ISO27000.es - Archivo de Noticias
III Congreso CNIS
22/December/2012, 04:04 PM

Los días 20 y 21 de febrero de 2013 se celebrará nuevamente en Madrid el ?III CONGRESO NACIONAL DE INTEROPERABILIDAD Y SEGURIDAD? en la sede de la Fábrica Nacional de Moneda y Timbre

Foro de encuentro para avanzar sobre la aplicación de los Esquemas Nacionales de Interoperabilidad y Seguridad en Administraciones Públicas españolas para dar paso a nuevas formas de gestionar y tramitar de forma electrónica y conseguir una única plataforma de servicios públicos, optimizando recursos y fortaleciendo las relaciones entre lo público y lo privado.


Guía de uso seguro del Cloud: LOPD
22/December/2012, 04:00 PM

¿Como se cumplen todas las exigencias? Se mostrarán más adelante la gran cantidad de requisitos exigidos por la Ley par este tipo de contratos, ¿pero como se cumplen?: pues, en resumen, eligiendo un proveedor de Servicios Cloud que incluya en sus condiciones todas las exigencias legales en lugar de exigir cada punto.


CCDCOE - National Cyber Security Framework Manual
21/December/2012, 12:31 PM

Publicación OTAN por parte del Cooperative Cyber Defence Centre of Excelence que procura tomar en consideración de todas las facetas que deben tenerse en cuenta en la elaboración de una estrategia nacional de seguridad cibernética, así como herramientas genuinas y asesoramiento altamente competente en este proceso para fomentar un mayor nivel de seguridad informática a nivel nacional e internacional.


Gran desconocimiento de seguridad entre los profesionales de TI
21/December/2012, 12:28 PM

Casi un tercio de los profesionales de TI carecen de conocimientos básicos sobre las amenazas de seguridad más comunes, según un informe de Kaspersky, a pesar de que la seguridad figura entre las prioridades de sus organizaciones.

Para la edición 2012 del estudio, se consultó a más de 3.300 profesionales de TI senior de 22 países (200 procedentes de España), todos ellos con influencia en las políticas de seguridad TI y con un buen conocimiento tanto de cuestiones de seguridad informática como de asuntos del negocio en general, por ejemplo, finanzas y recursos humanos.


ISO 20000 y cloud computing
21/December/2012, 12:26 PM

La computación en la nube es un paradigma aún en evolución. Si bien se ha aceptado mayoritariamente la definición de cloud propuesta por el Instituto americano de Estándares y Tecnología (NIST, por sus siglas en inglés), todavía hay muchos aspectos por definir y estandarizar.

Artículo de Diego Berea en redestelecom.es


Publicada la última edición de la Encuesta ISO de Certificaciones
15/December/2012, 09:13 PM

España es de los contados países a nivel internacional que no crece en número total de certificados respecto al año anterior.

Con un aumento constante y significativo desde su publicación y del 12% a nivel internacional para el último año, el dato de España debería aportar cierto grado de preocupación para el tejido empresarial nacional como a las administraciones públicas españolas considerando las necesidades de productividad, protección y garantías actuales que tanto mercados tradicionales como accesos y transacciones telemáticas necesitan, especialmente si se considera adicionalmente la retirada de ayudas a Pymes para la implantación en España de éste y otros tipos similares de buenas prácticas para 2013.

El top 3 en número de certificados de ISO/IEC 27001 está representado por Japón, India y Reino Unido, mientras que el top 3 en crecimiento sólo para 2011 fueron Japón, Rumanía y China.

El número total de certificaciones acreditadas en ISO/IEC 27001 alcanzado a diciembre de 2011 es de un total de 17.509.


Gartner: 4 futuros CIOs para TI
15/December/2012, 09:10 PM

"Estamos siendo testigos de la emergencia de una nueva generación de directores de TI, que tiene como objetivo no tanto "ejecutar" TI como asegurar que la empresa alcanza sus valores estratégicos mediante el uso de la tecnología", dijo John Mahoney, vicepresidente y analista distinguido de Gartner. "Aunque esto no es un desarrollo completamente nuevo, la magnitud del cambio es cada vez mayor y se alcanzará un punto de inflexión en los próximos cinco años".


El adivino
13/December/2012, 12:47 PM

Esta campaña se centra en Dave, un medium dotado de un don "paranormal" y que atiende a transeúntes que desean recibir sus consejos personales de forma gratuita. Resultó ser un verdadero éxito: ¿Cuál es el nombre de sus hijos? ¿Cuál era el precio de su casa? ¿Cuánto dinero hay en su cuenta bancaria? ¿Cuánto gastó en ropa el mes pasado? ¿Cuál es su número de tarjeta de crédito?

Dave responde a todas estas preguntas de manera clara y precisa aunque desvelará al final del video el secreto de sus poderes ocultos....


Soluciones y herramientas en continuidad de negocio
13/December/2012, 01:17 AM

Continuity Business pone a disposicion diversas referencias de interés para la implantación de la continuidad de negocio, pasos de implantacion de la norma ISO 22301, propuestas de diversos ejercicios, guías, entre otros.

Más recursos en este área y soluciones disponibles en Anexo 14 de iso27002.es de la mano del patrocinio de GesConsultor (Plataforma para Sistemas de Gestión) y Áudea (Especialistas en Seguridad).


Más del 50% de la información de las pymes latinoamericanas está fuera del Firewall
13/December/2012, 01:13 AM

Más del 30% de las empresas experimentó la exposición de datos confidenciales como resultado de la pérdida o el robo de dispositivos móviles.


AMENAZAcyber
13/December/2012, 01:00 AM

Reportaje del programa de la 2 "En Portada" analizando los riesgos del ciberespacio, los robos de datos y ataques contra redes gubernamentales, cibercomandos y las batallas en el mundo virtual como extensión de las guerras que se producen en el mundo real.


El 85% de los CIOs prefiere un proveedor con data center en el país
11/December/2012, 01:06 AM

Los CIOs están preocupados por dónde se almacena la creciente cantidad de información, cómo es posible acceder a ella y quién puede hacerlo. Un informe de Forrester Consulting revela que estos directivos prefieren mantener sus datos dentro de las fronteras.


Metasploit Pro 4.5 disponible
11/December/2012, 12:59 AM

Introduce capacidades avanzadas para simular ataques de ingeniería social de modo que los profesionales de la seguridad ahora pueden ganar visibilidad en la exposición de su organización a los ataques de phishing a través de vectores de amenazas focalizadas tanto en usuarios como técnicos, e introducir los controles necesarios para gestionar el riesgo.


Hackers & Developers magazine
11/December/2012, 12:22 AM

Magazine digital de distribución mensual sobre Software Libre, Hacking y Programación y de distribución libre y gratuita bajo una licencia Creative Commons.


ISMS Forum reunió en Barcelona a actores clave de la Ciberseguridad en EEUU y la UE
11/December/2012, 12:18 AM

Participaron, entre otros, Howard Schmidt, exasesor de Ciberseguridad de Bush y Obama y presidente de la ISSA; Michael Kaiser, director de la NCSA; Manel Medina, Stakeholder Relations Advisor de ENISA y César Lorenzana, Capitán del Grupo de Delitos Telemáticos de la Guardia Civil.

Información completa con el resumen de las jornadas y apariciones en TVE disponibles desde la web de la asociación.


El capítulo español de CSA publica la traducción al español de la CSAGUIDE, V3.0
11/December/2012, 12:12 AM

Esta iniciativa, cuyo título en español es ?Guías de seguridad de áreas críticas en Cloud Computing V3.0?, tiene como objetivo fundamental poner a disposición de toda la comunidad hispanohablante este documento clave para la segura adopción del Cloud, facilitando sus contenidos por encima de las barreras que pudiera suponer el idioma


Publicaciones ISO en seguridad
11/December/2012, 12:02 AM

Últimas publicaciones relacionadas con aspectos de seguridad y recientemente aprobadas:

- ISO/IEC/TR 15443-1 ed2.0 (2012-11)
Information technology -- Security techniques -- Security assurance framework -- Part 1: Introduction and concepts

- ISO/IEC/TR 15443-2 ed2.0 (2012-11)
Information technology -- Security techniques -- Security assurance framework -- Part 2: Analysis

- ISO/IEC 17826 ed1.0 (2012-11)
Information technology -- Cloud Data Management Interface (CDMI)

- ISO/IEC/TR 20002 ed1.0 (2012-11)
Information technology -- Telecommunications and information exchange between systems -- Managed P2P: Framework

- ISO/IEC 25437 ed3.0 (2012-11)
Information technology -- Telecommunications and information exchange between systems -- WS-Session -- Web services for application session services)

- ISO/IEC PACK-CA-1 ed2.0 (2012-11)
Conformity assessment - Certification and inspection bodies


Publicada ISO/IEC/TR 27015 para entornos financieros
10/December/2012, 11:53 PM

Disponible la descarga en modo preview y publicada con fecha 01 de Diciembre ISO/IEC TR 27015:2012 proporciona una guía complementaria de 18 páginas a la conocida ISO/IEC 27002 para la seguridad de la información en organizaciones dentro del sector de actividades de los servicios financieros.


revista Thrive! Iberoamérica del Disaster Recovery Institute (DRI) International
10/December/2012, 11:48 PM

Revista oficial de DRI Internacional editada en español y con frecuencia trimestral.

Este primer número especial de Thrive! Iberoamérica se enfoca en conocer el estado de la BCM en Latinoamérica como forma útil entender no solamente las tendencias locales o regionales, sino las tendencias globales en base a la experiencia de colegas profesionales certificados en continuidad.


ISO 27002: Listado de soluciones en seguridad
28/November/2012, 10:49 PM

Muchas más novedades y soluciones en iso27002.esde la mano del patrocinio de GesConsultor (Plataforma para Sistemas de Gestión) y Áudea (Especialistas en Seguridad).

Ampliamos el listado de herramientas añadiendo un directorio completo de soluciones para la recogida de evidencias, la protección de conexiones, la auditoría de diversos sistemas y de comprobación técnica de vulnerabilidades de la mano de ENISA.

Añadimos información relevante para la identificación de la legislación aplicable y el análisis y especificación de los requisitos de seguridad de mano de los trabajos del Centro de Seguridad TIC de Comunidad Valenciana.


Guía Cumplimiento PCI-DSS
28/November/2012, 10:37 PM

Como aportación de Áudea se proporciona el documento desde su partner tecnológico NETASQ con información sobre la guía de cumplimiento con PCI-DSS.

Información completa con acceso directo sin necesidad de registro previo.


BSI: catálogo de cursos y calendario 2013
28/November/2012, 10:27 PM

La entidad de certificación y formación BSI España comunica a todos los interesados los próximos cursos para 2013 entre los que se encuentran los de implantación y Lead Auditor en ISO 27001, ISO 20000 e ISO 22301, entre otros.


Lección 9. Ataque por cifrado cíclico
28/November/2012, 10:02 PM

Nueva lección desde el aula virtual de criptografía y seguridad de la Universidad Politécnica de Madrid.


INTECO: Asegurando tu smartphone o tableta Android
28/November/2012, 09:47 PM

En este curso gratuito se explica de forma sencilla que aspectos hay que tener en cuenta a la hora de asegurar un dispositivo con Android, de manera que la información esté lo más segura posible. También se mostrará como prevenir problemas de seguridad, y en caso de que parezcan, solucionarlos de la forma más simple y efectiva posible.


IBPI: nuevo instituto internacional en Best Practices
28/November/2012, 09:44 PM

IBPI es el International Best Practice Institute con sede en Holanda y con contenidos disponibles de forma gratuita a profesionales de la gestión en los campos TI en diversos dominios, seguridad de la información e ISO 27001 incluidos.


Estafas: la formación gana en la comunidad española, iphones en la americana, loteria para los británicos
28/November/2012, 09:27 PM

¿Qué tentación puede ser tan atractiva para que los usuarios se olviden de todos los consejos que han estado recibiendo en seguridad durante años e inocentemente abran mensajes de spam que les exponen a todo tipo de amenazas?

Resultados del análisis de las últimas estafas vigentes y por nacionalidades.


Ciberparaisos fiscales y lavado de dinero
28/November/2012, 09:05 PM

La economía Bitcoin según el informe desclasificado del FBI no es despreciable, teniendo en cuenta un presupuesto de alrededor de 12 USD por cada bitcoin y un importe total de más de 10,4 millones de bitcoins en circulación nos enfrentamos con una economía de alrededor de 118 millones USD, muy conveniente para el cibercrimen.

Bitcoinplataformas de ocio o Silk Road, entre otros de la denominada Deep Web, aparecen como espacios en los que las actividades de control de ciertas transacciones económicas son difíciles de controlar, afectando a economías y a la seguridad de gobiernos nacionales.


Proactiva detección de incidentes: Honetpots
27/November/2012, 05:36 PM

La agencia ENISA de la UE para la ciberseguridad lanza un estudio en profundidad sobre 30 diferentes "trampas" o honeypots digitales que pueden ser utilizados por los Equipos de Respuesta a Emergencias (CERT) para detectar de forma proactiva ataques cibernéticos.

Este estudio reduce las barreras para la comprensión de los conceptos básicos del honeypot y presenta recomendaciones sobre como utilizarlos. Este informe completa uno anterior sobre herramientas de protección.


ISO 22301, nueva norma para la gestión de la continuidad de negocio
27/November/2012, 05:24 PM

Artículo de opinión en español de Dave Austin, editor principal de la ISO 22301 y ponente del Fórum Internacional ISO 20000.


Mapa de comprensión de riesgos en Cloud Computing
27/November/2012, 11:24 AM

The Cloud Computing Risk Intelligence Map? ofrece una vista única sobre la penetrante, evolucionada e interconectada naturaleza de los riesgos asociados a la computación en la nube y de gran utilidad a personal ejecutivo y gerencial que necesite identificar los riesgos y el grado de afectación a sus organizaciones.

Más soluciones y material de apoyo a CC en iso27002.es


Análisis de amenazas 2012 a nivel mundial
04/November/2012, 10:18 PM

El volumen 13 del Microsoft® Security Intelligence Report (SIRv13) presenta en detalle perspectivas acerca de las vulnerabilidades de software, amenazas de código malicioso y software posiblemente no deseado en programas de software de Microsoft y de terceros. Microsoft ha elaborado estas perspectivas basándose en detallados análisis de tendencias realizados en los últimos años, haciendo hincapié en el primer semestre de 2012.

Este documento  (disponible también en español) resume las principales conclusiones del informe. El informe completo incluye también un análisis a fondo de las tendencias observadas en más de 100 países/regiones del mundo, y presenta sugerencias que contribuirán a gestionar los riesgos para su organización, sus programas de software y su personal.


España y México: Próximos cursos de diseño y buenas prácticas en Data Center
04/November/2012, 09:01 PM

DataCenterDynamics ofrece formación especializada en Centros de Datos con certificación reconocida internacionalmente en sus cursos y dirigida a todos los profesionales involucrados en tareas de construcción, mantenimiento y gestión de los Centros de Datos y Salas TI de misión crítica.

Listado de próximos cursos y acceso a descripción detallada en español.


Seguridad de las empresas, comprometida por novatos: Verizon
04/November/2012, 08:52 PM

?Lo que estamos viendo es que los cibercriminales han comenzado a diversificar sus focos de ataques. La industria financiera sigue siendo una de las más afectadas por el delito en Internet, pero el informe de este año muestra que verticales como la de hospedaje y alimentos son los nuevos blancos de ataque de los delincuentes en línea?, dijo Steven Rivera, vicepresidente de la división de Servicios de seguridad de Verizon en América Latina.

?Para el criminal es más fácil vulnerar el sistema de una pequeña cadena de retail, un miscelánea o un hotel pequeño, que tratar de penetrar el robusto sistema de seguridad de una institución financiera?, comenta Steven Rivera, vicepresidente de la división de Servicios de seguridad de Verizon en América Latina.

