cumplimiento por parte de los empleados de todos sus requisitos en seguridad y declaró que, el empleado “no siguió nuestras políticas corporativas, unido al robo delictivo”.
Cynthia Michener, portavoz de Aetna, se negó a declarar si el empleado aún trabaja para la compañía.
Fuente e Información completa: Reuters
IDA lanzó el primer estándar del mundo para la continuidad de negocio y recuperación de desastres en diciembre de 2004. El estándar SS507 forma parte del plan para mitigar el impacto adverso en caso de ocurrir cualquier interrupción catastrófica de las operaciones de negocio.
Más allá del lanzamiento del estándar en Singapur, ha sido aceptado por ISO como base para el desarrollo de un estándar internacional en éste campo y guarda relación directa con la cláusula 14 de ISO/IEC 17799 para la continuidad de negocio.
Entrevista disponible en itbusinessedge
Programa de desarrollo con la propuesta y plan de fechas del estándar ISO disponible en JTC001-N-7780
Más allá del lanzamiento del estándar en Singapur, ha sido aceptado por ISO como base para el desarrollo de un estándar internacional en éste campo y guarda relación directa con la cláusula 14 de ISO/IEC 17799 para la continuidad de negocio.
Entrevista disponible en itbusinessedge
Programa de desarrollo con la propuesta y plan de fechas del estándar ISO disponible en JTC001-N-7780
“…y el esfuerzo puede merecer la pena cuando la demanda de especialistas eleve los salarios”. ComputerWeekly.com pone a disposición el enlace a un artículo de John Kavanagh que recoge distintas opiniones y aspectos de la formación profesional y futuro en el campo de la seguridad TI.
Fuente e Información completa: ComputerWeekly
Fuente e Información completa: ComputerWeekly
Comienza InfoSeCon 2006
07/May/2006
07/May/2006
Se inicia en la ciudad de Dubrovnik durante los próximos 8, 9 y 10 de Mayo la edición 2006 de InfoSeCon, que ofrece la oportunidad de asistir a las conferencias, workshops y presentaciones realizadas por una variada representación de profesionales de reconocida reputación mundial:
John Sherwood, Marcus J. Ranum, Eugene Kaspersky, Vince Gallo, Richard B. Neely, David J. Bianco, Ingrid Hagen, Mario Žgela, Ron Collette, Renato Burazer, Mike Gentile, Andrew Townley, Alan Calder, Jorge Sebastiao, Steven Cox, Radovan Semancik.
Para más detalles sobre el programa: Infosecon
John Sherwood, Marcus J. Ranum, Eugene Kaspersky, Vince Gallo, Richard B. Neely, David J. Bianco, Ingrid Hagen, Mario Žgela, Ron Collette, Renato Burazer, Mike Gentile, Andrew Townley, Alan Calder, Jorge Sebastiao, Steven Cox, Radovan Semancik.
Para más detalles sobre el programa: Infosecon
Alberto G. Alexander publica esta semana en ISO27000.es dos interesantes artículos:
"Implantación del ISO 27001:2005. Sistema de Gestión de Seguridad de Información"
"Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005"
Alberto Alexander es Ph.D. por la University of Kansas, licenciado en administración por la Universidad de Lima, auditor de Sistemas de Gestión de Seguridad de la Información y auditor líder en Sistemas de Gestión de Calidad certificado por IRCA, Certified Business Continuity Professional (CBCP) y tiene amplia experiencia como consultor internacional en Sistemas de Gestión de Seguridad de Información y Gestión de Calidad. Es, además, director del Centro para la Excelencia Empresarial, dependiente de la escuela de negocios Centrum Católica de la Pontificia Universidad Católica del Perú.
Visite nuestra sección de Artículos.
"Implantación del ISO 27001:2005. Sistema de Gestión de Seguridad de Información"
"Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005"
Alberto Alexander es Ph.D. por la University of Kansas, licenciado en administración por la Universidad de Lima, auditor de Sistemas de Gestión de Seguridad de la Información y auditor líder en Sistemas de Gestión de Calidad certificado por IRCA, Certified Business Continuity Professional (CBCP) y tiene amplia experiencia como consultor internacional en Sistemas de Gestión de Seguridad de Información y Gestión de Calidad. Es, además, director del Centro para la Excelencia Empresarial, dependiente de la escuela de negocios Centrum Católica de la Pontificia Universidad Católica del Perú.
Visite nuestra sección de Artículos.
La implantación de ISO 27001 puede convertirse en una ardua tarea. Definir el ámbito de la implantación, así como el tiempo y esfuerzos requeridos, puede ayudar a las organizaciones a diseñar un proceso TI de conformidad más efectivo.
KK Mookhey, que ha trabajado en proyectos de investigación para ISACA y ha publicado varios artículos y recomendaciones, ha autorizado a www.iso27000.es a traducir su interesante caso de estudio "Estrategias clave para la implantación de ISO 27001". KK Mookhey ha liderado equipos en numerosas auditorías de seguridad y labores de implantación y ha formado a personal de firmas financieras del Big Four y compañías del Fortune 500 en asuntos relacionados con la seguridad TI.
Khushbu Jithra, coautora del artículo, ha participado en proyectos de documentación para la seguridad de la información para NII y ayuda en la dirección de investigaciones en seguridad para la organización. Además, diseña y revisa las propuestas comerciales e informes de consultoría en seguridad, especialmente aquellas relacionadas con tests de penetración, evaluación de vulnerabilidades, ISO 27001 y auditorías de seguridad.
KK Mookhey es fundador y consultor principal de Network Intelligence India (NII) (http://www.niiconsulting.com/) y el artículo fue inicialmente publicado en ITAudit, Vol 9, Febrero 10,2006, publicado por The Institute of Internal Auditors Inc., www.theiia.org/itaudit.
[Originally published in ITAudit, Vol. 9, February 10, 2006, published by The Institute of Internal Auditors Inc., www.theiia.org/itaudit.]
Visite nuestra sección de Artículos.
KK Mookhey, que ha trabajado en proyectos de investigación para ISACA y ha publicado varios artículos y recomendaciones, ha autorizado a www.iso27000.es a traducir su interesante caso de estudio "Estrategias clave para la implantación de ISO 27001". KK Mookhey ha liderado equipos en numerosas auditorías de seguridad y labores de implantación y ha formado a personal de firmas financieras del Big Four y compañías del Fortune 500 en asuntos relacionados con la seguridad TI.
Khushbu Jithra, coautora del artículo, ha participado en proyectos de documentación para la seguridad de la información para NII y ayuda en la dirección de investigaciones en seguridad para la organización. Además, diseña y revisa las propuestas comerciales e informes de consultoría en seguridad, especialmente aquellas relacionadas con tests de penetración, evaluación de vulnerabilidades, ISO 27001 y auditorías de seguridad.
KK Mookhey es fundador y consultor principal de Network Intelligence India (NII) (http://www.niiconsulting.com/) y el artículo fue inicialmente publicado en ITAudit, Vol 9, Febrero 10,2006, publicado por The Institute of Internal Auditors Inc., www.theiia.org/itaudit.
[Originally published in ITAudit, Vol. 9, February 10, 2006, published by The Institute of Internal Auditors Inc., www.theiia.org/itaudit.]
Visite nuestra sección de Artículos.
Microsoft ofrece mucha información en sus páginas web relativas a seguridad. Dos enlaces en concreto están muy relacionados con las buenas prácticas de seguridad de la información y la ISO17799.
Uno de ellos es http://www.microsoft.com/spain/technet/seguridad/recursos/default.mspx, donde, además de otros recursos de seguridad (videos, bibliografía, foros...), se lista un largo número de procedimientos y buenas prácticas de seguridad para productos Microsoft. Estas recomendaciones y recursos de consulta resultan muy útiles especialmente para administradores de sistemas.
Otro enlace muy interesante es un webcast titulado "Cómo securizar sistemas servidor Microsoft apoyándonos en la norma ISO 17799". En este evento, grabado en Julio de 2004, Olof Sandström (responsable de Applus) y Fernando Parrondo (Microsoft) presentan diversos controles de la ISO17799 y su implementación práctica en sistemas operativos Windows. Es necesario el registro previo para poder acceder.
Uno de ellos es http://www.microsoft.com/spain/technet/seguridad/recursos/default.mspx, donde, además de otros recursos de seguridad (videos, bibliografía, foros...), se lista un largo número de procedimientos y buenas prácticas de seguridad para productos Microsoft. Estas recomendaciones y recursos de consulta resultan muy útiles especialmente para administradores de sistemas.
Otro enlace muy interesante es un webcast titulado "Cómo securizar sistemas servidor Microsoft apoyándonos en la norma ISO 17799". En este evento, grabado en Julio de 2004, Olof Sandström (responsable de Applus) y Fernando Parrondo (Microsoft) presentan diversos controles de la ISO17799 y su implementación práctica en sistemas operativos Windows. Es necesario el registro previo para poder acceder.
Los próximos 4, 5 y 6 de Junio tendrá lugar en el Auditorio de Zaragoza (España) el primer Congreso Iberoamericano Bitácoras y Derecho. Tres son sus objetivos, según los organizadores:
La definición de la naturaleza jurídica de las bitácoras digitales a partir del estudio y debate de los aspectos jurídicos que les afectan; tales como la privacidad y transferencia internacional de datos personales y la puesta a disposición de los contenidos digitales.
El análisis de la relevancia de las bitácoras digitales como instrumento al servicio de la administración electrónica, la ecognocracia y la sociedad civil.
Redacción de la Declaración de Zaragoza como punto de partida de un foro permanente en torno al Derecho de Internet desde la perspectiva del Civil Law.
Para más detalles e inscripciones: BitacorasyDerecho.com.
La definición de la naturaleza jurídica de las bitácoras digitales a partir del estudio y debate de los aspectos jurídicos que les afectan; tales como la privacidad y transferencia internacional de datos personales y la puesta a disposición de los contenidos digitales.
El análisis de la relevancia de las bitácoras digitales como instrumento al servicio de la administración electrónica, la ecognocracia y la sociedad civil.
Redacción de la Declaración de Zaragoza como punto de partida de un foro permanente en torno al Derecho de Internet desde la perspectiva del Civil Law.
Para más detalles e inscripciones: BitacorasyDerecho.com.
La Comisión Latinoamericana de Productividad y Medio Ambiente (CLAPAM) organiza en Quito (Ecuador) el 17 y 18 de Mayo el seminario "Plan de Continuidad de Negocio" (Business Continuity Plan) y el 19 y 20 de Mayo el curso "Cómo implantar un sistema de gestión de seguridad de la información".
Ambos cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas, auditor certificado IRCA de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información y Certified Business Continuity Professional (CBCP).
Para más detalles e inscripciones: Quito-SGSI, Quito-BCP.
Ambos cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas, auditor certificado IRCA de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información y Certified Business Continuity Professional (CBCP).
Para más detalles e inscripciones: Quito-SGSI, Quito-BCP.
En su 11ª edición, la feria Infosecurity Europe logró atraer en Londres del 25 al 27 de Abril pasados a más de 12.000 visitantes, un 12% más que el año anterior. Se trata de la mayor feria europea dedicada a la Seguridad de la Información, con más de 300 expositores y un amplio programa de conferencias. La próxima edición tendrá lugar del 24 al 26 de Abril de 2007 en el mismo lugar (Grand Hall, Olympia, Londres).
Fuente: InfoSecurity Europe.
Fuente: InfoSecurity Europe.
Forosec ofrece una interesante herramienta de autoevaluación de seguridad de la información de forma gratuita (previo registro) en http://autoevaluacion.forosec.com/forosec.
Basándose en controles de la ISO17799, se presenta al usuario un cuestionario sobre procedimientos y técnicas de seguridad de la información en su organización y, en función de las respuestas, ofrece un diagnóstico de la situación, una clasificación en tres niveles según el grado de conformidad con la norma y unas recomendaciones de actuación para cada una de las cuestiones.