El informe desarrollado por el operador Verizon ?que cuenta con el apoyo del Servicio Secreto de Estados Unidos, la Unidad Central de Crimen Digital de la Policía y las divisiones de combate al cibercrimen de Alemania, Irlanda y Australia? destaca que en el último año a nivel mundial se han reportado más de 855 incidentes y poco más de 174 millones de archivos comprometidos.


Publicada ISO/IEC 27037
04/November/2012, 08:52 PM

ISO/IEC 27037 propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.

Añadimos esta solución junto al resto de propuestas dentro del control del Anexo 13.2.3


Nueva York lucha contra los apagones tras el huracán Sandy
31/October/2012, 02:36 PM

La industria del data center reconoce que está preparada, aunque algunas caídas ya han sido confirmadas.

Video de una explosión con posible afectación en proveedor Consolidated Edison (Con Ed).


EU ENISA report: Riesgos y Oportunidades destacados en TI
31/October/2012, 02:21 PM

El objetivo de esta publicación es proporcionar una supervisión más completa de las oportunidades y riesgos en el uso de dispositivos y consumo en TI, recopilando datos de otros estudios relacionados.

A finales del año 2012, los riesgos evaluados en la actualidad y las oportunidades van a ser reevaluados con el fin de captar nuevos acontecimientos en este particular.


Utilización de equipos informáticos, correo electrónico e internet y control empresarial
29/October/2012, 10:43 AM

Hace unos años, el Tribunal Supremo ha sentado la doctrina en la sentencia del 26 de septiembre de 2007, en relación al despido disciplinario de un empleado que utilizó el ordenador de la empresa y su conexión a Internet para entrar en páginas pornográficas en horario laboral y fue descubierto por la empresa.

Artículo completo en Áudea


El asesor en Ciberseguridad de Bush y Obama confirma su participación en la XII Jornada Internacional de ISMS Forum
29/October/2012, 10:31 AM

La XII Jornada de Seguridad de la Información de ISMS Forum (28 de noviembre, Barcelona) se aproxima a las iniciativas llevadas a cabo en EEUU y la UE destinadas a la lucha contra el cibercrimen y a aumentar el grado de conocimiento y compromiso en la seguridad cibernética de gobiernos, empresas y ciudadanía. Para ello, se contará con la participación de uno de los mayores expertos mundiales en ciberseguridad, Howard Schmidt, asesor tanto de George W. Bush como de Barack Obama, con quien ostentó el cargo de Coordinador de Ciberseguridad y Ayudante Especial del Presidente hasta mayo de 2012.

Disponible en nuestra sección de artículos la participación de Howard Schmidt en pasadas ediciones.


Ley de protección de datos en Colombia una realidad
29/October/2012, 10:22 AM

En una entrevista con Efe, el responsable para la Protección de Datos Personales de la Superintendencia de Industria y Comercio de Colombia, José Alejandro Bermúdez, confirmó hoy que "el proyecto de ley ya es una realidad".

"El presidente de la República, Juan Manuel Santos, ya tiene en sus manos el texto depurado, aprobado por la Corte Constitucional y está pendiente solamente de su sanción", adelantó, al afirmar que la rúbrica se producirá "en el curso de este mes o del siguiente".


Claúsulas contractuales en Cloud Computing
29/October/2012, 10:20 AM

Modelo de entrega de servicios basado en CLOUD COMPUTING y sus implicaciones en materia de protección de datos. Contratación con CSPs. Auditorías (ISO19011) de Sistemas de Gestión basados en normas ISO (ISO20000, ISO22301, ISO27001 y ISO9001).


ISO 27002: Herramientas para controles de seguridad
18/October/2012, 10:52 AM

Seguimos sumando recursos en ISO27002.es con novedades en aspectos relacionados con 

11.5.4. Uso de los servicios del sistema: Añadimos herramienta para detectar los servicios habilitados mediante el chequeo del registro del sistema, los puertos locales abiertos y los servicios en ejecución. Propone acciones de parcheo y deshabilitación directamente una vez realizado el chequeo para que el usuario fácilmente pueda valorar tomar acciones de protección pertinentes.

10.7.4. Seguridad de la documentación: aplicaciones para la protección de accesos a ficheros que eviten borrados o alteraciones no deseadas ni permitidas.

ISO27002.es cuenta con el patrocinio de:

GesConsultor (Plataforma para Sistemas de Gestión)

Áudea (Especialistas en Seguridad)

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa


Publicada ISOIEC 27013
15/October/2012, 09:57 PM

ISO/IEC 27013:2012 proporciona una guía de integración en la implantación de ISO/IEC 27001 y de ISO/IEC 20000-1 para aquellas organizaciones que tienen como objetivo:

a) implantar ISO/IEC 27001 cuando ISO/IEC 20000-1 ya está implantada o viceversa;
b) implantar ambas normas ISO/IEC 27001 y ISO/IEC 20000-1 al mismo tiempo;
c) integrar los sistemas de gestión ya implantandos de ambas normas ISO/IEC 27001 y ISO/IEC 20000-1.


Siete de cada diez empresas españolas, en riesgo de sufrir fugas de información
07/October/2012, 10:57 PM

Un 74% de las empresas encuestadas considera que detecta, como mínimo, los casos más graves de incumplimiento y que los daños en ningún caso superan los 3.000 ? por incidente. Sin embargo los riesgos más graves asociados al mal uso de los recursos tecnológicos entrañan, entre otros, la fuga de datos confidenciales tanto de la empresa como de posibles clientes.


¿Nuevo estándar? Protocolo de seguridad web HSTS
07/October/2012, 10:50 PM

HSTS es una función de seguridad diseñada para proteger a los internautas de ataques como secuestros de conexiones de red, obligando a realizar accesos seguros a sitios web mediante HTTPS y también en sus subdominios.

Noticia completa en Áudea


ISO 27002: Herramientas para la seguridad
15/July/2012, 06:48 PM

¿Quierés saber si tu sitio Web ha sido modificado con código oculto o comprobar si ciertos nodos de Internet son seguros?

¿Quieres aplicar políticas de etiquetado según la clasificación de la información pero necesitas una solución que facilite el esfuerzo? 

Muchas más novedades y soluciones en iso27000.es gracias al patrocinio de GesConsultor (Plataforma para Sistemas de Gestión) y Áudea (Especialistas en Seguridad).


ENISE 23 y 24 de Octubre: Smartgrids: un nuevo reto para la seguridad
07/October/2012, 10:47 PM

Esta sesión tratará de proveer las claves para afrontar el nuevo reto de la modernización del sector eléctrico y que afronta la evolución hacia las redes inteligentes y los mecanismos de comunicación segura y de respuesta ante nuevos vectores de ataque.


Desmontando el Malware
30/September/2012, 09:45 PM

"Tras una introducción sobre qué es el malware, su objetivo y cómo llega a los equipos, se analizarán en profundidad los diferentes tipos de malware y se presentarán algunos ejemplos de renombre. El objetivo último es dar a conocer a los usuarios las distintas clases de malware para entender su funcionamiento y poder protegerse con mayor eficacia."

Publicación de INTECO


Guías en Cibersguridad para las empresas
29/September/2012, 03:57 PM

Desarrollada por el Business Innovation and Skills (BIS) del Reino Unido y alineada con la serie de normas ISO/IEC 27000 los documentos de libre descarga proporcionan los consejos y acciones fundamentales a contemplar para la protección del tejido empresarial.

El Centro Criptológico Nacional ha desarrollado 17 guías de manera similar, además de disponer herramientas para análisis de riesgos, noticias de actualidad y otras medidas de protección.


Ciberespionaje en el sector energético, no sólo por China
29/September/2012, 03:53 PM

Desde el mes pasado una nueva campaña de ataques cibernéticos han impactado en el sector de la energía; todo se inició con los incidentes en las empresas Saudíes Aramco y RasGas.


Dos tercios de las empreas latinas carecen de una estrategia de gestión de riesgo
21/September/2012, 05:01 AM

La mitad de de los encuestados informaron que en sus empresas se dedica más tiempo a medidas reactivas y 56%, que se gasta más presupuesto en este tipo de medidas.

Además, cuatro de cada 10 encuestados consolidan sus informes de gestión de riesgo manualmente o no miden el riesgo directamente.


Las 3 uves de BIG DATA
21/September/2012, 03:08 AM

Los datos están de moda. En el informe BIG Data frontier publicado por McKinsey en 2010, la consultora predijo un incremento del 60% en los ingresos de explotación del sector del retail gracias a lo que en el sector de las TI se denomina BIG Data. Es, por tanto, útil, entender las tres uves de su BIG Data: Volumen, Velocidad y Variedad.


ISO 27002: Herramientas para controles de seguridad
06/September/2012, 11:32 PM

Seguimos sumando recursos en ISO27002.es con novedades en aspectos relacionados con 

10.3.1. Planificación de las capacidades: para conocer la carga de servidores sobre peticiones de clientes del dominio en Microsoft.

12.2.2. Control del proceso interno: para la detección de alteraciones en librerías DLL/EXE de Windows o en ficheros flash.

ISO27002.es cuenta con el patrocinio de:

GesConsultor (Plataforma para Sistemas de Gestión)

Áudea (Especialistas en Seguridad)

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa


Últimas publicaciones NIST
06/September/2012, 11:27 PM

Recomendaciones del National Institute of Standards and Technology en relación a:

- 800-94 Guide to Intrusion Detection and Prevention Systems (IDPS)

- 800-61 Revision 2, Computer Security Incident Handling Guide.


Aprobación de la Norma Técnica de Interoperabilidad de Política de gestión de documentos electrónicos
06/September/2012, 11:07 PM

En el BOE del pasado 26 de julio se han publicado las normas técnicas de interoperabilidad de Protocolos de intermediación de datos, de Relación de modelos de datos y de Política de gestión de documentos electrónicos.

Las Normas Técnicas de Interoperabilidad desarrollan aspectos concretos de diversas cuestiones, tales como: Documento electrónico, digitalización, expediente electrónico, copiado auténtico y conversión, política de firma, estándares, intermediación de datos, modelos de datos, gestión de documentos electrónicos, conexión a la red de comunicaciones de las Administraciones públicas españolas, modelo de datos para el intercambio de asientos registrales y declaración de conformidad; todos ellos necesarios para asegurar los aspectos más prácticos y operativos de la interoperabilidad entre las Administraciones públicas y con el ciudadano.


Huawei Cyber Security White Paper
06/September/2012, 10:42 PM

El documento "Cyber Security Perspectives: 21st century technology and security ? a difficult marriage" de libre descarga analiza los aspectos de la seguridad en la cadena de suministro de la tecnología y las exposiciones de los usuarios en la vida cotidiana y demanda, entre otros, un enfoque común y colabofrativo para poder resolver los retos globales en seguridad.


Preguntas que nadie responde sobre Virtualización y Cloud Computing
05/September/2012, 08:20 PM

Cuando quieres virtualizar equipos (y ponerlos en la nube) tienes que tener varias cosas en cuenta. 34 preguntas relevantes a resolver antes de la contratación de un servicio en la nube.


Audea Formación ISO 27001 26,27 y 28 de septiembre (Madrid)
05/September/2012, 07:52 PM

A finales de septiembre Áudea, consultora tecnológica especialista en seguridad de la información, impartirá formación presencial relacionada con la gestión de la seguridad de la información.

Durante los días 26,27 y 28 de septiembre, en las oficinas centrales de Áudea (Las Rozas), tendrá lugar la segunda convocatoria del Curso sobre ISO 27001.

La duración será de 18 horas en horario aun por definir (dependiendo de la disponibilidad de los alumnos inscritos) y el precio es de 600?.


Fuga de 12 millones de identificadores UDIDs de usuarios de Iphone
05/September/2012, 07:41 PM

Datos relacionados con los dispositivos como la ubicación, el perfil de Facebook y otra información relevante como accesos a iCloud o portales de shopping pueden ser correlacionadas desde múltiples bases de datos para reconstruir la identidad de un individuo y obtener acceso no autorizado.

Información adicional sobre la implicación de la filtración de UDIDs en este artículo


La XII Jornada Internacional de ISMS Forum se celebrará el 28 de noviembre en Barcelona
05/September/2012, 07:39 PM

El próximo 28 de noviembre de 2012 en la Torre Telefónica Diagonal 00 de Barcelona tendrá lugar la XII Jornada Internacional de Seguridad de la Información organizada por ISMS Forum Spain. Un año más, esta jornada reunirá a ponentes del más alto nivel en un entorno que facilitará el aprendizaje e intercambio de experiencias entre todos los asistentes.


ENISE: 23 y 24 de octubre en el Parador San Marcos de León (España)
05/September/2012, 07:35 PM

Un año más, INTECO pone en marcha ENISE, el Encuentro Internacional de Seguridad de la Información. Esta sexta edición se desarrolla bajo una coyuntura de cambios y oportunidades en los ambientes tecnológicos y de investigación. Cuando las TIC juegan un papel condicionante, dependiente y ya intrínseco a nuestra sociedad, se intuye necesario favorecer su evolución con todas las garantías, y por tanto, con seguridad. Por eso, este año entramos de lleno en la dimensión del ciberespacio y bajo el lema: «La Ciberseguridad: un elemento clave para el futuro de nuestra sociedad».


Últimas Publicaciones ISO/IEC
05/September/2012, 07:29 PM

ISO/IEC/TS 17021-2 ed1.0 (2012-08)

Conformity assessment -- Requirements for bodies providing audit and certification of management systems -- Part 2: Competence requirements for auditing and certification of environmental management systems

ICS code 03.120.20 ISO/CASCO CHF 66.-

ISO/IEC 19790 ed2.0 (2012-08)

Information technology -- Security techniques -- Security requirements for cryptographic modules

ICS code 35.040 JTC 1/SC 27 CHF 184.-

ISO/IEC 20000-3 ed1.0 (2012-08)

Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1

ICS code 03.080.99, 35.020 JTC 1/SC 7 CHF 122.-

ISO/IEC/TR 20004 ed1.0 (2012-08)

Information technology -- Security techniques -- Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045

ICS code 35.040 JTC 1/SC 27 CHF 92.-


Cursos BSI: ISO 27001 - ISO 20000 - ISO 22301
05/September/2012, 07:07 PM

Programación de cursos en sistemas de gestión previstos para España para próximos meses.


Formación en Data Center
05/September/2012, 07:01 PM

DataCenterDynamics ofrece formación especializada en Centros de Datos con certificación reconocida internacionalmente en sus cursos y dirigida a todos los profesionales involucrados en tareas de construcción, mantenimiento y gestión de los Centros de Datos y Salas TI de misión crítica.

Listado de cursos y zonas geográficas a nivel internacional con próximos cursos en España.


Evento DataCenterDynamics: 19 Septiembre en Bogotá
05/September/2012, 06:57 PM

Las empresas tienen que valorar sus necesidades en el ámbito de los data centers de manera continua. Al mismo tiempo, tienen que decidir cuál es la mejor forma de adaptarse al crecimiento, así como a los cambios en el funcionamiento de los negocios y en los usos que se hace de las TI. La eficiencia sólo es parte de la ecuación ? la optimización de todos los sistemas, desde el procesamiento y el almacenamiento, hasta la red y la aplicación, también son componentes cruciales.

Entre las ponencias del programa destacamos las destinadas a la Gestión de la Continuidad del Negocio e ISO 22301


Espías del CNI supuestamente vinculados con el tráfico de datos
15/July/2012, 06:41 PM

Las investigaciones realizadas durante un año por la Unidad Territorial de Seguridad Privada de Barcelona culminaron el pasado mayo. Como consecuencia de la operación hay más de 150 imputados, entre ellos detectives privados, funcionarios de Hacienda, el Inem, el Catastro, la Seguridad Social, guardias civiles y colaboradores de otro tipo. Entre ellos manejaban una "ingente" cantidad de datos secretos que supuestamente vendían a empresas y particulares, además de hacer trabajos por encargo, como penetrar en el ordenador de una persona para robarle todo el contenido de su disco duro.

Noticia completa en Asociación de Archiveros de Castilla y León


ISO 27001: Rompiendo el mito de la documentación
14/July/2012, 10:27 PM

Artículo dentro del último número de (IN)Secure Magazine (descarga gratuita)


ISO 22301: documentos de revisión sobre BS25999
14/July/2012, 09:59 PM

IRCA publica en el mes de Julio dos documentos de interés general a consultores, auditores y empresas con implantaciones en Sistemas de Gestión para la Continuidad del Negocio de cara a entender mejor la transición de los requisitos en continuidad de negocio al recien publicado estándar ISO 22301.


La PyME: principal blanco de ataque de cibercriminales en junio
14/July/2012, 09:21 PM

De acuerdo con el Reporte Mensual de Inteligencia de Symantec correspondiente al mes de junio, 36% de los ciberataques estuvieron dirigidos a pequeñas y medianas empresas con menos de 250 empleados. Mientras que en diciembre de 2011, esta cifra era de 18%.

Las empresas consideradas grandes con más de 2,500 trabajadores no se salvaron de ser atacadas sin embargo, de acuerdo con el reporte bloquearon en promedio 69 ataques por día, mientras que las demás cuentan con un promedio de 82 ataques bloqueados a diario, durante mayo y junio.

Fuente de la noticia: bsecure


Áudea: Formación ISO 27001
14/July/2012, 09:17 PM

Próxima convocatoria presencial del 26 al 28 de Septiembre con horario flexible de 18h. de duración y bonificable por la Fundación Tripartita.


DRJ's Conference 2012 en español
14/July/2012, 09:04 PM

Conferencias en la industria de Continuidad del Negocio y Recuperación ante Desastres que se celebrarán del 07 al 10 de Octubre en el Hard Rock Hotel de Punta Cana (República Dominicana).


2do Congreso Latinoamericano de Continuidad
14/July/2012, 09:02 PM

La Asociación Latinoamericana de Continuidad organiza el evento más grande de la región en materia de Continuidad en dos días enteros para tratar la ISO 22301 "Desafíos y Tendencias de la Continuidad en un mundo globalizado? y su implementación de la mano de los directores de las entidades más importantes de la Continuidad del mundo.


COBIT 5 y seguridad de la información
14/July/2012, 08:44 PM

ISACA pone a disposión la nueva publicación en seguridad de la información con una previsualización incluida.


CSET: Herramienta de evaluación en ciberseguridad
14/July/2012, 08:39 PM

La Cyber Security Evaluation Tool (CSET?) es un producto del Department of Homeland Security (DHS) que ayuda a las organizaciones a proteger sus activos nacionales clave. Ha sido desarrollado bajo la dirección del DHS National Cyber Security Division (NCSD) por los expertos de seguridad cibernética y con la asistencia del Instituto Nacional de Estándares y Tecnología. Esta herramienta proporciona a los usuarios con un enfoque sistemático y repetible para la evaluación de la postura de seguridad de sus sistemas informáticos y redes. Incluye preguntas tanto de alto nivel como de detalle relacionadas con los sistemas de control industrial y sistemas de TI.


SCSI e ISM Forum: primer estudio sobre ciberseguridad en España
14/July/2012, 08:34 PM

El Instituto Español de Ciberseguridad (SCSI, Spanish Cyber Security Institute) e ISMS Forum publican el estudio La Ciberseguridad Nacional, un compromiso de todos, que desarrolla una aproximación a los conceptos de ciberespacio y ciberseguridad, a los riesgos y amenazas conocidos y a la gestión existente en España.

El informe reclama al Gobierno que asuma el liderazgo para proporcionar un ciberespacio seguro que garantice la prosperidad social, cultural y económica de España, así como las libertades fundamentales de los ciudadanos a través de una cultura basada en la prevención y resiliencia en la que participen, de manera activa e integrada, todos los sectores de la sociedad española.


Modelo de Madurez en la seguridad de las redes eléctricas
21/June/2012, 02:36 AM

El objetivo de este modelo es apoyar el desarrollo continuo y la medición de las capacidades en ciberseguridad dentro del subsector de la electricidad a través de los cuatro objetivos siguientes:

- Fortalecer las capacidades de ciberseguridad en el subsector de la electricidad.
- Habilitar los servicios públicos de manera eficaz y coherente las capacidades de ciberseguridad evaluar y punto de referencia.
- Compartir conocimientos, mejores prácticas y las referencias pertinentes en el subsector como un medio para mejorar las capacidades de ciberseguridad.
- Activar los servicios públicos para priorizar las acciones e inversiones para mejorar la seguridad cibernética.

El modelo ha sido desarrollado con el apoyo de la Casa Blanca por el DoE (Department of Energy) y DHS (Department of Homeland Security) en colaboración con expertos del sector y representantes de más de 40 Pymes para aplicar a todos los servicios públicos de electricidad, independientemente de la estructura de propiedad, tamaño o función. Se espera un amplio uso del modelo como referencia para las capacidades de ciberseguridad del subsector.


Conclusiones de la XI Jornada Internacional de ISMS Forum Spain
21/June/2012, 02:24 AM

La XI Jornada Internacional de ISMS Forum analizó cómo los Estados y empresas afrontan las nuevas amenazas surgidas en un mundo cada vez más dependiente de las TIC.

El evento congregó en Madrid a destacadas personalidades procedentes del World Economic Forum, instituciones de la Unión Europea, la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, la iniciativa Cloud Security Alliance, junto a proveedores y fabricantes claves de la industria y compañías españolas multinacionales.


ISO 27002: Herramientas para la seguridad
20/June/2012, 02:15 PM

Más recursos que nunca en ISO27002.es con novedades en aspectos relacionados con la 14. Gestión de Continuidad del Negocio aprovechando las recientemente publicadas ISO 22301 y ISO 22300 con terminología relacionada.

ISO27002.es cuenta con el patrocinio de:

GesConsultor (Plataforma para Sistemas de Gestión)

Áudea (Especialistas en Seguridad)

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa


10 razones para ser el ?Empleado Seguro?
20/June/2012, 02:12 PM

El equipo de especialistas de ESET Latinoamérica ha elaborado la Guía del Empleado Seguro, documento que busca ayudar a los empleados de las organizaciones a implementar buenas prácticas de administración de los datos a partir de una comprensión de la problemática y una descripción de las principales amenazas informáticas.

Noticia completa en CRIPTEX


Ojo por Ojo, dato por dato
20/June/2012, 02:07 PM

La sofisticación y frecuencia en los ciberataques y la falta de capacidad de las autoridades para castigar a los criminales han generado una enorme frustración dentro de miles empresas, que los ha llevado a tomar la justicia por cuenta propia, de acuerdo a un reporte de Reuters.


Nueva regulación europea
20/June/2012, 01:59 PM

La Comisión Europea ya lleva un tiempo trabajando en la forma en la que incorporar la nueva regulación en materia de protección de datos, con objeto de crear una serie de derechos y garantías más eficaces, y cuyo fin será remplazar a todas las leyes actuales de cada uno de los territorios.

Artículo de Iván Ontañón para Audea


Proyecto Cloud CERT
20/June/2012, 01:54 PM

El Instituto Nacional de Tecnologías de la Comunicación, INTECO, ha publicado ya la web del proyecto Cloud CERT - Entorno de pruebas para la realización de ejercicios de protección de infraestructuras críticas, proyecto cofinanciado por la Unión Europea.


Midiendo el coste del cibercrimen
20/June/2012, 01:47 PM

Los autores de este documento presentan el primer estudio sistemático de los costes asociados al cibercrimen.


CISO: nueva certificación del EC COUNCIL
20/June/2012, 04:19 AM

El programa de "Grandfathering" está vigente hasta el 20 de Septiembre, 2012, tras el cual los interesados deberán aprobar un examen.


CENSUS 2012: encuesta de la industria de los centros de datos en todo el mundo
20/June/2012, 03:31 AM

Los resultados del censo de la industria 2011 nos ha permitido compartir con toda la industria una visión única y de un valor incalculable del perfil del sector, sus perspectivas de futuro y las tecnologías clave así como de las tendencias e influencias que le están dando forma. Muchos de ustedes han visto o tal vez han utilizado esta información en su propio negocio.

Su experiencia y sus opiniones son enormemente valiosas y rellenando los datos del censo no sólo está ayudándonos a nosotros y a la industria de data center en su conjunto, sino que también contribuirá a recaudar fondos para UNICEF - por cada encuesta completada nos comprometemos a donar 5$ USD a UNICEF en su nombre.


21 de Junio: Cloud versus ISO20000 y 27000: sin llegar a las manos
20/June/2012, 03:24 AM

El Comité de Valencia de itSMF España, organización dedicada a impulsar la adopción de ITIL y las mejores prácticas en la gestión de servicios TIC, celebrará el próximo 21 de junio junto a ISACA Valencia su II Jornada bajo el lema ?Cloud versus ISO20000 y 27000: sin llegar a las manos" que tratará de resolver todas las dudas sobre la seguridad y la gestión del servicio en los entornos Cloud.


ISO 27002: Herramientas para la seguridad
28/May/2012, 06:39 PM

Más recursos que nunca en ISO27002.es con novedades en:

- 15.1.1. Identificación de la legislación aplicable: Añadimos enlaces al Esquema Nacional de Seguridad y recursos asociados para implantación y auditoría.

- 14. Gestión de Continuidad del Negocio: añadimos enlaces a las 10 mejores prácticas en continuidad, así como, las recientemente publicadas ISO 22301 y ISO 22300 con terminología relacionada.

- 10. 4. 1. Medidas y controles contra software malicioso: Se incluyen nuevas soluciones de análisis online y proyecto NoVirusThanks con diversas soluciones de protección.

ISO27002.es cuenta con el patrocinio de:

GesConsultor (Plataforma para Sistemas de Gestión)

Áudea (Especialistas en Seguridad)

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa


Guías y Herramientas Esquema Nacional de Seguridad
28/May/2012, 06:28 PM

Actualizaciones de las Guías de Seguridad 2012 recogidas en el portal CCN-CERT y acceso a documentación relevante.


V Conferencia Internacional de Continuidad de Negocio
28/May/2012, 06:20 PM

Resumen de la 5ª Conferencia Internacional de Continuidad de Negocio, y segundo evento a nivel mundial de difusión de la ISO 22301 organizada por BSI en Madrid y Barcelona y relatado por Eduardo de Miguel Cuevas


BSI: Formación ISO 27001
28/May/2012, 06:12 PM

Próximas fechas de formación de BSI tanto en Implantación como en Auditor Jefe para ISO 27001 y para la recién publicada ISO 22301 en continuidad de negocio.


Prisas al sacar aplicaciones
22/May/2012, 10:35 PM

Artículo de Rubén Fernández (Áudea) sobre la aplicación ?TU me? con funcionalidades muy atractivas con carácter gratuito pero con problemas de seguridad por descuidos en cuestiones ya conocidas.


Sec Lab: predicciones y tendencias en seguridad TIC 2013-14
22/May/2012, 10:31 PM

Artículo con diversas opiniones de personal relevante entrevistado por SANS en un esfuerzo de proyección sobre el estado de la actualidad.


ISO 27031: Continuidad de Negocio en sector TIC
21/May/2012, 10:11 PM

Artículo del Edward Humphreys, representante del grupo de trabajo responsable del desarrollo y mantenimiento de la serie de normas ISO/IEC 27000, para ISO Focus+ cuyo número de Mayo dispone de otros artículos relevantes a la continuidad de negocio y gestión de incidentes. 


Estrategias nacionales en ciberseguridad
21/May/2012, 08:47 PM

El documento publicado por ENISA incluye un breve análisis de la situación actual de las estrategias de seguridad cibernética en la Unión Europea así como en otros lugares.

También identifica los temas comunes y las diferencias, y concluye con una serie de observaciones y recomendaciones.

El documento se basa en los resultados preliminares y análisis de un proyecto de ENISA que está trabajando para desarrollar una guía de buenas prácticas sobre cómo desarrollar, implementar y mantener una estrategia nacional de seguridad cibernética. La Guía de Buenas Prácticas pretende ser una herramienta útil y consejos prácticos a los responsables e involucrados en las estrategias de seguridad cibernética.


ISO/IEC 20000-1:2012 en español
21/May/2012, 08:32 PM

Indecopi (Perú) acaba de poner a disposición una traducción al español de la última versión de la norma internacional ISO/IEC 20000-1 publicada en 2011 a un coste de 18,88EUR.

Desde Diciembre de 2011 existen otras traducciones publicadas y distribuidas por entidas como AENOR(España) aunque a un precio sensiblemente superior de 36,89EUR.


Publicada ISO 22301:2012
21/May/2012, 08:13 PM

El pasado 15 de Mayo vió la luz la norma internacional ISO 22301:2012 con los requisitos para la implantación de un Sistema de Gestión de Continuidad de Negocio.

Con la publicación del estándar internacional está prevista la retirada de la norma BS25999-2 y se definirá un periodo de transición para la certificación por parte de UKAS, normalmente entre 12 a 18 meses, pero que puede ser de hasta 3 años.

Con motivo de la publicación la empresa Sedika Technologies ha puesto a libre disposición un interesante Whitepaper con detalles de la nueva norma y comparación con otros sistemas de gestión, entre otros detalles.


ISO27002: Novedades.
14/May/2012, 01:25 PM

Añadimos en ISO27002.es buenas prácticas en seguridad y la implantación de controles relacionados con:

- 10.1.3. Segregación de tareas: Publicación de SANS en el que se analizan los diferentes roles relevantes a la información clave de una organización, el grado de segregación recomendado y las razones para acometer esta segregación. .

- 13.2.3. Recogida de pruebas: añadimos enlace de recopilación a 101 herramientas forenses desarrollado por "ConexiónInversa".

- 11.4.7. Control de encaminamiento en la red: Se incluyen nuevas soluciones proxy ampliando la lista de utilizades relacionadas con la gestión de redes.

ISO27002.es cuenta con el patrocinio de:

GesConsultor (Plataforma para Sistemas de Gestión)

Áudea (Especialistas en Seguridad)

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa


Los smartphones cambian la percepción de privacidad en el mundo real
14/May/2012, 01:15 PM

Los usuarios de teléfonos inteligentes son un 70% más propensos que los usuarios de teléfonos móviles normales a creer que sus teléfonos les dan una gran cantidad de privacidad, señala Toch, que está especializado en privacidad y en sistemas de información.


Política de uso aceptable de Internet
14/May/2012, 12:42 PM

Una política bien definida de uso aceptable puede mitigar muchos de los riesgos asociados a la exposición a Internet.

En este trabajo se discute el fondo y la importancia de una política de este tipo y su papel. También echa un vistazo a algunas de las consecuencias y ventajas, bien por ser demasiado estricto o por demasiado liberal, así como examinar algunos de los componentes que definen una política de uso aceptable.


PCs Infectados en el mundo
14/May/2012, 12:30 PM

La media de PCs infectados nivel mundial se sitúa en el 35,51%, bajando más de 3 puntos respecto a los datos de 2011, según los datos de Inteligencia Colectiva de Panda Security.

Noticia completa en Audea.


ENISA: invitación a los ciudadanos a dar la ?cara? para la celebración del mes de la seguridad Europea
09/May/2012, 05:38 PM

La campaña invita a los ciudadanos a ayudar enla creación del mensaje "SOMOS el Mes Europeo de la Seguridad" mediante el envío de imágenes de sus rostros, los cuales serán utilizados como un montaje para deletrear las palabras "SOMOS ....". Esta foto-mensaje, junto con muchas otras, serán utilizadas en la publicidad y material de campaña durante la fase piloto Mes de Seguridad, que tendrá lugar el próximo mes de octubre y en el que participa España.