Basándose en controles de la ISO17799, se presenta al usuario un cuestionario sobre procedimientos y técnicas de seguridad de la información en su organización y, en función de las respuestas, ofrece un diagnóstico de la situación, una clasificación en tres niveles según el grado de conformidad con la norma y unas recomendaciones de actuación para cada una de las cuestiones.
BSI (British Standards Institution) ofrece un paquete de tres estándares de seguridad de la información en inglés formado por ISO 17799:2005, ISO 27001:2005 y la nueva norma BS7799-3 (gestión del riesgo de la seguridad de la información).
Está disponible por 216 libras esterlinas en BSI.
Está disponible por 216 libras esterlinas en BSI.
Durante los próximos 16 y 17 de Mayo tendrá lugar en Madrid la 18ª reunión plenaria del subcomité ISO/IEC JTC 1 SC 27. Este subcomité es el dedicado a técnicas de seguridad IT y es responsable, entre otros muchos estándares, de la serie ISO27000 y de la ISO17799. Esta reunión estará precedida de las reuniones de los diferentes grupos de trabajo a partir del 8 de Mayo.
Fuente: ISO/IEC JTC 1 SC 27.
Fuente: ISO/IEC JTC 1 SC 27.
Entre el 22 de Mayo y el 8 de Junio de 2006, AENOR organiza en Madrid los siguientes cursos:
"S-01 FUNDAMENTOS DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN ISO17799", 22 de Mayo.
"S-02 CÓMO IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN", 23-24 de Mayo.
"S-03 TALLER PRÁCTICO DE ANÁLISIS Y GESTIÓN DE RIESGOS DE LA INFORMACIÓN", 25-26 de Mayo.
"S-04 ASPECTOS JURÍDICOS DE LA SEGURIDAD DE LA INFORMACIÓN", 29 de Mayo.
"S-06 IMPLANTACIÓN PRÁCTICA DE LA LOPD", 30 de Mayo.
"S-07 MÉTRICAS DE INDICADORES EN SEGURIDAD DE LA INFORMACIÓN", 31 de Mayo.
"S-08 CONCIENCIACIÓN Y COMUNICACIÓN EN SEGURIDAD", 1 de Junio.
"S-09 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Y PLANES CONTINGENCIA", 5-6 de Junio.
"S-05 METODOLOGÍA DE AUDITORÍA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN", 7-8 de Junio.
Los cursos S-01, S-02, S-03 y S-09 junto con un examen dan acceso al título de Implantador de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.740 €.
Los cursos S-01, S-02 y S-05 junto con un examen dan acceso al título de Auditor de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.000 €.
Para más detalles e inscripciones: Centro de Formación AENOR.
"S-01 FUNDAMENTOS DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN ISO17799", 22 de Mayo.
"S-02 CÓMO IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN", 23-24 de Mayo.
"S-03 TALLER PRÁCTICO DE ANÁLISIS Y GESTIÓN DE RIESGOS DE LA INFORMACIÓN", 25-26 de Mayo.
"S-04 ASPECTOS JURÍDICOS DE LA SEGURIDAD DE LA INFORMACIÓN", 29 de Mayo.
"S-06 IMPLANTACIÓN PRÁCTICA DE LA LOPD", 30 de Mayo.
"S-07 MÉTRICAS DE INDICADORES EN SEGURIDAD DE LA INFORMACIÓN", 31 de Mayo.
"S-08 CONCIENCIACIÓN Y COMUNICACIÓN EN SEGURIDAD", 1 de Junio.
"S-09 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Y PLANES CONTINGENCIA", 5-6 de Junio.
"S-05 METODOLOGÍA DE AUDITORÍA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN", 7-8 de Junio.
Los cursos S-01, S-02, S-03 y S-09 junto con un examen dan acceso al título de Implantador de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.740 €.
Los cursos S-01, S-02 y S-05 junto con un examen dan acceso al título de Auditor de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.000 €.
Para más detalles e inscripciones: Centro de Formación AENOR.
Contenidos: Nueva edición "Business Standards"
23/April/2006
23/April/2006
http://www.businessstandards.com/
Revista trimestral en inglés publicada por BSI (British Standards Institution) con novedades sobre los estándares.
Visite nuestra sección de Boletines.
Artículo de Introducción a ISO 27001
23/April/2006
23/April/2006
Alfonso Calvo Orra, Licenciado en Informática (UPM) y Auditor Informático Certificado CISM, CISA y Auditor Jefe SGSI publica en la revista "Auditoría y Seguridad" (ver Boletines www.iso27000.es) un interesante artículo de introducción a la norma y a sus tres primeros apartados en esta entrega.
Fuente e información completa: Auditoría y Seguridad
Fuente e información completa: Auditoría y Seguridad
Cybex celebra el IV Seminario de Pruebas Electrónicas el próximo 4 de mayo en el hotel Hesperia Madrid. Este certamen lleva el título de "La Prueba Electrónica como herramienta procesal" y tiene un carácter eminentemente práctico.
Fuente e información completa: Delitos informáticos
Fuente e información completa: Delitos informáticos
La Comisión Europea quiere saber cómo está llevando a cabo España la aplicación en el ordenamiento jurídico español de la directiva sobre derechos de autor. Bruselas ha dado un ultimátum a las autoridades por no informar de los pasos dados para hacerlo, y ha advertido de que en caso de que no corrija la situación en dos meses, le condenará al pago de multas diarias.
El Tribunal de Justicia de la UE ya condeno a España el año pasado por no aplicar esta legislación en el plazo previsto. Desde entonces se ha avanzado en la reforma de la Ley de Propiedad Intelectual (LPI), que deberá recoger dicha directiva y que ya ha superado los primeros trámites parlamentarios.
La reforma de la LPI ha suscitado una gran polémica, que aún está en plena ebullición pese a que el texto ya está en el Senado. Tanto los autores y editores como los detractores del canon digital ofrecen sus argumentos contra una ley con la que muy pocos están contentos.
Fuente e información completa: El Mundo
El Tribunal de Justicia de la UE ya condeno a España el año pasado por no aplicar esta legislación en el plazo previsto. Desde entonces se ha avanzado en la reforma de la Ley de Propiedad Intelectual (LPI), que deberá recoger dicha directiva y que ya ha superado los primeros trámites parlamentarios.
La reforma de la LPI ha suscitado una gran polémica, que aún está en plena ebullición pese a que el texto ya está en el Senado. Tanto los autores y editores como los detractores del canon digital ofrecen sus argumentos contra una ley con la que muy pocos están contentos.
Fuente e información completa: El Mundo
Importante adquisición de BSI Group en Alemania
23/April/2006
23/April/2006
BSI Group ha adquirido la compañía de certificación alemana NIS Zertifizierungs und Umweltgutachter GmbH ("NIS ZERT"), estableciendo una importante presencia en Alemania, uno de los mayores mercados en certificación de Europa.
NIS ZERT, con base en Frankfurt, maneja actualmente una importante participación en el mercado de Alemania, Italia y Turquía con beneficios de 3,5M de Euros anuales, con la expedición de cerca de 3.000 certificados en distintos sectores.
La adquisición garantiza la continuidad de NIS ZERT a sus clientes y proporciona a BSI una plataforma de expansión en países como Austria y Suiza. BSI y NIS ZERT incrementarán de forma conjunta su rendimiento y competitividad en los mercados locales y a escala global, mediante mejoras en el alcance de sus servicios ya establecidos, así como los más recientes como ISO/IEC 27001.
Fuente e información completa: Business Standards
NIS ZERT, con base en Frankfurt, maneja actualmente una importante participación en el mercado de Alemania, Italia y Turquía con beneficios de 3,5M de Euros anuales, con la expedición de cerca de 3.000 certificados en distintos sectores.
La adquisición garantiza la continuidad de NIS ZERT a sus clientes y proporciona a BSI una plataforma de expansión en países como Austria y Suiza. BSI y NIS ZERT incrementarán de forma conjunta su rendimiento y competitividad en los mercados locales y a escala global, mediante mejoras en el alcance de sus servicios ya establecidos, así como los más recientes como ISO/IEC 27001.
Fuente e información completa: Business Standards
Conseguir un nivel óptimo de seguridad
23/April/2006
23/April/2006
Artículo sobre ISO 27001 publicado en Microsoft Centro para Empresas y Profesionales por María González Moreno Manaca Consulting, S.L desde la que se puede además acceder a una interesante "Guía Práctica de Adaptación a la LOPD".
Fuente e información completa: Microsoft
Fuente e información completa: Microsoft
La guía publicada por BSI proporciona la ayuda necesaria para el mantenimiento de los requisitos dados por la norma ISO/IEC 27001:2005, con respecto a todas las consideraciones del ciclo de gestión de riesgos en un SGSI (Sistema de Gestión de la Seguridad de la Información).
Estas consideraciones incluyen la estimación y evaluación de los riesgos, la implantación de controles en relación a los riesgos, monitorización y revisión de riesgos y el mantenimiento y mejora del sistema de controles del riesgo.
La guía procura ser aplicable a cualquier organización, independientemente del tipo de actividad, tamaño o características de negocio y va orientada al personal involucrado en actividades relacionadas con la gestión de riesgos en SGSI.
Su precio es de 70 Libras (35 Libras para miembros registrados) y puede ser ya adquirida desde bsonline Fuente e información completa: BSI-Global
Estas consideraciones incluyen la estimación y evaluación de los riesgos, la implantación de controles en relación a los riesgos, monitorización y revisión de riesgos y el mantenimiento y mejora del sistema de controles del riesgo.
La guía procura ser aplicable a cualquier organización, independientemente del tipo de actividad, tamaño o características de negocio y va orientada al personal involucrado en actividades relacionadas con la gestión de riesgos en SGSI.
Su precio es de 70 Libras (35 Libras para miembros registrados) y puede ser ya adquirida desde bsonline Fuente e información completa: BSI-Global
Bandas de ladrones de datos venden en Internet los números de las tarjetas de crédito y también informaciones personales de miles de ciudadanos británicos mensualmente, por 'módicos' precios que van desde menos de un dólar hasta los 170 dólares, ha publicado el diario The Times.
Al menos 400 números de tarjetas de crédito se venden diariamente en la Red, junto con informaciones personales como fechas de nacimiento, nombre de la madre, etc, aseguró el periódico londinense.
Fuente e información completa: ibl News
Al menos 400 números de tarjetas de crédito se venden diariamente en la Red, junto con informaciones personales como fechas de nacimiento, nombre de la madre, etc, aseguró el periódico londinense.
Fuente e información completa: ibl News
Alejandro Corletti publica esta semana en ISO27000.es su interesante artículo titulado "Análisis de ISO27001:2005", donde expone un resumen de la norma. Alejandro es un conocido articulista en Internet y ponente en eventos internacionales sobre temas de seguridad de la información.
Visite nuestra sección de Artículos.
Visite nuestra sección de Artículos.
Del 25 al 27 de Abril de 2006, AENOR, con la colaboración de Siemens y Adhoc Security, organiza en Bilbao los siguientes cursos:
“S-01 Fundamentos de la gestión de la seguridad de la información”, 25 de Abril
“S-02 Cómo implantar un sistema de gestión de seguridad de la información”, 26 y 27 de Abril.
Ambos cursos son válidos para las titulaciones propias de AENOR de auditor y de especialista implantador.
Para más detalles e inscripciones: S-01, S-02.
“S-01 Fundamentos de la gestión de la seguridad de la información”, 25 de Abril
“S-02 Cómo implantar un sistema de gestión de seguridad de la información”, 26 y 27 de Abril.
Ambos cursos son válidos para las titulaciones propias de AENOR de auditor y de especialista implantador.
Para más detalles e inscripciones: S-01, S-02.
En nuestra sección de revistas y boletines hemos añadido nuevos enlaces a diversas revistas relacionadas con la seguridad de la información.