ISMS Forum Spain: XI Jornada Internacional de Seguridad de la Información
04/May/2012, 08:51 PM

Próximo 6 de junio en Madrid el evento reúne a un grupo de expertos nacionales e internacionales de primer orden para debatir sobre temas como:

- Las estrategias de ciberseguridad y protección de infraestructuras críticas en Europa.
- La reforma normativa sobre privacidad de la UE.
- La seguridad en el Cloud Computing.
- El informe Global Risk 2012 del World Economic Forum, de la mano del Director Gerente y máximo responsable del Centre for Global Events and Risk Response Network de esta influyente organización, W. Lee Howell.

Como siempre, la asistencia es gratuita para los socios de ISMS Forum, y puede formalizarse con un simple click en la web.


Sistemas que permitan el uso de celulares tras grandes desastres
03/May/2012, 01:41 PM

Diversas operadoras de telefonía japonesas en colaboración con empresas públicas planean desarrollar tecnologías que permitan el uso de los teléfonos móviles en el caso de que se produzca un gran desastre natural, informó el diario económico Nikkei.

Por otra parte, existe actualmente en desarrollo el Proyecto Serval mediante el cual los científicos han desarrollado dos sistemas que pueden funcionar por separado o combinarse. Uno de ellos es específicamente para las zonas de desastre, y se compone de una red móvil temporal, autoalimentada y operada a través de ?pequeñas torres de telefonía? que se dejan caer en tierra por aeronaves.

Fuente de ambas noticias: linkedin


Marco normativo en Chile: ISO/IEC 27001
03/May/2012, 01:38 PM

Enlace a la cuidada presentación para la gestión de la seguridad de la información realizada por la Unidad de Modernización y Gobierno Electrónico del Ministerio Secretaría General de Presidencia.


Mapeado de Controles NIST en Controles ISO 27002 y Métricas
03/May/2012, 01:35 PM

El autor, Carlos Ormella Meyer, aporta el mapeado en formato Excel para que pueda usarse y completarse directamente sin tener que reescribirlo.

En este trabajo se han mapeado los controles ISO 27002 en controles NIST para así, de esta manera, aprovechar las métricas para controles NIST definidas en las publicaciones NIST 800-53 y NIST 800-55, analizar su adaptabilidad a los controles ISO y, adicionalmente, incorporar otras métricas aplicando la metodología GQM (Métricas de Metas por Cuestionario). Se incluye el mapeado completo y un extracto de las métricas mapeadas y agregadas.


Cursos Lead Auditor ISO 27001 certificados por IRCA
27/April/2012, 02:15 AM

Dirigido a auditores internos y externos, consultores y cualquier profesional interesado en conocer el estándar desde el punto de vista de un auditor y ganar las habilidades necesarias para desarrollar auditorías, la entidad SGS organiza los cursos de formación de Auditor Jefe en abierto en la próximas fechas programas para: 28 mayo-1 junio y 19-23 noviembre.

Información completa y calendario de todos los cursos para todas las normas disponible online.


Implantes médicos vulnerables a ciberataques
27/April/2012, 02:04 AM

Implantes médicos utilizados en la gestión de enfermedades como la diabetes o relacionadas con el corazón son vulnerables a posibles ciberataques.

Los test realizados sobre los enlaces inalámbricos que tienen los implantes para su chequeo y actualización demuestran que los dispositivos están expuestos a los ataques al no estar establecidos métodos de cifrado ni de autenticación.

Aunque los investigadores indicaron en la BBC que no hay registrados ataques de este tipo en centros médicos de UK advierten sobre la necesidad de incorporar en este momento mecanismos que protejan a los pacientes de cara a futuro.


Nuevo entregable ISO27002.es con +1300 visitas en sus primeros días
26/April/2012, 02:38 PM

La guía en formato ppt de la página principal ISO27002.es presenta una nueva visión informal y más intuitiva de todos los objetivos de control de la norma ISO/IEC 27002 para la protección de los activos y de las actividades de las organizaciones.

Adicionalmente, se han incorporado entre otros:

- 15. 1. 4. Protección de datos de carácter personal y de la intimidad de las personas: Enlaces a toda la legislación relevante relacionada con las leyes de protección de datos y en 14 países de Latinoamérica y España gracias a la red iberoamericana en la materia.

- 11.5.4 Uso de los servicios del sistema: Añadimos soluciones para la monitorización de actividades en el sistema operativo en actividades de arranque y vulneraciones a la integridad de los registros del sistema de la mano de Hispasec.

- 13.2.3. Recogida de pruebas: Se incluyen soluciones para actividades en informática forense.

ISO27002.es cuenta con el patrocinio de:

GesConsultor (Plataforma para Sistemas de Gestión)

Áudea (Especialistas en Seguridad)

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa


Nubes con posibilidad de tormenta
26/April/2012, 02:24 PM

Interesante y muy completo artículo en español que considera desde los aspectos técnicos a las cuestiones clave de la alta dirección y de la mano de una experta reconocida a nivel internacional como es Carrie Higbie (Global Director - Data Center Solutions and Services de Siemon) para e.Security.


5 errores más frecuentes en proyectos de seguridad de la información
26/April/2012, 12:33 PM

Contribución de Maríano M. del Río en SecurityByDefault


Publicado el Microsoft® Security Intelligence Report (SIRv12)
26/April/2012, 12:30 PM

El volumen 12 del Microsoft® Security Intelligence Report (SIRv12) presenta en detalle perspectivas acerca de las vulnerabilidades de software, amenazas de código malicioso y software posiblemente no deseado en programas de software de Microsoft y de terceros.

Accesibles otros informes anteriores junto a un documento resumen disponible en español que recopila las conclusiones principales.


Principios básicos PDCA y auditoría
26/April/2012, 12:15 PM

¿Cómo se evidencia la mejora contínua?¿y el enfoque a procesos?¿Qué es y cómo se aplican las técnicas de muestreo?

ISO 9001 Auditing Practices Group pone a disposición de cualquier interesado/involucrado en auditorías de primera, segunda y/o tercera parte notas explicativas y consideraciones relevantes a los sistemas PDCA, más allá de los aspectos específicos de ISO 9001.


COBIT 5: A Business Framework for the Governance and Management of Enterprise IT
26/April/2012, 12:08 PM

COBIT 5 es la última edición del esquema de ISACA mundialmente aceptado y que proporciona una visión empresarial de extremo a extremo de la gobernanza TI en la empresa.

COBIT 5 refleja el papel central de la información y la tecnología y su relación en la creación de valor para las empresas. Los principios, prácticas, herramientas y modelos analíticos que se encuentran en COBIT 5 encarnan liderazgo y la orientación de negocio, gestión y gobernanza de expertos de todo el mundo.

Documento accesible desde la Web de ISACA y que incluye un resumen de los cambios más importantes desde la versión previa 4.1.


V Conferencia Internacional de Continuidad de Negocio: el camino hacia la ISO 22301
10/April/2012, 11:05 AM

Este año, las Conferencias de los días 23 y 24 de Mayo (Madrid y Barcelona) tendrán como eje principal la nueva Norma ISO 22301, que reemplazará a la BS 25999, con la colaboración de Dave Austin (miembro del Comité de ISO para el desarrollo de la ISO 22301) que mostrará cuales son los procesos y los principios que se prevé que se mantengan y qué cambios son significativos en la nueva publicación.

Para más información pueden contactar con BSI en el teléfono 91 400 86 20 ó por e-mail info.esp@bsigroup.com


Áudea: Convocatoria Curso de Sistema de Gestión de la Seguridad ISO/IEC 27001
09/April/2012, 06:13 PM

Próxima Convocatoria Presencial del 28 de Mayo al 30 de Mayo (3 Jornadas de 8 horas, de 9:00 a 18:00).

Plazas limitadas: Reservas en el 91.745.11.57 ó info@audea.com


ISO27002.es: Interesantes novedades
03/April/2012, 06:25 PM

Novedades en ISO27002.es relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001:

- 10. 8. 4. Mensajería electrónica: Nueva solución de intercambio cifrado de información y ficheros adjuntos para envío de correo electrónico, de forma gratuita con cifrado de extremo a extremo y sin necesidad de instalaciones de software ni de plugins en los extremos. Sólo es necesaria el alta gratuita del emisor del mensaje (no es necesaria la del receptor).

- 111 7 1 Informática móvil: Añadimos soluciones para la monitorización de actividades por puertos remotos en equipos sensibles.

- Cloud Computing: Se incluyen dos nuevos documentos para el análisis de riesgos y la contratación de servicios en la nube, además de monitorización de SLAs entre otras aspectos relevantes.

ISO27002.es cuenta con el patrocinio de:

GesConsultor (Plataforma para Sistemas de Gestión)

Áudea (Especialistas en Seguridad)

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa


NIST: Technical Evaluation, Testing, and Validation of the Usability of Electronic Health Records
03/April/2012, 06:08 PM

El documento publicado resume la justificación de un Protocolo de Uso (EUP) de la Historia Clínica Electrónica (EHR) y describe los procedimientos para la evaluación del diseño y pruebas de rendimiento de los usuarios de estos sistemas.

Los procedimientos incluyen medidas generales y orientaciones para la evaluación de una interfaz EHR de usuario desde la perspectiva de los factores clínicos y humanos, y para la realización de un estudio de validación (es decir, pruebas de usabilidad sumativa) de interfaces de usuario de HME con grupos representativos de usuarios que realizan tareas realistas.


El 51 por ciento del tráfico online no proviene de humanos
03/April/2012, 05:59 PM

Desde Incapsula explican que el 5 por ciento del tráfico online corresponde a herramientas de hackeo que buscan agujeros en las webs, un 5 por ciento a programas que buscan correos electrónicos de los buscadores para listas de spam, y un 2 por ciento de spammers que realizan comentarios automatizados.

Además, el informe señala que un 20 por ciento del tráfico lo realizan los buscadores y otro 19 por ciento es de programas espías que recopilan datos en el campo de la inteligencia competitiva.


Un cibercentro protegerá a la UE contra el crimen en Internet
03/April/2012, 05:40 PM

Se espera que este centro, que tendrá su sede en Holanda, esté en marcha desde enero de 2013.

Propuesto por la Comisión, se centrará en el fraude implicado en los robos en Internet de datos bancarios y de tarjetas de crédito, y trabajará para coordinar la protección de las empresas y los ciudadanos europeos de la delincuencia organizada en la Red.


El Gobierno reforma la LSSI por la vía de urgencia
03/April/2012, 05:34 PM

"Las novedades son pocas? Pero su desafortunada redacción, la dificultad de la implementación de las medidas que parecen deducirse, y su teórica exigibilidad desde el día siguiente a su publicación en BOE colocan a la inmensa mayoría de responsables de sitios web en situación de potencial infracción de la LSSI (con multas de hasta 150.000 euros).".

Artículo de José Carlos Moratilla publicado en Áudea


Inicios de la seguridad informática
03/April/2012, 05:20 PM

Recopilación de documentación histórica sobre los inicios de la seguridad informática aportada por NIST.

Dentro del listado recopilado por Computer Security Laboratory of the Computer Science Department de la Universidad de California se localiza documentación nunca publicada entre otra documentación de referencia.


IV Encuentro de Seguridad Integral
03/April/2012, 05:19 PM

El próximo 10 de mayo tendrá lugar el IV Encuentro de la Seguridad Integral (Seg2) en el hotel HUSA Princesa de Madrid.

Este foro, organizado por las revistas Seguritecnia y Red Seguridad, tiene como objetivo la dinamización y el impulso del concepto, el desarrollo y la aplicación de la Seguridad Global, así como en el esfuerzo por acercar y promover el intercambio de información y experiencias entre los sectores, los organismos y los profesionales afectados.


27010: Nueva publicación de la serie ISO 27000
03/April/2012, 04:32 PM

ISO/IEC 27010:2012 proporciona controles y orientaciones relativas específicamente a iniciar, implementar, mantener y mejorar la seguridad de la información en las comunicaciones inter-organizacionales e intersectoriales.

ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de la información, tanto pública como privada, nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y el intercambio relacionados con el suministro, mantenimiento y protección de una organización o la infraestructura crítica del estado nación.


CVE Details: Base de datos de vulnerabilidades
03/April/2012, 04:21 PM

La web proporciona un fácil utilizar el interfaz web para los datos de vulnerabilidades CVE. Se puede buscar por proveedores, productos y versiones, y ver las entradas CVE y vulnerabilidades relacionadas con ellos. Puede ver las estadísticas sobre proveedores, productos y versiones de los productos.


ENISA: guia para la monitorizacion de SLA en contratos cloud
03/April/2012, 04:10 PM

Este documento es una guía práctica destinada a la adquisición y la gestión de servicios en la nube. El foco principal es el sector público, pero gran parte de la guía también es aplicable a las adquisiciones del sector privado.

Esta guía ofrece consejos sobre las preguntas a realizar sobre el seguimiento de la seguridad (incluida la disponibilidad del servicio y la continuidad).

El objetivo es mejorar la comprensión pública de clientes del sector de la seguridad de los servicios en la nube y los indicadores potenciales y los métodos que pueden utilizarse para proporcionar una transparencia adecuada en la prestación de servicios.

Las evaluaciones de proveedores de una sola vez o periódicamente, tales como ISO 2700x, SSAE 16 o ISAE 3402, aseguran que durante el período de evaluación, un cierto conjunto de controles y procedimientos estén activos.


Aidcon Consulting: Captación empresas interesadas en certificación ISO 27001
01/April/2012, 10:46 PM

Aidcon Consulting informa del inicio de captación de empresas interesadas en la implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo norma UNE-ISO 27001, en el ámbito de la próxima convocatoria del Plan Avanza.

La consultora Aidcon Consulting aporta a este proyecto su capacidad, conocimiento y experiencia (45 empresas implantadas y certificadas) a las empresas PYME del sector TIC interesadas en esta iniciativa y que pueden contactar con la empresa consultora para conocer las condiciones del proyecto.


Ascêndia: Últimas subvenciones certificación ISO 27001
31/March/2012, 09:03 AM

Desde la empresa de consultoría "ascêndia" comunican la ampliación hasta el 05 de Abril en la posibilidad de aceptar una última empresa interesada en la implantación y certificación de un Sistema de Gestión de Servicios según la norma UNE-ISO 27001 dentro de un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio en el marco de la Acción Estratégica de Telecomunicaciones y Sociedad de la Información.

La comunicación es con carácter de urgencia ya que el plazo final para la confirmación de las empresas interesadas finalizaba el día 31 de Marzo.

Interesados pueden consultar y ponerse en contacto directamente con la empresa ascêndia.


Ascêndia: Últimas subvenciones certificación ISO 20000
28/March/2012, 09:56 PM

Desde la empresa de consultoría "ascêndia" comunican la posibilidad de aceptar una última empresa interesada en la implantación y certificación de un Sistema de Gestión de Servicios según la norma UNE-ISO 20000-1:2007 dentro de un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio en el marco de la Acción Estratégica de Telecomunicaciones y Sociedad de la Información.

La comunicación es con carácter de urgencia ya que el plazo final para la confirmación de las empresas interesadas finaliza el día 31 de Marzo.

Interesados pueden consultar y ponerse en contacto directamente con la empresa ascêndia.


Jornada sobre ISO 31000: Gestión del Riesgo e integración con las normas BS 25999 / ISO 22301 e ISO 27001
28/March/2012, 09:54 PM

Fecha y lugar: Madrid - 17 de abril de 2012, Aulas de formación de BSI. Horario de mañana - jornada gratuita.

La norma ISO 31000, proporciona principios y directrices sobre la gestión del riesgo, es una norma aplicable a todas las organizaciones. Proporciona las orientaciones para la implantación de un sistema de gestión del riesgo que sea compatible con los estándares de gestión de riesgo particulares en su sector tales como Continuidad de Negocio, BS 25999/ ISO 22301, y Seguridad de la Información, ISO 27001.


ISO27002.es: Más controles en seguridad
22/March/2012, 02:38 AM

Novedades en ISO27002.es relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001:

- 14.1.1. Proceso de la gestión de continuidad del negocio: Ampliamos con documentos relevantes del BSI Alemán que permite desarrollar sistemas de gestión de continuidad compatibles e integrados con normas como ISO 27001, ISO 20000, BS 25999, entre otras.

- 12.6.1. Control de las vulnerabilidades técnicas: Añadimos soluciones para el control de las actualizaciones en los equipos, para pruebas en aplicaciones web y un repositorio con múltiples recursos para pruebas técnicas, entre otras nuevas soluciones.

- 6.1.7. Contacto con Grupos de Interés Especial: Se incluyen contactos para la consulta de vulnerabilidades de manera actualizada para estar siempre al tanto de posibles exposiciones.

ISO27002.es cuenta con el patrocinio de:

GesConsultor (Plataforma para Sistemas de Gestión)

Áudea (Especialistas en Seguridad)

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa


Desarrollo de la "Semana de la seguridad" en Octubre 2012
22/March/2012, 01:50 AM

Ya son cuatro estados miembro de la Unión Europea los que tienen previsto el desarrollo de "semanas de la seguridad" durante Octubre 2012. El objetivo es llegar a acciones combinadas primero dentro de la UE y posteriormente con el mes de la seguridad en EEUU para 2014.


Buscando el mejor sistema de autenticación para la nube
21/March/2012, 11:31 PM

"Hace unos meses se decidió en la empresa un cambio de CRM. La necesidad de uno más potente y versátil era ya inaplazable debido al fuerte crecimiento que habíamos sufrido. Tras el estudio de varias alternativas, elegimos uno que se adaptaba completamente a nuestras necesidades y -como pueden imaginar por el título del artículo-, este CRM estaba en la nube."

Experiencia de Israel Zapata, director Técnico de Secura en RedSeguridad


La mayoría de los Directivos no prestan atención a la seguridad
21/March/2012, 11:02 PM

Una de las conclusiones destacas del "CyLab 2012 Governance survey" es que las personas que desempeñan puestos de gerencia y dirección en las organizaciones no están aún desarrollando acciones apropiadas para garantizar la privacidad y seguridad de sus activos.


BCI: Semana de concienciación en continuidad de negocio
21/March/2012, 01:43 PM

Desde el 19 de Marzo y hasta el 23 de este mismo mes se vienen celebrando actividades por parte del Business Continuity Institute para la difusión e implantación de las mejores prácticas para la continuidad de los negocios.

Entre los materiales y recursos está BC24 como simulación on-line y de acceso gratuito durante este periodo para conocer de primera mano la respuesta ante imprevistos basados en situaciones reales que se producen en las empresas.

El 25% de las empresas sin planes de continuidad no abren de nuevo el negocio después de sufrir un impacto y el 75% no se recupera considerando un periodo de 3 años.

En constraste, el 82% de las empresas que disponen de sistemas actualizados para la continuidad del negocio son capaces de mitigar los impactos y el 74% es capaz de continuar con la prestación de servicios o entrega de sus productos.


S21sec: Informe de vulnerabilidades 2011
21/March/2012, 12:17 PM

Interesante documento para tener en cuenta en los análisis de riesgos de los SGSI y vulnerabilidades técnicas (A12.6.1) y que revisa con detalle mensual, con un apartado final a modo de conclusiones para el periodo 2011-12, los productos más expuestos.


Aplicaciones de gestión de contraseñas para smartphones
21/March/2012, 01:46 AM

En este artículo de Elcomsoft Co. Ltd se analizan más de una docena de aplicaciones diseñadas para facilitar el almacenamiento y la gestión de contraseñas en plataformas móviles, como Apple iOS y Blackberry.

El artículo expone muchas aplicaciones de mantenimiento de contraseñas que no proporcionan el nivel de protección reclamado.


Los costes asociados a fugas de datos superan la inflación
21/March/2012, 12:53 AM

El coste promedio para las empresas del Reino Unido por cada registro perdido, según el último estudio presentado por Symantec y el instituto Ponemon, se ha incrementado de las 47 GBP en 2007 a 79 GBP en 2011. Si se hubiera considerado únicamente la inflación el aumento sería a poco más de 53GBP.


Crypt4you: Aula Virtual de criptografía y seguridad de la información
21/March/2012, 12:40 AM

Crypt4you es un nuevo formato de formación en seguridad de la información online y gratuita, que nace en la Red Temática de Criptografía y Seguridad de la Información Criptored, en la Universidad Politécnica de Madrid, España.

Los cursos de Crypt4you están abiertos a todo público y no es necesario realizar ninguna inscripción y se publicará una nueva lección de un curso en Crypt4you los días 1 y 15 de cada mes.


Las buenas prácticas del DRI llegan a España
29/February/2012, 11:24 PM

La mayor organización internacional en formación y certificación de profesionales en el mundo de la continuidad de negocio ofrece la posibilidad de asistir a sus cursos de capacitación para 2012 en España gracias al acuerdo de colaboración con iso27000.es.

El acuerdo con iso27000.es permitirá el desarrollo de cursos oficiales del DRI en abierto, así como, en colaboración con asociaciones profesionales y entidades o empresas interesadas.

DRI es una organización profesional sin ánimo de lucro con más de 8.000 profesionales certificados en más de 95 países. El número de profesionales certificados por el DRI supera el total de profesionales del resto de organizaciones para este sector.


Departamentos TI transfieren su responsabilidad sobre el riesgo en la seguridad TI
29/February/2012, 11:06 PM

Los profesionales de seguridad TI no pueden asegurar por más tiempo que la seguridad TI continuará dentro de las funciones TI.

El informe de Corporate Executive Board (CEB) muestra la tendencia de las grandes empresas a trasladar la responsabilidad en seguridad informática desde el departamento TI a departamentos de compliance y riesgos.


Los empleados están deshabilitando deliberadamente controles de seguridad
29/February/2012, 10:28 PM

El fenómeno de los dispositivos móviles tanto corporativos como propios (bring-your-own-device BYOD) están evitando rápidamente a las políticas y seguridad corporativas, según indican los resultados de un estudio esponsorizado por Websense.

Entre diversos resultados de una encuesta realizada en 12 paises indica que el 59 por ciento informa que los empleados evitan o deshabilitan las configuraciones de seguridad como contraseñas o bloqueo de teclado en estos dispositivos, a pesar que en los pasados 12 meses, el 51 por ciento de las organizaciones encuestadas habían experimentado pérdida de datos como resultado de un uso inseguro de los dispositivos móviles y que incluye portátiles, smartphones, dispositivos USB y tabletas.


Amenazas Avanzadas: una pesadilla que tiene defensa
29/February/2012, 10:25 PM

Gartner enlista una serie de rubros para enfrentar y contrarrestar los ataques dirigidos o avanzados. Dentro de cada uno de ellos, describe una serie de mejores prácticas o recomendaciones.

La consultora hace hincapié en la importancia, tanto de los profesionales de seguridad, como sus organizaciones, de mantener programas de educación constante para empleados y personal IT sobre las nuevas amenazas Web, la manera de combatirlas y las técnicas de defensa más recientes.

Artículo completo en b:secure


Nota informativa del IRCA: ISO/IEC 20000:2011
29/February/2012, 10:12 PM

El IRCA (International Register of Certificated Auditors) ha preparado esta Nota Informativa  de libre descarga para comunicar a los auditores certificados por el IRCA, a las organizaciones de formación aprobadas por el IRCA y a otras partes interesadas su visión respecto a la norma ISO/IEC 20000-1:2011.

El documento revisa el grado de cambios en la conformidad de los 171 "debe" con los requisitos de la norma ISO 20000-1:2005 y en relacion a los 257 de la revisión de la ISO 20000-1:2011 (un 50% más, aproximadamente) y con la alineación con la seguridad de la información ISO/IEC 27001, con ISO/IEC 9001, entre otras consideraciones de interés.


Áudea con ISO27002.es
29/February/2012, 10:05 PM

El pasado 15 de febrero Áudea cumplió su décimo aniversario y quiere celebrarlo con todos los interesados en la seguridad de la información como colaborador de la iniciativa iso27002.es para el presente año 2012.

Como empresa referente en el ámbito de la seguridad de la información en España, Áudea demuestra una vez más su compromiso con las buenas prácticas en seguridad con el desarrollo y libre difusión de contenidos de interés a todos los visitantes del portal iso27002.es, concretamente en aspectos vinculados a las "Comunicaciones y operaciones", "Continuidad de Negocio" y "Conformidad Legal".

El equipo de Áudea, formado por 20 profesionales altamente cualificados como abogados especialistas en nuevas tecnologías, CISA, CISM, CISSP e ingenieros informáticos, aprovechan para agradecer a clientes, partners y colaboradores su fidelidad y confianza y para renovar el compromiso de empresa en su dedicación y esfuerzo, esperando cumplir muchos años más.


La XI Jornada Internacional de ISMS Forum se celebrará el 6 de junio en Madrid
29/February/2012, 10:01 PM

La XI Jornada Internacional de Seguridad de la Información tendrá como eje central el nuevo panorama de riesgos tecnológicos surgido en un mundo globalizado e hiperconectado, dedicando especial atención a los marcos de gobierno, regulatorio y de responsabilidad necesarios para afrontar estos retos.


Evento conjunto sobre seguridad en el Data Center y en la Nube
15/February/2012, 10:09 PM

Trend Micro y VMware realizarán el primer evento conjunto el próximo 6 de marzo de 2012 en el Hotel Husa Princesa, C/ Princesa 40, Madrid (España) de 09.30hs a 14.30h y sobre seguridad en el Data Center y en la Nube. La asistencia al evento es gratuita previa incripcion


CIS Benchmark
15/February/2012, 09:55 PM

La división del Center for Internet Security proporciona estándares y métricas que elevan el nivel de seguridad en los dispositivos y sistemas utilizados por usuarios y administradores.

Qué configuraciones se deben establecer como más seguras para los usuarios y se deben aplicar a los navegadores, a routers, actualizaciones de sistemas opertativos, además de formas de comprobar que los cambios quedan activos, métricas y herramientas integradas de gestión entre otros están disponibles de forma abierta en algunos casos y para miembros en otros y desde CIS.


Soluciones en seguridad
15/February/2012, 02:44 PM

Destacamos algunas de las novedades de ISO27002.es relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001:

- 10. 8. 4. Mensajería electrónica: La fuga de la información por medio de canales ocultos como son los metadatos y la información oculta en los documentos requiere que se comprueben todos los documentos antes de ser entregados a los clientes. Nuevos enlaces a soluciones relacionadas.

- 10.1.3. Segregación de tareas: Enfoques prácticos basados en riesgos del cumplimiento con la segregación de funciones.

- 12.1.1. Análisis y especificación de los requisitos de seguridad: Para las demandas de nuevos sistemas de información para el negocio o mejoras de los sistemas ya existentes se deberían especificar los requisitos de los controles de seguridad. Nuevas referencias para elegir las mejores opciones.

ISO27002.es cuenta con el patrocinío de: GesConsultor (Plataforma para Sistemas de Gestión).

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa


Primeros DDoS para IPV6
15/February/2012, 02:37 PM

Los proveedores de servicios de red están reportando los primeros ataques distribuidos de denegación de servicio (DDoS) a IPV6 y a tan sólo algunos meses antes del día del lanzamiento del esquema para la nueva Internet del 6 de junio de 2012,

Este descubrimiento marca un punto importante en la carrera armamentística entre los ciberatacantes y los ciberdefensores, según el "séptimo Informe anual para la seguridad de las infraestructuras en todo el mundo" de Arbor Networks.

También se confirma que los operadores de red deben tener la capacidad suficiente en visibilidad y mitigación para proteger aquellas propiedades habilitadas para IPv6, según el informe.


PaulDotCom Español
15/February/2012, 01:38 PM

Publicación de podcast en español con temas y especialistas de interés sobre aspectos como:

Episodio1 - Our inaugral episode with Julio Canto of the Virus Total website!

Episodio2 - Hardware Hacking - Personal Skynet & the importance of logs with Lorenzo Martínez.

Episodio3 - Chema Alonso from Informatica64 & FOCA.

Episodio4 - Rubén Santamarta from Reversmode and Scada researching fame.

Episodio5 - Raul Siles from the excellent Taddong blog!

Episodio6 - Lombris Morto, Apache DoS y DigiNotar y un poco sobre inseguridad SSL Gracias por su atención a pauldotcom español!

Episodio7 - Juliano Rizzo, BEAST Netifera BEAST

Episodio8 - Entrevista con Chema Alonso que nos habla de la nueva version de FOCA 3.0 y de FOCA Forensic en adicion aprendemos un poco mas sobre Chema y sobre el trabajo que have Informatica64 en educar a otros en seguridad. Informatica64

Episodio9 - Entrevista con la Lcda Julizzette Colon con quien hablamos sobre las nuevas leyes y tratados que se estan trabajando para regular el internet y sus motivaciones e impacto. Consulta con JCB.

Podcasts sobre temas específicos en ISO 27001 desde nuestra sección de "artículos"


ISO 27002: Nuevas soluciones
13/December/2011, 12:02 AM

ISO27000.es sigue creciendo y en entre las últimas novedades relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001 destacamos:

- 15.2.2. Comprobación de la conformidad técnica: Incluimos un enlace a la guía en español, publicada por INTECO-CERT y el CSIRT-cv titulado ?Pentest: Information Gathering?, sobre técnicas de recopilación de información para tests de penetración..

- 9.1.3. Seguridad de oficinas, despachos y recursos: Nuevas orientaciones para el plan de protección de una zona de acceso restringido por la Oficina Nacional de Seguridad de España.

- 6.2.3. Tratamiento de la seguridad en contratos con terceros: Condiciones específicas para el manejo de Información Clasificada en las actividades, contratos y programas clasificados en los que participen empresas publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España.

ISO27002.es cuenta con el patrocinío de: GesConsultor (Plataforma para Sistemas de Gestión).

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa.


Open Source como estrategía de ahorro de costes
15/February/2012, 01:00 PM

En tiempos de recesión económica existen alternativas al software propietario que pueden reducir considerablemente los costes en licencias, especialmente en entornos como administraciones públicas donde existen además proposiciones no de ley para el uso de Software Libre apoyadas por el Congreso de los diputados.

Acorde al control A12.1.1 antes de implantar las demandas de nuevos sistemas de información para el negocio o mejoras de los sistemas ya existentes se deberían especificar los requisitos de los controles de seguridad. de productos.

Interesante comparativa del Gobierno Británico sobre las alternaticas Open Source a soluciones propietario y en el que se incluyen también soluciones de seguridad junto a comentarios pertinentes que permiten una valoración inicial para introducir posibles cambios con cierta racionalidad.

Enlace de referencia obtenido desde la web y noticia de Kriptópolis


Los 7 errores más frecuentes de los responsables TI
15/February/2012, 12:43 PM

Según un reciente informe de Gartner, el presupuesto para TI alcanzará 1,7 millones de libras a nivel mundial, lo que supone un incremento del 3.9% respecto a 2011.

Esa es una buena noticia para los directivos IT ya que significa más dinero para el desarrollo de los proyectos y programas pero, ¿será un dinero gastado de forma eficaz?

Interesante artículo en Computerweekly con un resumen de los errores más frecuentes junto a posibles consideraciones clave.