Visite nuestra sección de Boletines.
Visite nuestra sección de Boletines.
Del 22 al 26 de Mayo de 2006, la empresa NeoSecure organiza en su sede de Providencia un curso de formación para auditor líder en ISO 27001 impartido por BSI-Americas. El curso incluye el examen para obtener la certificación oficial.
El 29 de Mayo se celebra en el mismo lugar un seminario de actualización de auditores de BS7799 a ISO27001.
Para más detalles e inscripciones: NeoSecure-Curso, NeoSecure-Seminario.
El 29 de Mayo se celebra en el mismo lugar un seminario de actualización de auditores de BS7799 a ISO27001.
Para más detalles e inscripciones: NeoSecure-Curso, NeoSecure-Seminario.
La Comisión Latinoamericana de Productividad y Medio Ambiente (CLAPAM) organiza el 24, 25 y 26 de Abril en Guayaquil y el 28 y 29 de Abril en Quito el curso "Cómo implantar un sistema de gestión de seguridad de la información" y, el 27 de Abril, en Quito, el seminario "Plan de Continuidad de Negocio" (Business Continuity Plan).
Los cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones: Guayaquil-SGSI, Quito-SGSI, Quito-BCP.
Los cursos serán impartidos por el profesor peruano Alberto G. Alexander, autor de libros sobre Calidad, asesor de empresas y auditor de ISO 9000 y de Sistemas de Gestión de Seguridad de la Información.
Para más detalles e inscripciones: Guayaquil-SGSI, Quito-SGSI, Quito-BCP.
La última semana de marzo se celebraron en Madrid el "XIII Case Handling Workshop de la Conferencia Europea de Autoridades de Protección de Datos", organizado por la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) y el “Primer Congreso Europeo de Protección de Datos”, entre cuyos organizadores se encontraba la Agencia Española de Protección de Datos (AEPD).
Fuente e información completa datospersonales.org.
Fuente e información completa datospersonales.org.
Del 20 al 22 de Abril de 2006 tendrá lugar en la University of East London la segunda edición de la International Conference on Global E-Security. En este evento se analiza la seguridad de la información desde múltiples puntos de vista, tanto tecnológicos como de gestión.
Para más detalles e inscripciones: ICGeS.
Para más detalles e inscripciones: ICGeS.
Noticias: Publicado ISM3 v1.20
16/April/2006
16/April/2006
Se ha publicado la versión 1.20 de ISM3. Pronunciado ISM Cubo, ISM3 (Information Security Management Maturity Model), promovido por ISECOM, es un modelo que ayuda a la creación de sistemas de gestión de la seguridad de la información y que puede emplearse por sí solo o en combinación con sistemas basados en ITIL, ISO27001 o Cobit.
ISM3 pretende alcanzar un nivel de seguridad definido, llamado riesgo aceptable, teniendo como objetivo el garantizar la consecución de objetivos de negocio, relacionando éstos directamente con los objetivos de seguridad.
Más información en: ISM3.com.
ISM3 pretende alcanzar un nivel de seguridad definido, llamado riesgo aceptable, teniendo como objetivo el garantizar la consecución de objetivos de negocio, relacionando éstos directamente con los objetivos de seguridad.
Más información en: ISM3.com.
En su segunda edición, los salones Infosecurity Iberia, Documation y Storage Expo lograron atraer a casi dos millares de especialistas en la seguridad, el almacenaje y la gestión de la información. El encuentro permitió conocer las más recientes soluciones aportadas por las firmas del sector, mientras un completo programa formativo facilitó la puesta al día de conocimientos.
ISO27000.es tuvo la oportunidad de visitar la feria y constatar la importante afluencia de visitantes y los interesantes stands que configuraban la exposición, lo que hace augurar un futuro prometedor a esta edición española de InfoSecurity.
Fuente e información completa: InfoSecurity Iberia 2006.
ISO27000.es tuvo la oportunidad de visitar la feria y constatar la importante afluencia de visitantes y los interesantes stands que configuraban la exposición, lo que hace augurar un futuro prometedor a esta edición española de InfoSecurity.
Fuente e información completa: InfoSecurity Iberia 2006.
El 27 de Abril de 2006, APIF (Asociación de Profesores de Informática Freelance) en colaboración con la empresa Seguridad0, organiza el Primer Seminario de Análisis Informático Forense. El evento es gratuito y tendrá lugar de 17:30 a 22:30 en el Auditorio de la Universidad Pompeu Fabra sito en la calle Balmes 132 de Barcelona. Al finalizar el mismo, tendrá lugar un cocktail.
Para más detalles e inscripciones: seguridad0.biz.
Para más detalles e inscripciones: seguridad0.biz.
Noticias: Cursos ofrecidos por Usuaria en Argentina
16/April/2006
16/April/2006
Usuaria (Asociación Argentina de Usuarios de la Informática y las Comunicaciones) ofrece, entre otros, cursos de Auditoría de Seguridad de la Información, Gestión de Seguridad de la Información, El ROI de la Seguridad Empresarial, IT Governance y Fundamentos de ITIL, Conceptos fundamentales de ITIL, Seguridad en Redes Internet y Fundamentos de Seguridad de Redes e Internet.
Para más detalles e inscripciones: Cursos USUARIA.
Para más detalles e inscripciones: Cursos USUARIA.
Más de 300 profesionales y expertos de las tecnologías de la información y la seguridad informática se dieron cita en el Hotel Nikko de Ciudad de México, los pasados 22 y 23 de Marzo, para asistir a la tercera edición de b:Secure Conference, organizada por Netmedia y la revista b:Secure, cuyo tema central fue la Gestión de la Seguridad Informática.
Fuente e información completa: NetMedia.info.
Fuente e información completa: NetMedia.info.
Noticias: Tuvo lugar Segurinfo 2006 en Buenos Aires
16/April/2006
16/April/2006
El pasado 15 de Marzo se celebró en el Hotel Sheraton de Buenos Aires (Argentina) la edición de 2006 de Segurinfo (2º Congreso Argentino de Seguridad de la Información). Organizado por Usuaria (Asociación Argentina de Usuarios de la Informática y las Comunicaciones), se ofreció a los asistentes en tres salones diferentes una larga lista de interesantes ponencias relacionadas con diversos temas de la seguridad de la información: tecnologías, auditoría, legislación, prevención del fraude, estrategia y gestión, etc.
Noticias: Especial RFID
09/April/2006
09/April/2006
RFID, o Radio-Frequency Identification Tags están siendo utilizadas en cadenas de suministro, almacenes e incluso bajo la piel de algunos pacientes en los hospitales. Coincidiendo con la presentación que han realizado las empresas acerca de la nueva generación de hardware y software, unos cuantos observadores han advertido ya de los aspectos legales y sociales que conlleva el uso de ésta tecnología.
E-Week profundiza en diferentes aspectos técnicos y sociales del uso de ésta tecnología.
E-Week profundiza en diferentes aspectos técnicos y sociales del uso de ésta tecnología.
Contenidos: (IN)SECURE 1.6 ya disponible
09/April/2006
09/April/2006
(IN) SECURE pone a disposición un nuevo número con algunos de los temas sobre la información de la seguridad de mayor actualidad.
Marzo 2006: (IN)SECURE 1.6.
· Best practices in enterprise database protection
· Quantifying the cost of spyware to the enterprise
· Security for websites - breaking sessions to hack into a machine
· How to win friends and influence people with IT security certifications
· The size of security: the evolution and history of OSSTMM operational security metrics
· Interview with Kenny Paterson, Professor of Information Security at Royal Holloway, University of London
· PHP and SQL security today
· Apache security: Denial of Service attacks
· War-driving in Germany - CeBIT 2006
Visite nuestra sección de Artículos.
Marzo 2006: (IN)SECURE 1.6.
· Best practices in enterprise database protection
· Quantifying the cost of spyware to the enterprise
· Security for websites - breaking sessions to hack into a machine
· How to win friends and influence people with IT security certifications
· The size of security: the evolution and history of OSSTMM operational security metrics
· Interview with Kenny Paterson, Professor of Information Security at Royal Holloway, University of London
· PHP and SQL security today
· Apache security: Denial of Service attacks
· War-driving in Germany - CeBIT 2006
Visite nuestra sección de Artículos.
La seguridad de la información en una empresa es un trabajo duro, incluso en pequeñas o medianas empresas. Existen demasiados riesgos, amenazas y vulnerabilidades que cubrir, con pocos recursos y con atacantes que continuamente desarrollan nuevos métodos. Uno de los errores más comunes en las empresas de cualquier tamaño, consiste en asignar la planificación de la seguridad en manos de los técnicos y sus soluciones. Admitámoslo, en la seguridad de las empresas intervienen elementos técnicos y tecnología, como parte de una solución que reside fundamentalmente en las personas.
Las personas no trabajamos bien con la tecnología sino con los procesos. Las empresas han definido procesos para las personas desde hace décadas y la seguridad de la información debería seguir ese hilo.
Si quieres proteger la información, enseña a la gente los pasos que debe dar para protegerla y consigue que los integren en su vida diaria.
Fuente e información completa security.itworld.com.
Las personas no trabajamos bien con la tecnología sino con los procesos. Las empresas han definido procesos para las personas desde hace décadas y la seguridad de la información debería seguir ese hilo.
Si quieres proteger la información, enseña a la gente los pasos que debe dar para protegerla y consigue que los integren en su vida diaria.
Fuente e información completa security.itworld.com.
Noticias: No permitas que un robo te arruine el día
09/April/2006
09/April/2006
Tras las noticias de robo de un ordenador portátil en la ciudad universitaria, la Web Metropolitan State Collage incluye información para evitar el robo de ordenadores portátiles, así como prevenir la utilización de la información contenida. Dispone de enlaces a otros artículos relacionados para la seguridad física y de acceso a la información contenida en ordenadores portátiles de gran interés.
Fuente e información completa Departamento de TI del Metropolitan State College.
Fuente e información completa Departamento de TI del Metropolitan State College.
Michael Rasmussen, vicepresidente para la gestión de riesgo empresarial de Forrester Research INC, nos recomienda mediante un programa de 7 pasos el mejor modo de cumplir con los aspectos legales dentro de las empresas.
Fuente e información completa Institute of Internal Auditors.
Fuente e información completa Institute of Internal Auditors.
Noticias: Revista a+ Auditoría y Seguridad
01/April/2006
01/April/2006
Desde el pasado mes de Enero, la Fundación Dintel publica una revista en castellano dedicada a íntegramente a la auditoría y seguridad de sistemas de información.
Cada número, de aparición bimensual, contiene una interesante colección de artículos dedicados a multitud de temas relacionados con la auditoría y la seguridad: temas jurídicos, normas y estándares, protección de datos, peritaciones y arbitrajes, casos de éxito, seguridad desde el punto de vista empresarial y desde el punto de vista de las Administraciones Públicas, etc.
La revista se publica en formato electrónico en la web Revista AyS y en papel. Esta última opción es de suscripción gratuita para profesionales del sector en la sección de suscripciones de su web.
Cada número, de aparición bimensual, contiene una interesante colección de artículos dedicados a multitud de temas relacionados con la auditoría y la seguridad: temas jurídicos, normas y estándares, protección de datos, peritaciones y arbitrajes, casos de éxito, seguridad desde el punto de vista empresarial y desde el punto de vista de las Administraciones Públicas, etc.
La revista se publica en formato electrónico en la web Revista AyS y en papel. Esta última opción es de suscripción gratuita para profesionales del sector en la sección de suscripciones de su web.
El próximo 5 de Abril finaliza el plazo de inscripción para los exámenes de CISA (Certified Information Systems Auditor) y CISM (Certified Information Security Manager) de ISACA que tendrán lugar el próximo 10 de Junio. Ambos exámenes podrán realizarse en español. En cuanto a países de habla hispana, los exámenes tendrán lugar en: Argentina (Buenos Aires, Mendoza), Bolivia (La Paz), Chile (Santiago), Colombia (Bogotá, Cali, Medellín), Costa Rica (San José), Ecuador (Quito), España (Madrid, Barcelona, Valencia), Honduras (Tegucigalpa), Méjico (Ciudad de Méjico, Monterrey, Mérida), Panamá (Ciudad de Panamá), Paraguay (Asunción), Perú (Lima), Puerto Rico (San Juan), República Dominicana (Santo Domingo), Uruguay (Montevideo) y Venezuela (Caracas).
Inscripciones en www.isaca.org/examreg.
A propósito de las certificaciones de seguridad y auditoría, Jesús Romero resume en un artículo las características de las más conocidas.
Inscripciones en www.isaca.org/examreg.
A propósito de las certificaciones de seguridad y auditoría, Jesús Romero resume en un artículo las características de las más conocidas.
El próximo 19 de Abril tendrá lugar en Madrid el segundo Foro FAST de 2006 organizado por la Fundación Dintel. El Foro FAST es un foro dedicado a sensibilizar a las organizaciones e instituciones de la criticidad de la información almacenada en sus sistemas, presentar las tendencias tecnológicas en materia de auditoría y seguridad informáticas, analizando productos y soluciones para la empresa y las administraciones públicas y discutir estrategias tecnológicas concretas de protección de la información, ya implementadas o previstas, en organizaciones e instituciones públicas y privadas. Se desarrolla a lo largo de cinco sesiones en el año 2006.
Más información en www.dintel.org.
Más información en www.dintel.org.
Gary Hinson, consultor y experto en buen gobierno y seguridad de las tecnologías de la información, ha autorizado a www.iso27000.es a traducir su interesante caso de estudio “The business value of ISO17799”. En él analiza las ventajas y beneficios empresariales de implantar en una empresa de servicios informáticos la BS7799-2 (actual ISO27001) y el código de buenas prácticas asociado ISO17799.
Este tipo de empresas, al tener como objeto de su negocio los sistemas de información de sus clientes, obtienen una clara ventaja competitiva por medio de la implantación de estas normas, que dan una garantía a los usuarios de sus servicios de que la información es tratada con métodos procedimentados y directrices de seguridad claras.
Gary Hinson es máximo responsable de la empresa consultora IsecT Ltd. (www.isect.com), el servicio de información www.noticebored.com y la web www.iso27001security.com.
Visite nuestra sección de Artículos.
Este tipo de empresas, al tener como objeto de su negocio los sistemas de información de sus clientes, obtienen una clara ventaja competitiva por medio de la implantación de estas normas, que dan una garantía a los usuarios de sus servicios de que la información es tratada con métodos procedimentados y directrices de seguridad claras.
Gary Hinson es máximo responsable de la empresa consultora IsecT Ltd. (www.isect.com), el servicio de información www.noticebored.com y la web www.iso27001security.com.
Visite nuestra sección de Artículos.
Global Technology Audit Guide (GTAG) son una serie de publicaciones de IIA (The Institute of Internal Auditors) que tratan de asesorar en TI tanto a auditores internos con externos.
Marzo 2006: Global Technology Audit Guide
Cuarta guía: Management of IT Auditing
· Define IT
· Evaluate IT
· Define IT Audit Universe
· Execute IT Audits
· Manage the IT Audit Function.
Visite nuestra sección de Boletines.
El Comité de Tecnología Informática está trabajando para asegurar que los auditores tengan las herramientas y los conocimientos necesarios que les permitan evaluar y manejar mejor los riesgos relacionados con los controles internos en los estados contables. Con este fin, ha emitido un borrador de exposición sobre los Principios de Tecnología Informática de Aceptación General (Generally Accepted IT Principles – GAIT). Estos principios proporcionan una guía sobre el trabajo de tecnología informática (TI) que apoya las conclusiones de las partes relacionadas con TI de cualquier objetivo de control interno COSO, tal como los estados contables u operaciones. Los GAIT no son un enfoque de control. Más bien proporcionan estructuras para identificar y enlazar apropiadamente las construcciones COSO de objetivos de control interno, afirmaciones, riesgos y controles. Al permitir un enlace adecuado, permiten el enfoque adecuado de TI para aquellos objetivos, incluyendo la información financiera y la Sección 404 de Sarbanes-Oxley. Los GAIT permiten entender cómo se relaciona la TI con los objetivos de negocio y cómo difiere la TI entre una compañía y otra: los diferentes equilibrios de controles manuales y automatizados, los controles a nivel de cada entidad y proceso o actividad, el porcentaje de automatización del negocio soportado o permitido por la TI. Los GAIT brindan una guía sobre cómo realizar afirmaciones sobre los procesos transaccionales de TI, cómo alcanzar una conclusión bien informada con respecto a qué controles incluir y qué controles excluir en aquellos procesos.
Fuente e información completa The Institute of Internal Auditors.
Fuente e información completa The Institute of Internal Auditors.
Cisco integra y presenta sus soluciones de seguridad en redes dentro del marco de las mejores prácticas en la industria por ISO 17799 y CobIT. El informe recomienda evitar soluciones técnicas puntuales y guía a los administradores hacia una adecuada adaptación de los riesgos de seguridad de red, a la vez que se satisfacen los requisitos de satisfacción de auditoria interna y externa.
Fuente e información completa Cisco.
Fuente e información completa Cisco.
Sr. Joscelyne asevera que las agencias y empresas gubernamentales australianas han desatendido la responsabilidad de asumir el papel de liderazgo respecto a políticas, procesos y procedimientos para proteger adecuadamente la Propiedad Intelectual (PI) colocando a Australia , declaró, en el furgón de cola respecto al resto del mundo. Joscelyne indicó que la falta de protección de la PI es una responsabilidad que recae directamente sobre los hombros de la ejecutiva de las empresas y que los peores escenarios que su compañía ha encontrado en las empresas, son aquellas que transfieren sus obligaciones legales directamente al personal técnico. “Francamente, es una práctica ingenua, estúpida y bastante deshonesta” declaró, añadiendo que es una oportunidad para la ejecutiva de interferir y mantenerse al frente. “De quién es la responsabilidad? Depende del personal técnico el mantener informado sobre las novedades continuamente a la ejecutiva o es responsabilidad de la ejecutiva tomarse un mayor interés en los activos de información de la empresa?” Respondiendo a su propia pregunta, Joscelyne declaró que es definitivamente en las áreas no técnicas donde con diferencia, un mayor interés debe ser motivado. “Uno de los problemas al que nos enfrentamos es la claridad en el objetivo de la empresa. Encontramos que la mayoría demuestra buenas intenciones, pero a la hora de transformarlos en un objetivo práctico, la tarea es frecuentemente apartada como algo que es necesario hacer pero no inmediatamente y ésta falta de urgencia es la clave del asunto.” En cuanto a la lenta respuesta en cuestiones de seguridad como la encriptación de datos en ordenadores portátiles, el portavoz de la Oficina para la Gestión de la Información del Gobierno Australiano (AGIMO) declaró que, “a las agencias Gubernamentales se les exige adoptar los pasos necesarios en la protección de ésta información, los cuales podrían incluir medidas de encriptación de la información en ordenadores portátiles.”. “Cada empleado público está, asimismo, obligado a proteger la información que obra en su poder, incluida la información privada y personal. Las Agencias deberían disponer de procedimientos específicos para la protección de la información, pero es responsabilidad de los directores ejecutivos según el Acta de Gestión Financiera y Contable”.
Fuente e información completa en Computerworld.
Fuente e información completa en Computerworld.
Especial E-Week sobre protección de datos
26/March/2006
26/March/2006
Especial dedicado a noticias y soluciones relacionadas con la pérdida o indisponibilidad de la información.
http://www.eweek.com/category2/0,1874,1360577,00.asp
http://www.eweek.com/category2/0,1874,1360577,00.asp
Un 60% de las redes WIFI carecen de protección
26/March/2006
26/March/2006
“El estudio pretende mostrar el nivel de seguridad de las redes inalámbricas desde un punto de vista didáctico, planteando métodos de seguridad y cómo estos pueden ser vulnerables por sus limitaciones de diseño, o si simplemente no están correctamente configurados”, afirma Luis Corrons, director de PandaLabs. “De este modo un usuario puede conocer los peligros que acechan desde el momento en que se despliega una red WiFi si no se toman las medidas pertinentes”.
Las conclusiones del estudio son claras: la seguridad aplicada a las redes WiFi es, en general, insuficiente. Mientras que el protocolo más utilizado para la seguridad de la red, WEP, contiene múltiples vulnerabilidades, los protocolos más eficaces, como WPA ó WPA-PSK, apenas son implantados por los usuarios.
El estudio de PandaLabs se basa en pruebas de wardriving realizadas a nivel internacional, en países como Suecia, Eslovenia, Canadá o Argentina, en las que casi un 60% de las redes carecen de protección. Las pruebas de wardriving consisten en el estudio de las redes inalámbricas detectadas a lo largo de un recorrido en concreto, por medio de un dispositivo WiFi móvil y un software de exploración de redes.
Fuente e información completa Pandasoftware.
Las conclusiones del estudio son claras: la seguridad aplicada a las redes WiFi es, en general, insuficiente. Mientras que el protocolo más utilizado para la seguridad de la red, WEP, contiene múltiples vulnerabilidades, los protocolos más eficaces, como WPA ó WPA-PSK, apenas son implantados por los usuarios.
El estudio de PandaLabs se basa en pruebas de wardriving realizadas a nivel internacional, en países como Suecia, Eslovenia, Canadá o Argentina, en las que casi un 60% de las redes carecen de protección. Las pruebas de wardriving consisten en el estudio de las redes inalámbricas detectadas a lo largo de un recorrido en concreto, por medio de un dispositivo WiFi móvil y un software de exploración de redes.
Fuente e información completa Pandasoftware.
Un 30 por ciento de las empresas españolas manifiesta no sentirse protegida frente a las amenazas que circulan por Internet, según un estudio realizado por la multinacional IBM. La encuesta, que ha sido realizada en 17 países, consultando a más de 3.000 empresas, revela que el 58 por ciento de las compañías cree que los ataques a través de Internet les perjudican más en términos económicos que los propios delitos físicos.
En encuentro informativo, el director de consultoría tecnológica de IBM en España, Portugal, Israel, Grecia y Turquía, Moisés Navarro, destacó que "las empresas demandan agilidad y capacidad de adaptación ante el ciberdelito según las exigencias del mercado".
Navarro señaló que los principales efectos negativos que las empresas atribuyen a la ciberdelincuencia son la pérdida de beneficios y de clientes, y una escasa productividad de los empleados.
Según IBM, la incidencia de seguridad puede suponer para las empresas la imposibilidad de poder realizar su negocio, pérdidas financieras, daños en su imagen de marca y pérdidas en los activos de propiedad intelectual.
Navarro también destacó que, debido a la amenaza en la seguridad de las empresas, el 59 por ciento de los encuestados manifiesta haber tomado precauciones contra el ciberdelito y que entre sus acciones para combatirla se encuentra la actualización de los antivirus y de los cortafuegos informáticos.
El director de ventas de Tivoli IBM en España, Portugal, Israel, Grecia y Turquía, Felix Merchán, comentó que las empresas españolas "han iniciado un proceso hacia la madurez en la seguridad" y que "demandan ayuda, herramientas y capacidades para combatir las amenazas de la red".
"Los países del norte de Europa son los más avanzados en la gestión de accesos, mientras que por sectores, las entidades financieras son las que han desarrollado los mecanismos de seguridad más complejos debido a la presión ejercida por sus clientes", apuntó.
Fuente e información completa Baquia.
En encuentro informativo, el director de consultoría tecnológica de IBM en España, Portugal, Israel, Grecia y Turquía, Moisés Navarro, destacó que "las empresas demandan agilidad y capacidad de adaptación ante el ciberdelito según las exigencias del mercado".