¿Ya tienes políticas de seguridad y crees que es suficiente? Piénsalo dos veces....
15/February/2012, 11:39 AM

Nuevo estudio muestra que más de la mitad de los trabajadores no siguen siempre o están al tanto de las políticas de seguridad de la organización.

- 51% de los trabajadores que disponen de una impresora, copiadora o impresora multifunción en el puesto de trabajo declaran que han copiado, escaneado o impreso información confidencial.

- 54% considera que los ordenadores son la mayor amenaza a la seguridad de su red corporativa y en comparación a otros dispositivos tecnológicos, donde sólo el 6% está sociado a las impresoras/copiadoras/escáner.

- Sólo el 13% de los empleados tienen implantadas medidas de seguridad como contraseñas o códigos de acceso para el acceso a la cola e impresión de los trabajos enviados al dispositivo de impresión.


II Congreso Nacional de Interoperabilidad y Seguridad
15/February/2012, 11:38 AM

Los días 22 y 23 de febrero de 2012 en Madrid el encuentro cuenta ya con más de 400 inscritos de 155 entidades públicas y servirá para comentar los avances más relevantes en la aplicación de los Esquemas nacionales de Interoperabilidad y Seguridad en las Administraciones Públicas.


Áudea: Actividades y X Aniversario
15/February/2012, 11:25 AM

Desde el departamente de comunicación de Áudea brindan una invitación al desayuno tecnológico que celebrarán en sus instalaciones de las Rozas-Madrid para el próximo día 28 de Febrero organizado por Áudea y Buguroo con el objetivo de proteger las aplicaciones corporativas.

El equipo de Áudea cumple su 10º aniversario: Formado por 20 profesionales altamente cualificados entre los que se encuentran abogados especialistas en nuevas tecnologías, consultores con certificaciones CISA, CISM Y CISSP e ingenieros informáticos quieren agradecer desde sus tres delegaciones a clientes, partners y colaboradores su fidelidad y confianza.


Crimen as a Service
03/February/2012, 08:52 PM

"Una de las predicciones más visionarias para 2012 fue la apuntada por Fortinet, que definía Crime As A Service como: ?...es exáctamente como Software as a Service (SaaS), pero en vez de ofrecer servicios legales y de ayuda en Internet, sindicatos criminales ofrecen servicios ilegales y perjudicales como la infección de un gran número de ordenadores, envío de spam e incluso el lanzamiento de ataques directos de denegación de servicio (DDoS)"

En el blog de Paolo Passeri nos indica que la predicción ya se está cumpliendo.


ISMS Forum crea el Instituto Español de Ciberseguridad
01/February/2012, 10:51 AM

ISMS Forum Spain pone en marcha el Instituto Español de Ciberseguridad (SCSI), una nueva iniciativa cuya misión es impulsar y contribuir a la mejora de la Ciberseguridad en España y crear un estado de conciencia sobre la necesidad de la Ciberseguridad para controlar y gestionar el estado de riesgo que genera la dependencia que el desarrollo socio-económico del país tiene respecto de las Tecnologías de la Información y la Comunicación (TIC).


World Economic Forum publica una guía en ciberseguridad
31/January/2012, 12:26 PM

El World Economic Forum (WEF) ha publicado un conjunto de principios en ciberseguridad y resiliencia como ayuda a la economía internacional para combatir el cibercrimen global.

La guía incorpora una checklist para las organizaciones y el desarrollo de un programa básico de protección en diferentes grados de madurez.


Novedades iso27002.es
31/January/2012, 11:47 AM

Destacamos algunas de las novedades de ISO27002.es relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001:

- 12.6.1. Control de las vulnerabilidades técnicas: Enlaces a escaner de vulnerabilidades (free hasta 128 IPs) para desarrollar valoraciones en todo tu entorno y herramienta para la investigación forense y ejecutables en entornos Windows y Unix.

- 99.1.1 Cloud Computing: Ampliamos las soluciones de ISO 27002 con un apartado dedicado al Cloud Computing y posibles herramientas de utilidad.

- 15.1.2. Derechos de propiedad intelectual: Belarc Advisor no solo controla licencias instaladas en equipos y construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web de forma privada e interna a la empresa..

ISO27002.es cuenta con el patrocinío de: GesConsultor (Plataforma para Sistemas de Gestión).

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa.


El futuro en la autenticación Web
31/January/2012, 11:28 AM

Muchos expertos en seguridad opinan que el modelo de confianza de Internet se ha roto por los problemas actuales con los protocolos "Secure Sockets Layer" y "Transport Layer Security". Plantear soluciones necesitará de tiempo y un alto grado de colaboración.

Artículo original en Dark Reading


Cuarta sesión anual abierta de la AEPD: Alojamiento en La Nube
31/January/2012, 11:26 AM

El viernes 27 de enero de 2012 tuvo lugar la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos. Si las jornadas de los últimos dos años tuvieron por protagonistas a la Videovigilancia y a la Administración Electrónica, esta vez le tocó el turno al alojamiento de datos personales en La Nube.

Análisis de la jornada por José Carlos Moratilla de Audea


SABSA (Sherwood Applied Business Security Architecture) framework
27/January/2012, 09:04 PM

SABSA es un modelo y una metodología para el desarrollo de arquitecturas de seguridad de la información en las empresas en función del riesgo y para la entrega de soluciones de seguridad de las infraestructuras que den soporte a las iniciativas críticas de negocio.

La características principales del modelo SABSA es que todo debe derivarse de un análisis de los requisitos de negocio y de la seguridad, especialmente en aquellos casos en los que la seguridad tiene una función de apoyo a las nuevas oportunidades de negocio que pueden ser desarrolladas y son susceptibles de ser explotadas.


Las empresas tendrán que adaptarse a la nueva normativa en materia de protección de datos de la Unión Europea
27/January/2012, 09:00 PM

La nueva normativa sustituirá a la Directiva 95/46 de Protección de Datos de la UE, que ha sido parte importante de la legislación europea sobre privacidad y derechos humanos, y bajo la que se han regido las empresas europeas durante 13 años.

La propuesta para una legislación europea más estricta en materia de protección de datos va a obligar a las empresas en toda la UE a reforzar sus procesos de gestión de la información.

Noticia completa en Diario Jurídico


"WhatsApp es una aplicación insegura"
26/January/2012, 08:39 PM

Félix Brezo, investigador en seguridad informática del instituto tecnológico DeustoTech de la Universidad de Deusto, es tajante: "WhatsApp es una aplicación insegura", y ofrece alternativas como Skype o Gtalk. "En el caso de una carta, cuando yo la envío tiene que leerla solo el destinatario", ilustra. Con WhatsApp, "mínimo el cartero lo va a ver". "Usar WhatsApp es como enviar secretos con postales", ejemplifica.

Apple ha decidido sacar esta aplicación de su tienda, del App Store. Las razones de esta decisión se desconocen, pero algunos expertos apuntan a la inseguridad.

La aplicación también registra las coordenadas GPS desde las que se envió cada mensaje si esta funcionalidad está activada.

Noticia completa en el Norte de Castilla


Cae casi 20% protección IT de infraestructuras críticas de gobierno e industria
26/January/2012, 08:36 PM

La encuesta sobre Protección de Infraestructura Crítica (CIP, por sus siglas en inglés), realizada por la firma de seguridad Symantec, reveló que a diferencia del año 2010, en el 2011 las empresas mostraron un índice de participación CIP en programas gubernamentales de protección del 82%, lo que muestra una reducción de 18 puntos.

Mientras tanto en América Latina, incluido México, el índice de participación es de 88%.

Noticia completa en b:secure


2012: actualización de amenazas y vulnerabilidades
26/January/2012, 08:25 PM

CISCO ha publicado un interesante informe en el que analiza el pasado 2011 y sintetiza las amenazas y vulnerabilidades asociadas a las actividades actuales de los usuarios y en el que destaca el modo en que se utilizan los dispositivos que facilitan la movilidad y las exposiciones de las empresas a las que se debería hacer frente con medidas de seguridad apropiadas para evitar afectaciones.


INTECO-OSI: Servicio de soporte y ayuda en tiempo real
26/January/2012, 08:12 PM

La Oficina de Seguridad del Internauta (OSI), servicio del Instituto Nacional de Tecnologías de la Comunicación, INTECO, acaba de lanzar un nuevo canal para su relación con los usuarios: un servicio de soporte y ayuda en tiempo real, basado en un sistema de chat, al que puede accederse desde su página web www.osi.es.

A través de este nuevo canal los técnicos de la OSI ayudarán gratuitamente a los usuarios que tengan dudas o problemas de seguridad, de una forma interactiva, dinámica y no intrusiva, guiándoles en caso necesario a través de indicaciones sobre la propia pantalla del ordenador del usuario.


Bayes y los falsos positivos
26/January/2012, 08:06 PM

En muchos casos la primera vez que un especialista de la información se encuentra con la regla de Bayes es cuando se busca justificar las inversiones en seguridad de una empresa para poder "vender" en proyecto en cuestión a un gerente de administración y finanzas.

Articulo del Ing.Carlos Ormella Meyer para iso27000.es


Los Reyes Magos pasaron por nuestro portal ISO27002.es de soluciones en seguridad
11/January/2012, 11:44 AM

ISO27000.es incorpora novedades para este 2012 relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001, entre las que destacamos:

- 10.1.1. Documentación de procedimientos operativos: Incluimos un enlace a una guía práctica para el análisis y plan de respuesta a incidentes para ataques DoS de Denegación del Servicio.

- 10. 4. 1. Medidas y controles contra software malicioso: Solución gratuita disponible desde Android Market que proporciona defensa antirobo y escaner Anti-Virus Lite alerta sobre aplicaciones potencialmente maliciosas antes de que dañen tu nuevo smartphone.

Adicionalmente una guía ENISA con 5 líneas para combartir el robo de información sensible (SMS, llamadas, fotografías, geolocalización, etc.) en  smartphnes.

- 10. 10. 1. Registro de incidencias: Guía de referencia rápida para habilitar auditoría en LINUX y registrar y hacer un seguimiento integral de acceso a los archivos, directorios y recursos de su sistema, así como de las llamadas del sistema.

ISO27002.es cuenta con el patrocinío de: GesConsultor (Plataforma para Sistemas de Gestión).

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa.


NIST busca comentarios públicos para la guía de seguridad BIOS
11/January/2012, 11:40 AM

El proyecto de directrices en fase de borrador (NIST SP 800 a 155) está orientado a proveedores y profesionales de la seguridad con el propósito de mejorar la seguridad en BIOS.

NIST declaró que, los cambios no autorizados en BIOS pueden causar una amenaza significativa para la seguridad porque el sistema funciona en un nivel más bajo y antes de que otras protecciones de seguridad queden activas.

SP 800-155 explica los fundamentos para medir la integridad en BIOS como base para saber y notificar si se han aplicado modificaciones no deseadas.

Comentarios públicos al borrador abiertos hasta el 20 de enero de 2012 y enviados via email según se indica en "Comment SP 800-155? del propio documento.


Agenda TV: Canal GobiernoTI
11/January/2012, 11:27 AM

Desde la asociación itSMF España se publican videos con ponencias relacionadas con el Gobierno TI desde la plataforma de video streaming globbtv.com que permanecen disponibles bajo demanda.

Entre los temas publicados recientemente y relacionados con seguridad destacamos:

- SEGURIDAD DESDE EL DISEÑO: CONFÍA EN LA INNOVACIÓN

- INTEGRAR PARA SIMPLIFICAR: 20K+27K+14K+38K+...


Fraude y delito económico mundial 2011
11/January/2012, 12:57 AM

"La escasez de recursos, junto con las difíciles circunstancias económicas por las que atraviesa España, se ha convertido en un caldo de cultivo perfecto para la proliferación de los delitos económicos en nuestro país."

"En el estudio de este año destaca el crecimiento con fuerza de los delitos informáticos, que han llegado a representar entorno al 4% sobre el total de los casos de fraude sufridos por las empresas españolas en los últimos 12 meses, y un incremento de aproximadamente el 130% en relación a los datos derivados de nuestro Informe sobre delitos económicos y fraude empresarial de 2009."


Publicaciones ENISA
11/January/2012, 12:25 AM

ENISA ha publicado recientemente:

- Un informe sobre que identifica áreas potenciales de mejora para aumentar la seguridad de la información y la resiliencia de los sistemas públicos, redes, productos y servicios.

- Un informe sobre seguridad informática en el sector marítimo.

- Un informe sobre eventos de seguridad en UE y la celebración un posible mes Europeo para la seguridad.

Los autores de iso27000.es hemos participado de nuevo en los grupos de ENISA junto a otros colaboradores de varios paises para la elaboración de este último informe.


¿Pediste un smartphone a los Reyes Magos? Ahora toca protegerlo
11/January/2012, 12:04 AM

Para todos aquellos que quieran estrenar el móvil inteligente que le han traído los Reyes Magos, de forma segura, Kaspersky Lab ha reunido una serie de consejos que ayudarán a los usuarios para navegar de forma segura y rápida en la Red, ya que los smartphones seguirán siendo objetivo principal de los cibercriminales en 2012.


ESPECIAL: Los 10 consejos de seguridad del 2012 para CISO y empresas
11/January/2012, 12:01 AM

"La siguiente guía no apunta a la promoción o venta de ningún producto en particular, sino que buscan actuar como marco de referencia para conocer y comenzar a analizar vectores de ataque que quizá hemos pasado por alto o aún no estamos contemplando."


Japón lanzará virus como táctica de ciberdefensa
10/January/2012, 11:51 PM

De acuerdo con medios japoneses, la Secretaría de Defensa del país nipón se encuentra en proceso de desarrollo de un virus informático capaz de rastrear, identificar, y deshabilitar fuentes de ciberataques. Artículo completo e implicaciones en b:secure


Oferta de empleo: Consultor de seguridad
10/January/2012, 11:48 PM

La consultora de seguridad AUDEA busca profesionales para desarrollar labores de auditoría, consultoría y formación en seguridad.


Seguridad ?low cost?
10/January/2012, 11:44 PM

En el blog de Alfredo Reino se desarrollan referencias de soluciones gratuitas y de bajo coste tomando en consideración a la PYME y MICROPYME.


20 preguntas para hacerle a su proveedor de la nube
10/January/2012, 11:10 PM

Tan pronto como usted contrate a un proveedor de nube debería preocuparse no sólo por su seguridad TI interna, también por la del propio proveedor. Si es una empresa pequeña o mediana podría asumir que la seguridad del proveedor es superior a la suya, y puede que tenga razón, pero asegúrese de hacer en cualquier caso algunas preguntas correctas.


NIST SAMATE Reference Dataset Project
10/January/2012, 10:55 PM

El propósito del conjunto de datos de referencia SAMATE (SRD) es proporcionar a usuarios, investigadores y desarrolladores de software, unas herramientas para la seguridad con una serie de fallos de seguridad conocidos. Estos casos de prueba son diseños, código fuente, archivos binarios, etc, de todas las fases del ciclo de vida del software.

El proyecto prevé abarcar una amplia variedad de posibles vulnerabilidades, lenguajes, plataformas y compiladores y convertirse en un esfuerzo a gran escala con la recopilación de casos de prueba de muchos colaboradores.


Herramientas de Gestión de la Continuidad de Negocio
13/December/2011, 12:00 AM

Una de las decisiones importantes al establecer un sistema de gestión de Continuidad de Negocio es la de determiniar la necesidad o no de automatizar partes del proceso, lo que conlleva la elección de una herramienta de continuidad.

El uso de cualquier herramienta condicionará tanto los procedimientos de mantenimiento como las actividades a realizar en caso de tener que activar el plan de continuidad.