Navarro señaló que los principales efectos negativos que las empresas atribuyen a la ciberdelincuencia son la pérdida de beneficios y de clientes, y una escasa productividad de los empleados.
Según IBM, la incidencia de seguridad puede suponer para las empresas la imposibilidad de poder realizar su negocio, pérdidas financieras, daños en su imagen de marca y pérdidas en los activos de propiedad intelectual.
Navarro también destacó que, debido a la amenaza en la seguridad de las empresas, el 59 por ciento de los encuestados manifiesta haber tomado precauciones contra el ciberdelito y que entre sus acciones para combatirla se encuentra la actualización de los antivirus y de los cortafuegos informáticos.
El director de ventas de Tivoli IBM en España, Portugal, Israel, Grecia y Turquía, Felix Merchán, comentó que las empresas españolas "han iniciado un proceso hacia la madurez en la seguridad" y que "demandan ayuda, herramientas y capacidades para combatir las amenazas de la red".
"Los países del norte de Europa son los más avanzados en la gestión de accesos, mientras que por sectores, las entidades financieras son las que han desarrollado los mecanismos de seguridad más complejos debido a la presión ejercida por sus clientes", apuntó.
Fuente e información completa Baquia.
La banca sufre el mayor ciberataque de la historia
26/March/2006
26/March/2006
Se asegura que es sólo "la punta del iceberg" y que se producirán nuevos delitos utilizando la novedosa técnica que emplearon los detenidos. El último informe semestral de Symantec, una empresa dedicada a la seguridad informática, recoge un importante cambio de tendencia. "Hemos pasado de ataques que buscaban destruir la información a nuevos tipos de ataques que lo que buscan es justo lo contrario, recopilarla", asegura la corporación. El año pasado se produjeron en España 300 casos de phishing, una técnica que ha dejado de centrarse exclusivamente en la imitación de páginas de bancos y que ahora también busca engañar al usuario mediante la falsificación de webs de instituciones gubernamentales. BBVA es la entidad que más intentos de ataque sufre, seguida de Bancaja, Caja Madrid, Banesto, el Banco Popular, el Santander y la Caixa. Caja Madrid detectó un nuevo intento de fraude. "En lo que va de año llevamos ya 50 ataques y cada vez son más especializados y sofisticados. Este año se superarán los niveles de 2005", asegura Victor Domingo, presidente de la Asociación de Internautas.
Fuente e información completa Suplemento de El Mundo.
Fuente e información completa Suplemento de El Mundo.
Contenidos: Especial CeBIT en ISO27000.es
23/March/2006
23/March/2006
ISO27000.es estuvo en la jornada inaugural del CeBIT/CEFIS y en este artículo comentamos lo más destacado de nuestra visita en relación a la seguridad y procedimientos.
Visite nuestra sección de Artículos.
Visite nuestra sección de Artículos.
Noticias: IV Seminario de Pruebas Electrónicas
20/March/2006
20/March/2006
El 4 de Mayo próximo, Cybex impartirá en Madrid el IV Seminario de Pruebas Electrónicas. Cybex es una compañía especializada en la prevención e investigación del fraude empresarial en entornos virtuales y digitalizados. La prueba electrónica es un instrumento cada vez más utilizado en procesos judiciales, a pesar de lo cual es un tema muy desconocido aún.
Para más detalles e inscripciones: Cybex.
Para más detalles e inscripciones: Cybex.
Noticias: ISACA Training Week
20/March/2006
20/March/2006
Del 3 al 7 de Abril organiza ISACA la llamada “Training Week” en Zurich (Suiza). En el transcurso de este evento, se ofrecen una serie de cursos centrados en los fundamentos de la auditoría de IT, buenas prácticas de auditoría, gestión de la seguridad de la información, auditoría de seguridad de redes, etc. Los cursos están dirigidos a profesionales con distintos niveles de experiencia en la auditoría de IT.
Para más detalles e inscripciones: ISACA Training Week.
Para más detalles e inscripciones: ISACA Training Week.
Hasta Marzo de 2006 están certificadas en el mundo 2.299 empresas en BS 7799-2 o ISO 27001. En España son 6 las empresas certificadas.
Esta información puede obtenerse mes a mes de forma detallada en International Register of ISMS Certificates.
Esta información puede obtenerse mes a mes de forma detallada en International Register of ISMS Certificates.
Los días 25, 26 y 27 de Abril, la revista SIC (Seguridad en Informática y Comunicaciones) organiza en el Campo de las Naciones de Madrid la 17ª edición de su congreso de seguridad de la información. En este congreso, diversos profesionales de primera fila de la seguridad de la información expondrán las estrategias y proyectos que se están llevando a cabo en esta área en empresas españolas. Además, tendrá lugar una serie de debates sobre temas de actualidad en la materia.
Para más detalles e inscripciones: Securmática.
Para más detalles e inscripciones: Securmática.
Los esfuerzos e inversiones en seguridad son únicamente beneficiosos si las medidas de seguridad adicionales son aplicadas allí donde realmente es necesario. Una evaluación precisa del riesgo, acompañada de una estimación de costes asociada es sinónimo de una inversión bien dirigida y mejor protegida.
La alternativa significa no estar preparados para las predicciones de amortización.
Visite nuestra sección de Artículos.
Visite nuestra sección de Artículos.
Contenidos: Nuevo enlace y publicación en ISO27000.es
13/March/2006
13/March/2006
Los Estándares de Gerencia de Riesgos son el resultado del trabajo de un equipo formado por las principales organizaciones de gerencia de riesgos del Reino Unido: El Institute of Risk Management (IRM), la Association of Insurance and Risk Managers (AIRMIC) y ALARM el National Forum for Risk Management in the Public Sector.
Fuente e información completa en sección de Publicaciones y enlaces de www.iso27000.es
Fuente e información completa en sección de Publicaciones y enlaces de www.iso27000.es
El estudio ha investigado las prácticas comunes en la generación de contraseñas de los usuarios.
Trescientos quince estudiantes completaron una encuesta acerca de: (1) El tipo y el número de contraseñas de cuentas diferentes mantenidas; (2) prácticas actuales utilizadas en la generación, almacenamiento y utilización de las contraseñas; (3) prácticas que cada usuario cree que debería utilizar en la generación y almacenamiento de sus contraseñas y (4) la información demográfica general.
Los resultados indican que, en general, los usuarios no varían la complejidad de las contraseñas utilizadas en función de la actividad que realizan en el sitio al que se conectan (cuentas de banco versus Messenger) o las modifican regularmente sino es un requisito indispensable requerido por el Web site. Los usuarios informan que utilizan letras minúsculas, números o dígitos, con números y palabras que personalmente tienen algún significado personal, a pesar de reconocer que éstos métodos no son los más seguros.
Fuente e información completa: Universidad Psicología de Wichita.
Los resultados indican que, en general, los usuarios no varían la complejidad de las contraseñas utilizadas en función de la actividad que realizan en el sitio al que se conectan (cuentas de banco versus Messenger) o las modifican regularmente sino es un requisito indispensable requerido por el Web site. Los usuarios informan que utilizan letras minúsculas, números o dígitos, con números y palabras que personalmente tienen algún significado personal, a pesar de reconocer que éstos métodos no son los más seguros.
Fuente e información completa: Universidad Psicología de Wichita.
Noticias: Información sobre el nuevo DNI electrónico
13/March/2006
13/March/2006
La Dirección General de la Policía, organismo encargado de la expedición del Documento Nacional de Identidad (DNI) y, en consecuencia, de los nuevos DNI electrónicos, pondrá en marcha en los próximos días una importante campaña de información al ciudadano para explicar las novedosas utilidades, su sencilla obtención, su forma de uso y las ventajas que conlleva.
La implantación progresiva del nuevo documento que inicia su expedición este mes en la ciudad de Burgos, se espera que finalice en el 2008.
Fuente e información completa: www.dnielectronico.es.
La implantación progresiva del nuevo documento que inicia su expedición este mes en la ciudad de Burgos, se espera que finalice en el 2008.
Fuente e información completa: www.dnielectronico.es.
Symantec ha publicado la novena edición de su Informe sobre Amenazas a la Seguridad en Internet, que abarca los últimos seis meses de 2005, y muestra un incremento en las amenazas diseñadas para facilitar la actividad delictiva a través de Internet.
Mientras que los ataques realizados hasta la fecha han sido diseñados para destruir los datos, las amenazas actuales se centran cada vez más en obtener información de forma encubierta para generar con ella beneficios económicos sin producir daños visibles y sin avisar al usuario de lo que esté ocurriendo.
Fuente e información completa: Cibersur.com.
Mientras que los ataques realizados hasta la fecha han sido diseñados para destruir los datos, las amenazas actuales se centran cada vez más en obtener información de forma encubierta para generar con ella beneficios económicos sin producir daños visibles y sin avisar al usuario de lo que esté ocurriendo.
Fuente e información completa: Cibersur.com.
Mientras sea posible generar ingresos mediante phishing, esta forma de fraude estará presente. Actualmente, el phishing probablemente esté en la cresta de la ola, con una presencia cada vez más notoria de estos elementos de ataque en nuestro día a día.
La incorporación de más usuarios y proveedores a los canales electrónicos es un caldo de cultivo donde se dan cita además, la continua aparición de vulnerabilidades y malware que hacen que el phishing sea un negocio de fácil difusión.
Fuente e información completa: Hispasec.
La incorporación de más usuarios y proveedores a los canales electrónicos es un caldo de cultivo donde se dan cita además, la continua aparición de vulnerabilidades y malware que hacen que el phishing sea un negocio de fácil difusión.
Fuente e información completa: Hispasec.
Noticias: Manual de seguridad en Internet
02/March/2006
02/March/2006
El Centro de Alerta Temprana sobre Virus y Seguridad Informática (CATA) en colaboración con el fabricante de antivirus Norman ha publicado un manual de seguridad en Internet. En un lenguaje sencillo, el manual explica los diferentes riesgos de seguridad relacionados con Internet y da consejos de protección contra los mismos.
El manual puede descargarse en RED.ES.
El manual puede descargarse en RED.ES.
El manual oficial de preparación para el examen de CISSP (Certified Information Systems Security Professional) de la organización (ISC)2 ha plagiado aparentemente algunos de sus contenidos de diversas fuentes. El hecho fue descubierto por un profesor de la Universidad de Florida. La organización (ISC)2 dice lamentar profundamente el hecho y está realizando una investigación interna para esclarecer el asunto, que pone en entredicho su prestigio.
Del 19 al 22 de Marzo tendrá lugar en Londres (Hotel Hilton London Metropole) la edición de 2006 de la "European Computer, Audit, Control and Security Conference" (EuroCACS), organizada por ISACA. La conferencia se centra en las últimas estrategias relacionadas con la gestión, buen gobierno, control, auditoría y seguridad de sistemas de información a través de múltiples sesiones, charlas y workshops.
Para más detalles e inscripciones: EuroCACS.
Para más detalles e inscripciones: EuroCACS.
Un estudio del departamento de Comercio e Industria DTI (Department of Trade and Industry) reveló que casi el 50% de las brechas encontradas en seguridad y sufridas por las compañías en los últimos dos años fueron a causa de la infección por código malicioso.
En algunos casos, los virus afectaron servicios clave como el e-mail por más de un día para su limpieza y en los peores casos encontrados, el arreglo de los sistemas duró hasta 50 días.
El estudio reveló el creciente problema del spyware y el robo de información confidencial así como el bajo nivel de protección dispuesto por las empresas para evitar éstos incidentes.
El estudio fue llevado a cabo por DTI en más de 1.000 empresas y los resultados completos serán puestos a disposición en "InfoSeurity Europe" que se celebrará entre el 25-27 Abril.
Fuente e información completa: BBC News.
En algunos casos, los virus afectaron servicios clave como el e-mail por más de un día para su limpieza y en los peores casos encontrados, el arreglo de los sistemas duró hasta 50 días.
El estudio reveló el creciente problema del spyware y el robo de información confidencial así como el bajo nivel de protección dispuesto por las empresas para evitar éstos incidentes.
El estudio fue llevado a cabo por DTI en más de 1.000 empresas y los resultados completos serán puestos a disposición en "InfoSeurity Europe" que se celebrará entre el 25-27 Abril.
Fuente e información completa: BBC News.
Noticias: El primer virus de dispositivos móviles y de mesa
28/February/2006
28/February/2006
Según un anuncio realizado por MARA (Mobile Antivirus Researchers Association, una asociación de investigadores de virus de móviles), ya existe un malware capaz de infectar un dispositivo móvil o PDA (Personal Digital Organizer), desde una simple computadora de mesa.
Crossover puede propagarse desde una computadora con Windows, a un Pocket PC o computadora de bolsillo, que se ejecute bajo Windows Mobile.
Se trata de una prueba de concepto (PoC), enviada de forma anónima a MARA, que solo pretende demostrar que este tipo de código es posible, abriendo un frente a lo que desde hace tanto las compañías antivirus y los investigadores han estado alertando: la infección cruzada entre computadoras y dispositivos portátiles.
Fuente e información completa: vsantivirus Mara.
Crossover puede propagarse desde una computadora con Windows, a un Pocket PC o computadora de bolsillo, que se ejecute bajo Windows Mobile.
Se trata de una prueba de concepto (PoC), enviada de forma anónima a MARA, que solo pretende demostrar que este tipo de código es posible, abriendo un frente a lo que desde hace tanto las compañías antivirus y los investigadores han estado alertando: la infección cruzada entre computadoras y dispositivos portátiles.
Fuente e información completa: vsantivirus Mara.
Noticias: IT-Security Meeting CEFIS en CeBIT 2006
27/February/2006
27/February/2006
Los requisitos en seguridad de la información en las empresas y organizaciones estarán presentes en el CEFIS (CENTRE FOR INFORMATION SECURITY, Hall 7, Stand D22) con motivo de la próxima celebración del CeBIT entre los días 09 y 15 de Marzo en la ciudad alemana de Hannover.
El CEFIS está focalizado en todos los aspectos concernientes a la disponibilidad, integridad y continuidad de recursos y procesamiento de la información mediante aplicaciones TI corporativas, independientemente de los riesgos que puedan sufrir los datos en su paso por redes de comunicación, problemas y fallos en infraestructuras técnicas, fuego o sabotaje.
Mediante una amplia exposición de equipos, software, servicios y tendencias en el campo técnicos, físico y organizacional de la seguridad IT, CEFIS se convertido en un área de gran interés.
Programa de eventos de seguridad CEFIS e información general en CEBIT
Fuente: ISO27000.es
El CEFIS está focalizado en todos los aspectos concernientes a la disponibilidad, integridad y continuidad de recursos y procesamiento de la información mediante aplicaciones TI corporativas, independientemente de los riesgos que puedan sufrir los datos en su paso por redes de comunicación, problemas y fallos en infraestructuras técnicas, fuego o sabotaje.
Mediante una amplia exposición de equipos, software, servicios y tendencias en el campo técnicos, físico y organizacional de la seguridad IT, CEFIS se convertido en un área de gran interés.
Programa de eventos de seguridad CEFIS e información general en CEBIT
Fuente: ISO27000.es
La primera empresa a nivel mundial en actualizar su certificación BS 7799-2 a ISO 27001 ha sido Larson and Tourbo Ltd. de la India.
ISO/IEC 27001:2005 fue publicada el 15 de Octubre de 2005, sustituyendo a la BS 7799-2:2002 como norma certificable sobre los requerimientos de los sistemas de gestión de la seguridad de la información.
Fuente: International ISMS User Group Journal.
Fuente: International ISMS User Group Journal.
Noticias: 2.193 empresas certificadas en BS 7799-2 e ISO 27001
26/February/2006
26/February/2006
Hasta Febrero de 2006 están certificadas en el mundo 2.193 empresas en BS 7799-2 o ISO 27001. En España son 5 las empresas certificadas.
Esta información puede obtenerse mes a mes de forma detallada en International Register of ISMS Certificates.
Esta información puede obtenerse mes a mes de forma detallada en International Register of ISMS Certificates.
Noticias: Curso de peritaje informático
26/February/2006
26/February/2006
La Asociación de Ingenieros en Informática de Madrid organiza en esta ciudad los días 19 y 20 de Mayo de 2006 un curso de peritaje informático. El curso será impartido por Ignacio Boixo Pérez-Holanda y Javier Pagès López, conocidos expertos en Informática Forense, Peritajes y Seguridad Informática.
Más detalles e inscripción en Infoperitos.
Más detalles e inscripción en Infoperitos.
Noticias: Edición 2006 de la feria INFOSECURITY Europe
26/February/2006
26/February/2006
Los próximos días 25, 26 y 27 de Abril de 2006 tendrá lugar en Londres la edición europea de INFOSECURITY, la mayor feria dedicada a la Seguridad de la Información. Con más de 300 expositores, más de 10.000 visitantes y un amplio programa de conferencias, Infosecurity Europe es un interesante punto de encuentro para todos los profesionales de la seguridad de la información.
Más detalles e inscripción en Infosecurity Europe.
Más detalles e inscripción en Infosecurity Europe.
Noticias: Edición española de la feria INFOSECURITY
26/February/2006
26/February/2006
Los próximos días 21, 22 y 23 de Marzo de 2006 tendrá lugar en el Palacio Municipal de Congresos de Madrid la segunda edición de la feria INFOSECURITY IBERIA.
Infosecurity Iberia es la edición española de la principal feria europea dedicada a la Seguridad Informática (la edición europea tiene lugar en Londres). Tendrá lugar una muestra de los más nuevos e innovadores productos y servicios, así como un programa educativo basado en los temas técnicos más estratégicos de hoy.
Infosecurity se celebra en paralelo a otros dos eventos clave en el ciclo de vida de la información: Storage Expo (oferta en Sistemas de Almacenamiento) y Documation (salón de la Gestión de la Documentación e Información Electrónica).
Información e inscripción en Infosecurity Iberia.
Infosecurity Iberia es la edición española de la principal feria europea dedicada a la Seguridad Informática (la edición europea tiene lugar en Londres). Tendrá lugar una muestra de los más nuevos e innovadores productos y servicios, así como un programa educativo basado en los temas técnicos más estratégicos de hoy.
Infosecurity se celebra en paralelo a otros dos eventos clave en el ciclo de vida de la información: Storage Expo (oferta en Sistemas de Almacenamiento) y Documation (salón de la Gestión de la Documentación e Información Electrónica).
Información e inscripción en Infosecurity Iberia.
Noticias: Cyber Security Tips
26/February/2006
26/February/2006
US-CERT (United States Computer Emergency Readiness Team) publica regularmente en su web interesantes consejos relativos a la seguridad IT concebidos para usuarios sin especiales conocimientos técnicos. En un lenguaje sencillo, pero de forma clara y precisa, describe una amplia gama de riesgos de seguridad y propone una serie de buenas prácticas para protegerse de los mismos.
Puede consultarse en Cyber Security Tips.
También es posible sindicarse a través de un lector RSS.
Puede consultarse en Cyber Security Tips.
También es posible sindicarse a través de un lector RSS.
Un experimento ha puesto de manifiesto que los trabajadores de una conocida área londinense, que alberga distintas compañías de servicios financieros, no tienen en cuenta las políticas básicas de seguridad de sus empresas.
Los empleados de la firma especializada en formación "Training Camp" entregaron en la calle CDs como "promoción especial de San Valentín" a los transeúntes de la zona que acudían al trabajo.
Sin embargo, el contenido de los CDs consistía únicamente en un código que informaba a "Training Camp" cuantos usuarios habían accedido al contenido del disco. Entre los registrados se encontraron empleados de banco y compañías aseguradas de internacionales.
Cada CD contenía en su interior una clara advertencia sobre los riesgos de instalación de software suministrado por terceros y su debido uso acorde con las políticas aceptadas por las compañías que no logró disuadir a muchos, poniendo en riesgo la seguridad de su PC y su organización.
Rob Chapman, gerente de "Training Camp", que llevó a cabo está iniciativa con objeto de promocionar un curso en seguridad para usuarios no especializados en TI, declaró: "Afortunadamente estos CDs no contenían código nocivo. La información personal o corporativa por las acciones de éstas personas no ha sido difundida pero se demuestra el hecho de que podría haber sido alguien que quisiera provocar efectos demoledores."
Chapman afirmó que "las consecuencias potenciales podrían haber sido desastrosas".
Efectivamente los empleados, al introducir consigo el CD en la compañía y utilizarlos en su PC, habían traspasado muchos de los controles de seguridad dispuestos.
Chapman apuntó: "Los empleados deben reconocerse a sí mismos como la primera opción y el medio más sencillo utilizado para acceder a la red de la compañía."
Recientemente y en el pasado año, el banco japonés Sumitomo Mitsui de Londres fué victima de una infección de spyware que estuvo a punto de concluir con un robo de £220m. Este suceso debería haber puesto la atención en la amenaza que suponen las aplicaciones que entran en las empresas por medio de canales no oficiales pero, hasta la fecha, parece ser que son pocas las compañías que han tomado nota.
Los empleados de la firma especializada en formación "Training Camp" entregaron en la calle CDs como "promoción especial de San Valentín" a los transeúntes de la zona que acudían al trabajo.
Sin embargo, el contenido de los CDs consistía únicamente en un código que informaba a "Training Camp" cuantos usuarios habían accedido al contenido del disco. Entre los registrados se encontraron empleados de banco y compañías aseguradas de internacionales.
Cada CD contenía en su interior una clara advertencia sobre los riesgos de instalación de software suministrado por terceros y su debido uso acorde con las políticas aceptadas por las compañías que no logró disuadir a muchos, poniendo en riesgo la seguridad de su PC y su organización.
Rob Chapman, gerente de "Training Camp", que llevó a cabo está iniciativa con objeto de promocionar un curso en seguridad para usuarios no especializados en TI, declaró: "Afortunadamente estos CDs no contenían código nocivo. La información personal o corporativa por las acciones de éstas personas no ha sido difundida pero se demuestra el hecho de que podría haber sido alguien que quisiera provocar efectos demoledores."
Chapman afirmó que "las consecuencias potenciales podrían haber sido desastrosas".
Efectivamente los empleados, al introducir consigo el CD en la compañía y utilizarlos en su PC, habían traspasado muchos de los controles de seguridad dispuestos.
Chapman apuntó: "Los empleados deben reconocerse a sí mismos como la primera opción y el medio más sencillo utilizado para acceder a la red de la compañía."
Recientemente y en el pasado año, el banco japonés Sumitomo Mitsui de Londres fué victima de una infección de spyware que estuvo a punto de concluir con un robo de £220m. Este suceso debería haber puesto la atención en la amenaza que suponen las aplicaciones que entran en las empresas por medio de canales no oficiales pero, hasta la fecha, parece ser que son pocas las compañías que han tomado nota.
Noticias: Aprobada la Directiva de Retención de Datos de la UE
25/February/2006
25/February/2006
En cuanto al tipo de datos que se podrán retener, se incluyen los de números de teléfono de origen y destino, los nombres y direcciones de las personas que llaman y de aquéllas para las que están registradas los números de teléfono en el momento de la conexión, así como el servicio telefónico utilizado.
En el caso de los teléfonos móviles, se añade el identificador del equipo y para Internet las direcciones IP dinámica y estática asignadas por el proveedor de acceso a la conexión, el nombre y dirección del usuario y los datos sobre la hora, fecha y duración de una comunicación.