Interesante post de Jorge Gª Carnicero


Duqu Detector Toolkit
12/December/2011, 11:54 PM

Conjunto de herramientas desarrolladas en OpenSource por el Laboratory of Cryptography and System Security (CrySyS) de Hungría y que combina técnicas sencillas de detección para detectar infecciones por Duqu en un ordenador o en toda una red.


Herramientas Free de McAfee
12/December/2011, 11:46 PM

Dentro del compromiso de McAfee con la seguridad, la compañía pone a disposición una batería de software que puede ser descargada directamente y para diversos usos que van desde herramientas Anto-malware, forensic, SASS, detección de intrusiones, escaneo, spam o de estress, entre otras.


Publicada ISO/IEC 27034 parte 1
05/December/2011, 12:24 AM

ISO/IEC 27034 proporciona una guía para ayudar a las organizaciones en la integración de la seguridad en los procesos utilizados para la gestión de sus aplicaciones.

ISO/IEC 27034-1:2011 presenta una visión general de la seguridad de las aplicaciones e introduce definiciones, conceptos, principios y procesos que intervienen en la seguridad de aplicaciones.

ISO/IEC 27034 es aplicable al desarrollo de las aplicaciones internas, las aplicaciones adquiridas a terceros, y en el desarrollo o explotación de aplicaciones externalizadas.


Publicada la ISO/IEC 27007
05/December/2011, 12:21 AM

ISO/IEC 27007:2011 proporciona una guía sobre el programa de auditorías para la gestión de un sistema de gestión de seguridad de la información (SGSI), sobre la realización de las auditorías y de la competencia de los auditores de SGSI, además de las directrices contenidas en la norma ISO 19011.

ISO/IEC 27007:2011 es aplicable a aquellos que necesitan comprender o realizar auditorías internas o externas de un SGSI o para administrar un programa de auditoría del SGSI.


ISO 30301:2011 e ISO 30300 sobre Información y Documentación
05/December/2011, 12:15 AM

Han sido publicadas las normas ISO 30301 e ISO 30300 sobre información y documentación.

En la primera de ellas (ISO 30301) se especifican los requisitos que debe cumplir un sistema de gestión para los documentos, ayudando con la implantación de este tipo de sistema a cumplir el requisito de control documental al que hacen referencia las normas ISO 27001, ISO 20000. ISO 9001, ISO 14001 y OHSAS 18001, entre otras.


Organización de eventos familiares o de amigos y LOPD
04/December/2011, 11:59 PM

Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos, o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y en una fecha concreta y celebrar el evento preparado.

Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular.

Hasta que la Agencia Española de Protección de Datos, AEPD, se le ocurrió indagar sobre estos supuestos, y concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una Comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.

Artículo completo de Audea


Publicada la ISO/IEC 27008
04/December/2011, 11:46 PM

Este informe técnico proporciona una guía de revisión de la implementación y operación de los controles, incluyendo la conformidad técnica y comprobación de los controles de un sistema de información en conformidad con las normas de seguridad establecidas por una organización.

Este informe técnico es de aplicación a todos los tipos y tamaños de organizaciones, incluyendo empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro., llevar a cabo revisiones de seguridad de información y control técnico de cumplimiento aunque el informe técnico no está diseñado para las auditorías de sistemas de gestión.


Microsoft: las amenazas ?Zero-day? significan menos del 1% de los exploits
04/December/2011, 11:34 PM

Menos del 1% de fallas de seguridad durante el primer semestre de 2011 se produjeron por vulnerabilidades "zero-day" de acuerdo con el último informe de Seguridad de Microsoft.

Esto significa que el 99% de todos los ataques de malware durante el mismo período se distribuyó mediante técnicas conocidas, tales como la ingeniería social y vulnerabilidades sin parches actualizados.


Formación y concienciación en seguridad de la información
04/December/2011, 11:23 PM

ENISA ha producido video clips para que la plantilla de las organizaciones tomen conciencia de los riesgos en seguridad de la información y recordar la puesta en práctica de las buenas prácticas.

Los video clips de ENISA están disponibles para descarga y uso en cualquier intranet y/o programa de formación y concienciación en seguridad de la información de las organizaciones y en diversos idiomas.


Informe PenTesting
04/December/2011, 11:23 PM

Con objeto de concienciar a administradores y técnicos de seguridad sobre los métodos que utilizan los ciberdelicuentes para recopilar información sobre entidades y organizaciones, y ayudar en la protección de la información y los sistemas, INTECO ha publicado el informe "Pentest: Recolección de Información (Information Gathering)"


Informe de Certificaciones ISO
03/December/2011, 02:07 PM

La última edición de la Encuesta ISO de Certificaciones en 2011 (con datos relevantes del año 2010), destaca la importancia del mercado mundial de las normas ISO de sistemas de gestión de calidad, medio ambiente, dispositivos médicos, seguridad alimentaria y la seguridad de la información con un aumento en los certificados de 6,23%, alcanzando un total mundial de un 1.457.912 certificados y con usuarios de uno o más de los estándares en 178 países.

Los mayores aumentos en la certificación son para el sector específico de la norma ISO 22000:2005 (sistemas de gestión en el sector alimentario) con un 34% y para el tema específico de la norma ISO/IEC 27001:2005 (sistemas de gestión de seguridad de la información) con un aumento del 21%.


Fallece Dennis Ritchie, cocreador de Unix
19/October/2011, 01:40 PM

El cocreador del sistema operativo Unix, Dennis MacAlistair Ritchie, falleció recientemente a la edad de 70 años.

Este ingeniero graduado en física y matemáticas en la Universidad de Harvad colaboró en el diseño y desarrollo de este sistema junto a Brian Wilson Kernighan, además de contribuir a la creación del lenguaje de programación C.

"Las herramientas que Dennis ha construido - y sus descendientes directos - están en practicamente toda la tecnología actual", dijo Brian Kernighan, científico informático de la Universidad de Princeton, que trabajó con Mr. Ritchie en los Laboratorios Bell.

Desde iso27000.es nuestra admiración y reconocimiento a su labor, así como, el modo en el que el Sr.Dennis difundió sus trabajos durante todos estos años.


Las empresas replantean los planes de continuidad después del caso Blackberry
19/October/2011, 01:13 PM

A raíz del mayor corte de la historia de la compañía que se ha producido en los servicios Research in Motion (RIM), Jenny Williams investiga cómo las empresas construyen su estrategia de resistencia contra puntos únicos de fallo para el caso de la interrupción en la prestación por parte de un proveedor de servicios.

La interrupción de tres días en los servicios RIM ha afectado las entregas del correo electrónico móvil a las principales empresas y departamentos gubernamentales y que hacen uso intensivo de la empresa de servicios Blackberry.

La interrupción de los servicios globales ha llevado a las empresas a replantearse su uso y la dependencia de los teléfonos inteligentes Blackberry en base al único punto de fallo en la red de RIM y la infraestructura de TI demostrados.


Monitorización de sistemas y aplicaciones
19/October/2011, 12:38 PM

Nuevas soluciones Open Source como SHINKEN dentro de las novedades dentro de la iniciativa iso27002.es


ITIL 2011
19/October/2011, 12:22 PM

Manuel Díaz Sampedro de Áudea, Seguridad de la Información comenta a ragos generales las novedades introducidas en la nueva versión de ITIL recientemente publicada.


Nueva guía NIST 800-137
19/October/2011, 02:15 AM

Guía para la monitorización contínua de la seguridad de la información.


Análisis de 250.000 conversaciones de hackers
19/October/2011, 02:10 AM

Imperva ha dado a conocer un informe que analiza el contenido y las actividades de un foro on line de hackers con cerca de 220.000 miembros registrados.

Entre los temas más discutidos en este foro desde junio 2010 hasta junio 2011 están los ataques DoS/DDoS, con un 22% de las discusiones, seguida de inyecciones de SQL, que comprende el 19% de todos los debates, además de ataques a iPhones, entre otros datos de interés.


Nuevos retos y riesgos para los CIOs
19/October/2011, 02:05 AM

Nuevos y complejos riesgos de TI y el cambio en las prioridades del negocio suponen nuevos retos hoy en día a los responsables de TI, según una nueva encuesta de Protiviti.

Los resultados del estudio revelan seis áreas de prioridad para los CIOs y sus organizaciones: seguridad de la información y la privacidad, la virtualización y el cloud computing, la integración de los medios sociales de comunicación, la clasificación y gestión de datos, cumplimiento normativo y gestión de proveedores.


Nuevas técnicas de troyanos para transacciones bancarias
19/October/2011, 01:41 AM

La adopción de sistemas de confirmación de transacciones bancarias mediante el envío de códigos de comprobación por mensajes SMS a los propietarios de las cuentas se ha mostrado vulnerable a nuevas variantes de troyanos.

La educación de los usuarios, la seguridad en navegadores  y medidas adicionales como elementos necesarios a contemplar. 


¿Se toma en serio la seguridad en las empresas españolas? #ncn2k11
19/October/2011, 01:27 PM

Mesa con invitados como Miguel Angel Hervella (Director de Riesgos de Información para Deutsche Bank Iberia, Italia y MENA) y Enric Llaudet (con una amplia trayectoria en el departamento de sistemas y de seguridad de la información para British Telecom y el CESICAT) defendiendo la visión de las empresas, y por otra parte, Albert Puigsech (aka RIPE) y Pau Oliva (pof) archiconocidos en el mundo underground y actualmente dedicados de lleno al mundo de la seguridad en diferentes vertientes.

Enlace a noticia completa y video de la sesión en Security by Default


El robo de identidad más grande de la historia
18/October/2011, 11:20 PM

111 arrestados, 13 millones de dólares defraudados en un año y medio y con la implicación de personal responsable de las cajas de diversos establecimientos al que se pagaba por conseguir la información de tarjetas que luego se clonaban en tarjetas falsas que se revendían por los criminales listas para su uso y con documentación de identidad adicional en algunos casos.

Noticia completa en b:secure


Publicación de la norma ISO/IEC 17021:2011
10/October/2011, 01:27 PM

La norma ISO/IEC 17021:2011 introduce algunos importantes nuevos requisitos para organismos que prestan el servicio de auditoría y certificación de sistemas de gestión.

Puede leer la nota completa (briefing note) en la que IRCA informa a sus auditores certificados y a los organismos de formación aprobados sobre los cambios y sus posibles impactos.


Norma ISO/FDIS 19011:2011
10/October/2011, 01:23 PM

La publicación de la ISO 19011:2011 proporciona a los auditores, a organizaciones que están implementando sistemas de gestión y a organizaciones que deben realizar auditorías de sistemas de gestión, una oportunidad de re-evaluar sus propias prácticas e identificar oportunidades de mejora.

Lea la nota completa (briefing note) e informe sobre los cambios a auditores certificados por el IRCA y a organismos de formación aprobadas por el IRCA.

La norma ISO 19011 proporciona orientación sobre los principios de auditoría, la gestión de programas de auditoría, la realización de auditorías de sistemas de gestión, así como sobre la competencia de los auditores y aplica a todas las organizaciones que realicen auditorías internas o externas de sistemas de gestión o que gestionen un programa de auditoría.


Desvelar passwords de 6 caracteres en pocos segundos
10/October/2011, 12:40 PM

Expertos en seguridad con la ayuda de una tarjeta gráfica nVidia GeForce GT220 de 30 libras de coste fueron capaces de descifrar contraseñas de seis caracteres en 12 segundos, contraseñas de siete caracteres en menos de cinco minutos, y una contraseña de ocho caracteres en cuatro horas.

La prueba pone de relieve la dificultad extra que supone para un hacker cada caracter añadido a las contraseñas en uso.

¿Problemas para generar password seguras o comprobar la fortaleza de las que están en uso? Visite las soluciones de nuestro portal iso27000.es


¿Son los usuarios demasiado tontos para el entrenamiento en temas de seguridad?
10/October/2011, 12:26 PM

"Usted no puede simplemente sentar a los usuarios, darles treinta minutos de información sobre por qué la seguridad es importante y esperar que va a cambiar su forma de comportarse en el día a día. Esto no puede funcionar porque no es la forma de trabajar de las personas."

"Todo el mundo tiene que dejar de hablar de cómo hacer que los usuarios sean más conscientes y empezar a hablar acerca de cómo modificar el comportamiento de los usuarios, de modo similar a lo que se hace en las técnicas de venta."

"El primer paso es obtener buenas mediciones del comportamiento del usuario antes del entrenamiento y luego las mismas medidas del estado post-esfuerzo para averiguar si se está consiguiendo realmente un retorno positivo en el tiempo dedicado."

Artículo completo en Dark Reading

Visite las soluciones en formación en seguridad de nuestro portal iso27000.es


Las 5 peores prácticas en el cifrado de Bases de datos
10/October/2011, 12:14 PM

1. Mantener las claves en el sitio equivocado
2. Fallo en la centralización de gestión de claves
3. Depender de soluciones caseras
4. Mantener Backups sin cifrar
5. Uso de algoritmos de cifrado caducos

Artículo completo de Ericka Chickowski en Dark Reading


Intypedia: Lección 10. Ataques a SSL
10/October/2011, 11:53 AM

Nueva entrega de la enciclopedia de la Seguridad de la Información donde Alicia explica a Bernado los ataques más famosos al protocolo SSL/TLS y como protegerse de ellos.

En el vídeo se recomiendan acciones básicas para una navegación más segura utilizando dicho protocolo.


Han aumentado 650% los incidentes informáticos, en agencias federales
10/October/2011, 11:50 AM

De 2006 (5,503) a 2010 (41,776) las agencias gubernamentales estadunidenses han sufrido un incremento de 650% en infecciones de malware y algunas otras fallas de seguridad, según dio a conocer en un reporte la Oficina de Responsabilidad del Gobierno de Estados Unidos (GAO por sus siglas en inglés).

De la auditoría hecha por la GAO a las 24 agencias, los principales incidentes reportados que ocurren con más frecuencia son:

· Acceso no autorizado: Acceder de forma física o lógica a la red, sistema, aplicaciones datos u otro recurso de una agencia federal sin permiso

· Negación de servicio DDoS: Prevenir o impedir el normal funcionamiento autorizado de redes, sistemas o aplicaciones por agotamiento de recursos.

· Códigos maliciosos: Instalar malware como virus, gusanos, troyanos u otros códigos que infectan un sistema operativo o aplicación de la agencia.

· Uso inapropiado: Violar las políticas de uso aceptable de computación.

· Scans e intentos de acceso: Acceder o identificar una computadora de agencia federal, puertos abiertos, protocolos, servicios o cualquier combinación de esto para su posterior explotación.

· Incidentes sin confirmar: Fallas anómalas del sistema.

Noticia completa en b:secure


Nueva release de la Matriz de controles para Cloud
10/October/2011, 11:29 AM

La Cloud Security Alliance Controls Matriz (CCM) está diseñada específicamente para proporcionar los principios fundamentales de seguridad a los proveedores de nubes, así como, ayudar a los clientes potenciales de nubes en la evaluación del riesgo para la seguridad global de los proveedores de cloud.

CCM proporciona un marco de controles que ofrece una comprensión detallada de los conceptos de seguridad y los principios que quedan alineados en 13 dominios.

Estos fundamentos tienen en consideración otras normas de seguridad aceptadas por la industria, las regulaciones y marcos de control, tales como la ISO 27001/27002, COBIT de ISACA, PCI, NIST, Jericho Forum y NERC CIP, además de proporcionar una guía para el control interno con SAS 70 según se desprende de los testimonios por parte de los proveedores de cloud.


Congreso ISACA Valencia 2011
10/October/2011, 11:25 AM

Se celebrará en el Hotel Astoria Valencia, (Comunidad Valenciana, España) los dias 10 y 11 de Noviembre.

- El día 10 se tratará la temática de eAdministración

- El día 11 se tratará la temática de Cloud Security

Inscripción obligatoria. Plazas limitadas.