Además, la directiva permitirá que los Estados impongan sanciones, tanto administrativas como penales, en el caso de que se produzcan infracciones de las disposiciones nacionales que se adopten en aplicación de la nueva normativa comunitaria.
Información completa en Nota de Prensa del Consejo de Europa.
En el caso de los teléfonos móviles, se añade el identificador del equipo y para Internet las direcciones IP dinámica y estática asignadas por el proveedor de acceso a la conexión, el nombre y dirección del usuario y los datos sobre la hora, fecha y duración de una comunicación.
Además, la directiva permitirá que los Estados impongan sanciones, tanto administrativas como penales, en el caso de que se produzcan infracciones de las disposiciones nacionales que se adopten en aplicación de la nueva normativa comunitaria.
Información completa en Nota de Prensa del Consejo de Europa.
Con el lema “Sin seguridad no hay confianza y sin confianza no hay negocio” presenta IDC una nueva edición de sus jornadas en seguridad.
Las fechas de celebración son el día 22 de Febrero en el Hotel Palace de Madrid y el día 28 de Febrero en el Hotel Juan Carlos I de Barcelona.
Información completa e inscripciones en V Convocatoria.
Las fechas de celebración son el día 22 de Febrero en el Hotel Palace de Madrid y el día 28 de Febrero en el Hotel Juan Carlos I de Barcelona.
Información completa e inscripciones en V Convocatoria.
Un virus afectó la Bolsa de Rusia y detuvo las transacciones en sus tres mercados entre las 13:15 y las 14:20 GMT del jueves, un día antes de que el anunciado virus Kamasutra afectara a computadoras de todo el mundo.
"El virus entró en una computadora conectada a un sistema de pruebas de mercado procedente de Internet," dijo en el comunicado el vicepresidente de RTS Dmitry Shatsky.
"La computadora comenzó a generar grandes volúmenes de tráfico infectado, que sobrecargó los 'routers' de apoyo de RTS. El resultado fue que el tráfico normal no era procesado," agregó.
"El virus entró en una computadora conectada a un sistema de pruebas de mercado procedente de Internet," dijo en el comunicado el vicepresidente de RTS Dmitry Shatsky.
"La computadora comenzó a generar grandes volúmenes de tráfico infectado, que sobrecargó los 'routers' de apoyo de RTS. El resultado fue que el tráfico normal no era procesado," agregó.
Según los datos obtenidos por la empresa Recovery Labs, el mercado de recuperación de datos informáticos aumentó en 2005 un 17,11% con respecto al ejercicio anterior. Según el informe de la compañía española, a pesar de que se ha producido una descentralización del mercado, Madrid fue la Comunidad Autónoma que más demandó servicios de recuperación de datos, con un 39,13% de la demanda total. Tras Madrid se sitúan Cataluña (19,77%), Andalucía (8,22%), País Vasco (6,93%) y la Comunidad Valenciana (6,66%). Entre las Comunidades que menos utilizan los servicios de recuperación de datos encontramos a La Rioja (0,54%), Extremadura (0,75%) y Cantabria (0,88%).
Información completa disponible en Cibersur.
Información completa disponible en Cibersur.
FOROSEC es un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio que tiene como objetivo establecer una red experta en seguridad informática enfocada a mejorar la competitividad de las PYMES en los servicios de negocio electrónico.
En el marco del proyecto se van a realizar diversas jornadas y cursos sobre seguridad informática aplicada a la PYME en distintas localidades de la geografía nacional.
Las próximas fechas son:
02/02/2006 Bizkaia: Jornada SEGURIDAD INFORMATICA "Un reto al alcance de las PYMEs".
02/02/2006 Valencia: Jornada Novedades en seguridad de los sistemas de información de las empresas.
27/02/2006, Valencia: Curso Buenas prácticas en gestión de la seguridad de la información. ISO 17799.
Información completa e inscripciones disponibles en la propia Web de http://www.forosec.com/cursos.
En el marco del proyecto se van a realizar diversas jornadas y cursos sobre seguridad informática aplicada a la PYME en distintas localidades de la geografía nacional.
Las próximas fechas son:
02/02/2006 Bizkaia: Jornada SEGURIDAD INFORMATICA "Un reto al alcance de las PYMEs".
02/02/2006 Valencia: Jornada Novedades en seguridad de los sistemas de información de las empresas.
27/02/2006, Valencia: Curso Buenas prácticas en gestión de la seguridad de la información. ISO 17799.
Información completa e inscripciones disponibles en la propia Web de http://www.forosec.com/cursos.
Noticias: ISACA revisa su nombre oficial.
19/January/2006
19/January/2006
Desde el pasado 1 de Enero, la prestigiosa asociación ISACA utiliza como nombre oficial únicamente su acrónimo, acompañado de la frase "Serving IT Governance Professionals".
Hasta ahora, ISACA eran las siglas de la Information Systems Audit and Control Association. Con este cambio, ISACA quiere resaltar su actividad en el campo más general del buen gobierno de las TI, restando protagonismo al más específico de la auditoría de sistemas de información, que fue su origen.
Hasta ahora, ISACA eran las siglas de la Information Systems Audit and Control Association. Con este cambio, ISACA quiere resaltar su actividad en el campo más general del buen gobierno de las TI, restando protagonismo al más específico de la auditoría de sistemas de información, que fue su origen.
Noticias: Cursos de formación ISESTORM.
19/January/2006
19/January/2006
Del 1 al 8 de Abril de 2006 tendrá lugar en Barcelona, en la Universidad La Salle-URL, la tercera edición de los cursos de formación ISESTORM. En ellos se imparte formación sobre seguridad y se realizan exámenes para distintas certificaciones (OPSA, Auditor ISO 27000, OPST). El precio del curso, incluidos los tres exámenes de certificación, es de 4.350 $.
ISESTORM está organizado por ISECOM (Institute for Security and Open Methodologies), que es una organización sin ánimo de lucro registrada en EEUU y España dedicada a la formación, metodologías y sensibilización en el ámbito de la seguridad de la información.
Para más información e inscripción, http://www.isecom.org/isestorm
ISESTORM está organizado por ISECOM (Institute for Security and Open Methodologies), que es una organización sin ánimo de lucro registrada en EEUU y España dedicada a la formación, metodologías y sensibilización en el ámbito de la seguridad de la información.
Para más información e inscripción, http://www.isecom.org/isestorm
Noticias: Concedidos los premios "KPMG ISMS Excellence Award".
18/January/2006
18/January/2006
Durante la edición de 2005 de la "7799 Goes Global Conference" en Londres, fueron entregados el 12 de Diciembre los premios "KPMG ISMS Excellence Award" a aquellas personas que han desempeñado una labor significativa en el desarrollo y promoción de las mejores prácticas en seguridad de la información, así como en el diseñ;o de estándares de sistemas de gestión de la seguridad de la información.
El "ISMS Lifetime Achievement Award" ha sido concedido a Ted Humphreys, en reconocimiento a su labor e influencia durante muchos añ;os en el área de los sistemas de gestión de la información. Ted Humphreys ya fue editor de BS 7799-1:1999, origen de todos los estándares posteriores.
El "ISO/IEC 27001:2005 Award" se ha concedido a John Snare y Eva Kuiper, co-editores del estándar ISO/IEC 27001:2005.
El "ISO/IEC 17799:2005 Award" se ha concedido a Angelika Plate y Oliver Weissmann, co-editores de ISO/IEC 17799:2005.
El "ISMS Lifetime Achievement Award" ha sido concedido a Ted Humphreys, en reconocimiento a su labor e influencia durante muchos añ;os en el área de los sistemas de gestión de la información. Ted Humphreys ya fue editor de BS 7799-1:1999, origen de todos los estándares posteriores.
El "ISO/IEC 27001:2005 Award" se ha concedido a John Snare y Eva Kuiper, co-editores del estándar ISO/IEC 27001:2005.
El "ISO/IEC 17799:2005 Award" se ha concedido a Angelika Plate y Oliver Weissmann, co-editores de ISO/IEC 17799:2005.
Noticias: BSI (Alemania) publica un nuevo manual de seguridad TI
16/January/2006
16/January/2006
La agencia alemana para la seguridad de la información BSI (Bundesamt fuer Sicherheit in der Informationstechnik) ha actualizado y añadido nuevos módulos relacionados con la sensibilización y formación en seguridad, clientes de Windows XP, movilidad de los usuarios, así como considera también espacios dedicados a salas de reuniones, conferencias o formación dentro de la publicación de su manual de seguridad para la protección TI.
El manual de seguridad contiene medidas estándar de seguridad en sistemas habitualmente relacionados con las TI y sirve de ayuda para su definición y aplicación.
Está disponible mediante la fórmula de envío anual de las actualizaciones o puede ser consultado desde la propia Web de BSI de forma gratuita y en los próximos días.
Por otra parte, BSI ha decidido adaptar el manual al nuevo estándar ISO 27001 en esta nueva versión.
El manual de seguridad contiene medidas estándar de seguridad en sistemas habitualmente relacionados con las TI y sirve de ayuda para su definición y aplicación.
Está disponible mediante la fórmula de envío anual de las actualizaciones o puede ser consultado desde la propia Web de BSI de forma gratuita y en los próximos días.
Por otra parte, BSI ha decidido adaptar el manual al nuevo estándar ISO 27001 en esta nueva versión.
Noticias: ISO 27000 contra la gripe aviar.
16/January/2006
16/January/2006
Desde grandes empresas a pequeñ;os negocios del Reino Unido, son ya miles los que con carácter de urgencia preparan planes de contingencia para afrontar una posible epidemia global de la gripe aviar.
Las autoridades financieras (Financial Services Authority) incluirán el riesgo de epidemia de la gripe aviar al documento de previsión de riesgos globales que amenazan a las empresas, junto a riesgos ya considerados como el de terrorismo e incendios.
La FSA aconseja a bancos y aseguradoras de todo el mundo a realizar preparativos para el caso de una propagación de los casos mortales ya registrados en Asia y Turquia, ya que la epidemia podría afectar directa o indirectamente a un gran número de plantilla a permanecer en sus casas e incluso trabajar desde sus hogares como solución de urgencia para evitar su propagación.
La organización mundial de la salud estima entre 1.200 y 1.400 millones de dólares los costes globales de preparación para la epidemia aviar.
Aquellas empresas fieles a ISO 27001 (BS7799-2) podrán revisar los controles relacionados con los diferentes apartados del estándar para considerar los nuevos niveles de riesgo que supone esta amenaza.
Fuente: Financial Times
Las autoridades financieras (Financial Services Authority) incluirán el riesgo de epidemia de la gripe aviar al documento de previsión de riesgos globales que amenazan a las empresas, junto a riesgos ya considerados como el de terrorismo e incendios.
La FSA aconseja a bancos y aseguradoras de todo el mundo a realizar preparativos para el caso de una propagación de los casos mortales ya registrados en Asia y Turquia, ya que la epidemia podría afectar directa o indirectamente a un gran número de plantilla a permanecer en sus casas e incluso trabajar desde sus hogares como solución de urgencia para evitar su propagación.
La organización mundial de la salud estima entre 1.200 y 1.400 millones de dólares los costes globales de preparación para la epidemia aviar.
Aquellas empresas fieles a ISO 27001 (BS7799-2) podrán revisar los controles relacionados con los diferentes apartados del estándar para considerar los nuevos niveles de riesgo que supone esta amenaza.
Fuente: Financial Times
Durante los próximos días 15 a 17 de enero tendrá lugar en El Escorial (Hotel Victoria Palace), la celebración del VI Encuentro Ibérico de Autoridades de Protección de Datos. Este Encuentro reunirá por sexta vez, con carácter bilateral, a los máximos representantes de la Agencia Españ;ola de Protección de Datos y de la Comisión Nacional de Protección de Datos de Portugal.
El Presidente de la autoridad portuguesa, D. Luis Lingnau da Silveira y el Director de la Agencia Españ;ola de Protección de Datos, D. José Luis Piñar, junto a otros miembros de dichas entidades, abordarán durante estos tres días asuntos de interés común en lo tocante a la protección de datos, entre los que se incluyen "la Administración Electrónica y el Documento Nacional de Identidad Electrónico", la "Utilización de datos para estudios de investigación científica-ensayos clínicos", así como las experiencias de ambas autoridades nacionales en relación con la Ley Sarbanes Oxley, de los Estados Unidos de América.
Fuente: Redacción.
El Presidente de la autoridad portuguesa, D. Luis Lingnau da Silveira y el Director de la Agencia Españ;ola de Protección de Datos, D. José Luis Piñar, junto a otros miembros de dichas entidades, abordarán durante estos tres días asuntos de interés común en lo tocante a la protección de datos, entre los que se incluyen "la Administración Electrónica y el Documento Nacional de Identidad Electrónico", la "Utilización de datos para estudios de investigación científica-ensayos clínicos", así como las experiencias de ambas autoridades nacionales en relación con la Ley Sarbanes Oxley, de los Estados Unidos de América.
Fuente: Redacción.
Noticias: Unisys ha sido certificado por BSI en ocho centros.
09/January/2006
09/January/2006
Unisys proporciona gestión de seguridad de la información a clientes y sus socios a través de las mejores prácticas de seguridad en ocho sedes en América, Europa, África y Asia-Pacífico
Tras una revisión formal de los procesos e instalaciones de seguridad de Unisys, BSI determinó que tres centros de operaciones de seguridad (SOCs) y ocho MSCs cumplen con los estrictos requisitos que ordena la BS 7799. Se realizarán revisiones y auditorías regulares para garantizar que se mantenga dicho cumplimiento.
Unisys es el primer proveedor de servicios administrados de seguridad en obtener certificaciones BS 7799 para todos sus centros primarios de operaciones de seguridad. Las SOCs y MSCs que recibieron la certificación son:
- Amsterdam, Países Bajos.
- Blue Bell (Philadelphia), EUA.
- Bogotá, Colombia.
- Johannesburg, Suráfrica.
- Milton Keynes (Londres), RU.
- São Paulo, Brasil.
- Sydney, Australia.
- Wellington, Nueva Zelanda.
"La certificación BS 7799 demuestra un enfoque hacia 'lo mejor en su clase' en el manejo de la seguridad de la información dentro de nuestra infraestructura global de entrega de servicios", afirmó Judy List, vicepresidente y socia gestora, Servicios y Soluciones, Servicios Globales de Outsourcing e Infraestructura de Unisys.
El Dr. Larry Ponemon, presidente y fundador del Ponemon Institute, afirmó, "La certificación de los centros de servicios administrados de Unisys según la norma BS 7799 da a los clientes y socios de Unisys la certeza de que la compañ;ía ha implementado las mejores salvaguardas para sus ambientes de TI y la información crítica de la empresa".
Unisys continúa implementando métodos para aumentar esta visibilidad para sus clientes a través de toda la empresa a fin de que puedan manejar el riesgo más eficazmente y adaptarse rápidamente a las nuevas oportunidades del mercado.
Información completa en la propia página de Unisys.
Tras una revisión formal de los procesos e instalaciones de seguridad de Unisys, BSI determinó que tres centros de operaciones de seguridad (SOCs) y ocho MSCs cumplen con los estrictos requisitos que ordena la BS 7799. Se realizarán revisiones y auditorías regulares para garantizar que se mantenga dicho cumplimiento.
Unisys es el primer proveedor de servicios administrados de seguridad en obtener certificaciones BS 7799 para todos sus centros primarios de operaciones de seguridad. Las SOCs y MSCs que recibieron la certificación son:
- Amsterdam, Países Bajos.
- Blue Bell (Philadelphia), EUA.
- Bogotá, Colombia.
- Johannesburg, Suráfrica.
- Milton Keynes (Londres), RU.
- São Paulo, Brasil.
- Sydney, Australia.
- Wellington, Nueva Zelanda.
"La certificación BS 7799 demuestra un enfoque hacia 'lo mejor en su clase' en el manejo de la seguridad de la información dentro de nuestra infraestructura global de entrega de servicios", afirmó Judy List, vicepresidente y socia gestora, Servicios y Soluciones, Servicios Globales de Outsourcing e Infraestructura de Unisys.
El Dr. Larry Ponemon, presidente y fundador del Ponemon Institute, afirmó, "La certificación de los centros de servicios administrados de Unisys según la norma BS 7799 da a los clientes y socios de Unisys la certeza de que la compañ;ía ha implementado las mejores salvaguardas para sus ambientes de TI y la información crítica de la empresa".
Unisys continúa implementando métodos para aumentar esta visibilidad para sus clientes a través de toda la empresa a fin de que puedan manejar el riesgo más eficazmente y adaptarse rápidamente a las nuevas oportunidades del mercado.
Información completa en la propia página de Unisys.
Se suele ver la seguridad de la información desde el punto de vista de las intrusiones o el acceso indebido a datos confidenciales. Sin embargo, los controles en aplicaciones referidos a la integridad de la información en su introducción, proceso y salida son igualmente importantes.
El 8 de diciembre pasado, los ordenadores de la bolsa de Tokio no detectaron ni bloquearon una transacción errónea de un operador de la sociedad Mizuho Securities. Este se equivocó en una operación relacionada con la introducción en la Bolsa de una pequeña sociedad, J-Com. En lugar de vender una acción de J-Com por 610.000 yenes, colocó 610.000 acciones a un yen cada una. Este error provocó el caos en el mercado de Tokio (el mercado en su conjunto bajó un 2%) y Mizuho Securities ha calculado que el error le costará más de 240 millones de euros, por la obligación de recomprar acciones a un precio muy superior al real.
La Bolsa de Tokio ha admitido también su parte de culpa en el incidente porque sus sistemas no permitieron al operador anular la orden a pesar de haberse dado cuenta del error inmediatamente. Tras la dimisión de dos directores, el propio presidente de la Bolsa ha anunciado hoy la suya.
La venta de acciones superaba en 40 veces el número total de acciones de la empresa, además de ofrecerlas a un precio irrisorio. Un simple control del tipo "reasonableness check" (comprobación de razonabilidad) en la aplicación hubiera detectado el error a tiempo.
El 8 de diciembre pasado, los ordenadores de la bolsa de Tokio no detectaron ni bloquearon una transacción errónea de un operador de la sociedad Mizuho Securities. Este se equivocó en una operación relacionada con la introducción en la Bolsa de una pequeña sociedad, J-Com. En lugar de vender una acción de J-Com por 610.000 yenes, colocó 610.000 acciones a un yen cada una. Este error provocó el caos en el mercado de Tokio (el mercado en su conjunto bajó un 2%) y Mizuho Securities ha calculado que el error le costará más de 240 millones de euros, por la obligación de recomprar acciones a un precio muy superior al real.
La Bolsa de Tokio ha admitido también su parte de culpa en el incidente porque sus sistemas no permitieron al operador anular la orden a pesar de haberse dado cuenta del error inmediatamente. Tras la dimisión de dos directores, el propio presidente de la Bolsa ha anunciado hoy la suya.
La venta de acciones superaba en 40 veces el número total de acciones de la empresa, además de ofrecerlas a un precio irrisorio. Un simple control del tipo "reasonableness check" (comprobación de razonabilidad) en la aplicación hubiera detectado el error a tiempo.
La Agencia Españ;ola de Protección de Datos ha impuesto en 2005 sanciones por un importe de 20 millones de euros a empresas e instituciones que violaron la Ley Orgánica que regula estas operaciones y ejecutó 800 operaciones diarias entre inscripciones, modificaciones y cancelaciones. La infracción más importante suele ser el tratamiento de datos sin el consentimiento de los particulares, en especial los relativos a salud, afiliación sindical, región o ideas políticas.
IT Governance Institute ha publicado la cuarta versión de COBIT (Control Objectives for Information and related Technology). La tercera versión, que estaba en vigor hasta ahora, data del añ;o 2000.
COBIT, con un prestigio y una implantación a nivel mundial, es un marco de gobierno de IT y un conjunto de herramientas que ayudan a las empresas a desarrollar políticas y buenas prácticas en IT. El documento, de más de 200 páginas, está disponible ya para miembros de ISACA (Information Systems Audit and Control Association) y, a partir del 16 de Diciembre, para el público en general, en www.isaca.org/cobit
COBIT, con un prestigio y una implantación a nivel mundial, es un marco de gobierno de IT y un conjunto de herramientas que ayudan a las empresas a desarrollar políticas y buenas prácticas en IT. El documento, de más de 200 páginas, está disponible ya para miembros de ISACA (Information Systems Audit and Control Association) y, a partir del 16 de Diciembre, para el público en general, en www.isaca.org/cobit
Hace 4 añ;os que "SANS Institute" y NIPC "National Infrastructure Protection Center" del FBI publicaron por primera vez el documento que recogía inicialmente las 10 vulnerabilidades más críticas de seguridad en Internet.
Miles de organizaciones utilizan éste documento con el objetivo de priorizar los esfuerzos y eliminar los agujeros en seguridad más peligrosos.
El documento del 2005 refleja la naturaleza dinámica de las amenazas, ya que las categorías tradicionales "Windows" y "Unix" han quedado reducidas por productos relacionados con "Networking" (Cisco, Juniper, Checkpoint y Symantec) y aplicaciones multiplataforma de software de backup, anti-virus, bases de datos y mensajería entre otros.
Información completa con información técnica y recomendaciones disponible en: http://www.sans.org/top20/
Miles de organizaciones utilizan éste documento con el objetivo de priorizar los esfuerzos y eliminar los agujeros en seguridad más peligrosos.
El documento del 2005 refleja la naturaleza dinámica de las amenazas, ya que las categorías tradicionales "Windows" y "Unix" han quedado reducidas por productos relacionados con "Networking" (Cisco, Juniper, Checkpoint y Symantec) y aplicaciones multiplataforma de software de backup, anti-virus, bases de datos y mensajería entre otros.
Información completa con información técnica y recomendaciones disponible en: http://www.sans.org/top20/
Según cifras del "ISMS International User Group", en Octubre se ha alcanzado la cifra de 1870 empresas certificadas en el mundo en BS 7799-2 (la norma que ha sido reemplazada este mismo mes por la ISO 27001).
Japón encabeza la lista con 1080 empresas, mientras que en España son 5 las organizaciones certificadas.
Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.
En http://www.xisec.com/register.htm pueden consultarse los detalles.
Japón encabeza la lista con 1080 empresas, mientras que en España son 5 las organizaciones certificadas.
Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.
En http://www.xisec.com/register.htm pueden consultarse los detalles.
El 15 de Octubre de 2005 ha sido publicada la nueva norma ISO/IEC 27001 sobre requerimientos de los sistemas de gestión de seguridad de la información. Esta norma sustituye a BS 7799-2:2002.
Las diferencias entre el nuevo estándar ISO/IEC 27001 y BS7799-2:2002 son pocas, con objeto de asegurar la compatibilidad, consistencia y transición al nuevo estándar en los procesos de revisión.
ISO/IEC 27001 está relacionada a través de su anexo A con ISO 17799:2005, conteniendo los controles de esta última.
ISO 17799 pasará a ser ISO 27002 previsiblemente en Abril de 2007.
La norma puede ser adquirida ya en www.iso.org.
Las diferencias entre el nuevo estándar ISO/IEC 27001 y BS7799-2:2002 son pocas, con objeto de asegurar la compatibilidad, consistencia y transición al nuevo estándar en los procesos de revisión.
ISO/IEC 27001 está relacionada a través de su anexo A con ISO 17799:2005, conteniendo los controles de esta última.
ISO 17799 pasará a ser ISO 27002 previsiblemente en Abril de 2007.
La norma puede ser adquirida ya en www.iso.org.