ISO 27002: Soluciones destacadas para el Otoño
01/October/2011, 01:51 PM

ISO27000.es sigue creciendo y en entre las últimas novedades relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001 destacamos:

- 6.1.7. Contacto con Grupos de Interés Especial: Incluimos un enlace a varios laboratorios independientes de evaluación de soluciones Antivirus que prueban varios antivirus contra las últimas amenazas de malware . Compruebe el grado de eficacia de sus soluciones Antimalware en uso en base a información especializada.

- 9.1.2. Controles físicos de entrada: Ampliamos las plantillas, modelos y guías para la gestión de la seguridad en las distintas áreas.

- 12.2.2. Control del proceso interno: Ampliamos las soluciones disponibles para la planificación de las aplicaciones web y su explotacion segura.

ISO27002.es cuenta con el patrocinío de: GesConsultor (Plataforma para Sistemas de Gestión)

¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa.


CONAN: nueva versión
01/October/2011, 01:48 PM

Debido al éxito de CONAN, con más de 21.000 usuarios, la OSI ha considerado importante realizar mejoras en la herramienta y actualmente ya se encuentra publicada una nueva versión.

Adicionalmente a CONAN existen más soluciones relacionadas para consulta gratuita en nuestra iniciativa iso27002.es


Recursos independientes de test de software antivirus
29/September/2011, 05:39 PM

En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica.

Virus Bulletin es uno de los recursos que publica informes del resultado de los tests (conocido como VB100).

Otro laboratorio independiente de test de soluciones antivirus es el AV-TEST Institute con informes trimestrales.

AV Comparative es otra organización que proporciona información de los tests en soluciones Anti-Virus de forma gratuita y abierta al público.

Esperamos que estas referencias sirvan a nuestros lectores como información de contacto útil para seleccionar las mejores soluciones para sus necesidades.

Fuente original de la información: Infosec Island


Disponible CSET 4.0: Cyber Security Evaluation Tool
29/September/2011, 05:28 PM

Control Systems Security Program (CSSP del centro de alerta temprana de los EEUU) ha lanzado la versión 4.0 de la herramienta de evaluación para la ciberseguridad (CSET).

Esta nueva versión de la herramienta está disponible para su descarga e incluye nuevas normas, tales como NERC CIP Revisión 3, NRC Regulatory Guide 5.71, un nuevo conjunto de requisitos clave y la versión 7 del DHS "Catalog of Security Requirements: Recommendations for Standards Developers.".

CSET 4.0 también incluye una revisión completo del conjunto de informes con gap rankings, una nueva funcionalidad de diagramas y una nueva librería de recursos además de otras mejoras menores.

Esta herramienta es útil para evaluaciones de sistemas de control tanto empresariales como industriales.


OTAN avanza en la defensa cibernética internacional
29/September/2011, 05:22 PM

Durante el workshop de trabajo, que tuvo lugar el 19 de septiembre en la Agencia C3 de la OTAN en Bruselas, se acordaron una serie de áreas en las que las naciones están considerando la posibilidad de trabajar juntas para compartir los costos en la investigación de vanguardia y el desarrollo de nuevas capacidades.


Contingencia TIC vs Continuidad de Negocio
29/September/2011, 05:20 PM

Si bien es cierto que se van viendo avances significativos en la comprensión del, a veces, confuso mundo de la Continuidad de Negocio, todavía en ocasiones nos encontramos con que no se distinguen del todo algunos conceptos básicos. Es el caso de los Planes de Contingencia en relación con los Planes de Continuidad de Negocio.

Artículo completo de Manuel Díaz Sampedro para Audea


NIST: Evaluación del riesgo para sistemas de información federal
24/September/2011, 05:54 PM

NIST ha lanzado dos nuevas publicaciones se ocupan de la evaluación de riesgos: una es la fuente autorizada de guía completa para la evaluación de riesgos para los sistemas de información federal denominada NIST Special Publication 800-30, Revision 1.

Describe cómo aplicar el proceso de evaluación de riesgos en los tres niveles de la jerarquía de gestión de riesgos descritos en la Publicación Especial 800-39. Proporciona muestras de plantillas, tablas y escalas de evaluación de factores de riesgo comunes para que los usuarios puedan adaptarlas a sus propias evaluaciones de riesgo de la organización en base a el propósito, alcance, supuestos y limitaciones de las evaluaciones.

Esta es la quinta guía desarrollada en el marco de la seguridad de la información por una sociedad conjunta del Departamento de Defensa, una comunidad de la inteligencia, el NIST y el Comité de Sistemas Nacionales de Seguridad. El grupo de trabajo va a seguir colaborando en la protección de los sistemas federales de la información y de la infraestructuras de información crítica del país.

La otra guía es la actualización de una publicación de marzo 2011 y se centra exclusivamente en las evaluaciones de riesgos o NIST SP 800-39.


Fabricante de armas Japonés admite fallo en seguridad y hackeo en sistemas de misiles
21/September/2011, 11:04 AM

Mitsubishi Heavy Industries (MHI), el mayor fabricante de armas Japonés, declaró que sus servidores fueron hackeados tras encontrar 80 máquinas infectadas por virus.

Noticia completa en DatacenterDynamics 


Top shows de seguridad
20/September/2011, 04:57 PM

SecurityByDefault recopila una lista de videos, shows, entrevistas y presentaciones relacionadas con temáticas en seguridad como malware, cibercrimen, wireless, seguridad web, entre otros.


ISO/IEC 24745:2011
20/September/2011, 04:05 PM

ISO/IEC 24745:2011 proporciona una guía para la protección de los datos biométricos en los distintos requisitos de confidencialidad, integridad y capacidad de renovación/revocabilidad durante el almacenamiento y la transferencia.

Además, la norma ISO/IEC 24745:2011 establece los requisitos y directrices para la gestión de seguridad y privacidad requeridas en el procesamiento de la información biométrica.


ISO 27002: Soluciones destacadas para el Otoño
20/September/2011, 01:16 PM

Para empezar el otoño con fuerza sugerimos algunas novedades en la aplicación de controles del Anexo A de ISO/IEC 27001 como:

8.2.2. Formación y capacitación en seguridad de la información: Lista recopilatoria de diversos juegos de simulación en gestión de servicios TI, continuidad de negocio, gestión del riesgo, entre otros y para la formación en diferentes aspectos como toma de conciencia, organización del personal y roles a desempeñar en los diferentes casos.

- 13.2.3. Recogida de pruebas: MANDIANT Memoryze es un software forense para supervisión de contenido en memorias y de libre uso.

- 12.6.1. Control de las vulnerabilidades técnicas: Varias nuevas soluciones para pequeñas y grandes empresas con el objetivo de ahorrar tiempo y dedicación en labores de administración TI en la detección y actualización de los equipos conectados de la organización.

ISO27002.es cuenta con el patrocinío de: GesConsultor (Plataforma para Sistemas de Gestión)

¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa.


ISO/IEC 27035:2011
20/September/2011, 12:21 PM

ISO / IEC 27035:2011 proporciona una guía sobre la gestión de incidentes de seguridad en la información de grandes y medianas empresas. Las organizaciones más pequeñas pueden utilizar un conjunto básico de documentos, procesos y rutinas descritas en esta norma internacional, dependiendo de su tamaño y tipo de negocio en relación a la situación de la información y riesgos de seguridad.

También proporciona una guía para las organizaciones externas que proveen información de seguridad de los servicios de gestión de incidentes.


Cada día más de un millón de personas son víctimas del cibercrimen
20/September/2011, 12:04 PM

De acuerdo al reporte más reciente de la firma de seguridad IT, Symantec,  2011 Norton Cybercrime Report  cada día más de un millón de personas son víctimas de los delitos informáticos, el robo de información o los códigos maliciosos. Esto significa: más de 50,000 personas defraudas en la web cada hora, 820 víctimas en internet cada minuto o 14 internautas afectados por los cibercriminales cada segundo.

?Los delitos informáticos son más rentables que la venta global de marihuana y cocaína juntas, las cuales se estima alcanzan un valor cercano a los $288,000 millones de dólares, y son casi tan rentables como el mercado mundial de tráfico de drogas, estimado en $411,000 millones de dólares?, cita el reporte.

El análisis, que tomó a consideración las respuestas de más de 20,000 personas de 24 países distintos subraya que el cibercrimen se ha convertido en una actividad altamente rentable a los delincuentes virtuales.

Artículo de  Carlos Fernández de Lara para b:secure


Mini helicópteros no tripulados son usados para atacar redes WiFi
20/September/2011, 12:00 PM

?El ataque puede ser dirigido a cualquier ubicación que se requiera. El robot puede aterrizar cerca del objetivo y esperar ahí, como cuenta con celdas solares se puede recargar para seguir atacando todas las redes a su alrededor?

Según los investigadores todo el sistema es capaz de construirse por la módica cantidad de $600 dólares, lo que hace que este ataque sea muy accesible para los hackers.

 


El Ministerio de Defensa británico lanza un anuncio en YouTube para prevenir que sus soldados compartan información sensible en redes sociales
20/September/2011, 11:47 AM

El Ministerio de Defensa británico ha retomado y modernizado el eslogan "Careless talk costs lives" ("Hablar sin cuidado cuesta vidas") utilizado en la Segunda Guerra Mundial para prevenir que haya filtraciones de información sensible a través de Twitter, Facebook, de mensajes cortos o blogs.

Ambos vídeos terminan con el mensaje: "Quizá no sólo tus amigos y familiares lean tu Facebook. Piensa antes de tuitear, usar tu blog, cargar una foto, poner una etiqueta, mandar un mensaje, compartir".

Noticia completa en datospersonales.org


Invertir en seguridad supone la supervivencia de la empresa
20/September/2011, 11:45 AM

Garantizar que una organización sea capaz de seguir funcionando tras una catástrofe natural o un ataque de gran envergadura es el objetivo de las políticas de continuidad de negocio, una cuestión que las compañías tienen cada vez más presente como asunto crucial y que está de rabiosa actualidad por su relación con sucesos como el de Sony, Fukushima o Lorca y con la recién aprobada 'Ley PIC'.

La continuidad de negocio no se puede abordar sino desde un enfoque integral. Ésta fue la principal conclusión a la que se llegó durante la mesa redonda titulada ?Continuidad Global?, una idea en la que coincidieron plenamente los cinco expertos invitados por RED SEGURIDAD y SEGURITECNIA

 


X Jornada Internacional de ISMS Forum
20/September/2011, 11:36 AM

El próximo 29 de noviembre tendrá lugar en la Ciudad de las Artes y las Ciencias de Valencia la X Jornada Internacional de ISMS Forum, que lleva por título "Ciberdefensa y Ciberseguridad: La evolución de la amenaza frente a la protección de las infraestructuras críticas".

La inscripción es totalmente gratuita para los socios de ISMS Forum.


El Análisis de Riesgos en el contexto del ENS
20/September/2011, 11:29 AM

Interesante artículo de Rafael González para CSO Spain


Descubierto Virus con propagación en BIOS
20/September/2011, 11:09 AM

"BMW 360 Security Center virus es la más reciente captura de un virus de alto riesgo, el virus que infectó a una serie de BIOS (programa residente en el chip de la placa base), MBR (dispositivo de inicio principal) y los archivos del sistema operativo de Windows.

Volver a instalar el sistema operativo, independientemente de la computadora de la víctima , formatear el disco duro o reemplazar el disco duro no elimina completamente el virus. "

"La mayor parte de las compañías antivirus son reacias a desarrollar herramientas de limpieza de la BIOS por lo que la mejor opción pasa por reinstalar el software en el chip para eliminar la infección." 

Noticia completa traducida


INTECO-CERT: Informe de vulnerabilidades del primer semestre de 2011?
20/September/2011, 10:55 AM

INTECO-CERT, fiel a su labor informativa, publica semestralmente un informe con las vulnerabilidades reportadas a NIST y traducidas al español. Por este motivo, acaba de ver la luz en «Informe de vulnerabilidades del primer semestre de 2011».

Asimismo, INTECO-CERT emite un boletín gratuito y personalizable de suscripción con información de vulnerabilidades en los productos y/o fabricantes que haya seleccionado previamente el usuario. El boletín tiene una periodicidad instantánea, se envía cuando aparece una nueva vulnerabilidad sobre ese producto, y también semanal, resumiendo las principales vulnerabilidades de la semana. 


NIST: Cloud Computing Standards Roadmap
19/September/2011, 01:45 PM

Publicación por parte del gobierno estadounidense NIST sobre el uso de estándares y recomendaciones en prácticas en Cloud Computing.

El documento enlaza con una recopilación de estándares adicional relacionada con este Roadmap y para profundizar en aspectos concretos.


Webinars de BSI
17/September/2011, 07:00 PM

Un webinar es una modalidad de formación ofrecida por BSI gratuita. Se trata de una presentación multimedia que permite a los participantes escuchar al formador a través de una conferencia a través de su ordenador. Disponibles para registro de los interesados:

BS 25999-Continuidad de Negocio. Un caso practico de implantación: Patronato de la Fundación del Hospital Kings College.

ISO 20000-Servicios de Gestion de Tecnologías de la Información: Un caso practico Halliwells LLP Registrese aquí

ISO 27001-Implantación y gestión de la seguridad de la información.


Acuerdo de colaboración iso27000.es y Disaster Recovery Institute International
09/September/2011, 12:12 PM

El acuerdo de colaboración permitirá la celebración tanto de los cursos de preparación (como novedad en España) junto a los exámenes oficiales de calificación para ser un profesional reconocido por el DRI a nivel internacional, además de la difusión de las actividades en formación y eventos que el Disaster Recovery Institute celebre a nivel internacional.

DRI es una organización sin ánimo de lucro con más de 8.000 profesionales certificados en 95 países lo que la convierte en la mayor organización internacional en formación y certificación de profesionales en el mundo de la continuidad de negocio (el número de profesionales certificados por el DRI supera el total de profesionales del resto de organizaciones para este sector).


iso27002.es: más soluciones en seguridad
09/September/2011, 11:59 AM

Seguimos ampliando el número de soluciones en seguridad de la información con los siguientes destacados:

10. 4. 1. Medidas y controles contra software malicioso: Nuevas herramientas para la detección de rootkits

- 13.2.3. Recogida de pruebas: Soluciones para el desarrollo de trabajos forenses

- 10. 8. 4. Mensajería electrónica: Recopilación de soluciones de cifrado para distintas prácticas de mensajería electrónica. 

Con el patrocinío de: GesConsultor (Plataforma para Sistemas de Gestión)

¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesario registro) o ponte en contacto para posibles patrocinios de esta iniciativa.


Publicación "Seguridad por Niveles" por Alejandro Corletti Estrada
09/September/2011, 11:50 AM

"Se trata de una obra muy específica de más de 700 páginas, que desarrolla todos los temas de interés para profundizar en Seguridad de la Información, presentándolo desde el modelo de capas TCP/IP y con un gran cúmulo de ejercicios, herramientas y prácticas.

Han tenido la amabilidad de participar en su revisión y escribir el prólogo y presentación: Arturo Ribagorda Garnacho y Jorge Ramió Aguirre, que son dos importantes referentes en Seguridad del ámbito Hispano.

El libro está disponible bajo licencia "Copyleft" para su libre descarga y difusión sin fines de lucro (ver términos de Licencia), y lo recomendamos especialmente para su uso en todo tipo de ámbito de docencia."

Noticia completa, descarga y contacto con su autor desde darFE


Retorno de la inversión de la Seguridad de la Información
09/September/2011, 11:40 AM

Hay dos cuestiones en seguridad de la información que, a pesar de su limitada dedicación, abarcan todas las áreas para la protección de datos de la empresa, adquiriendo una importancia a tener en cuenta.

Una de ellas es la justificación de la inversión en seguridad. La otra cuestión es cómo medir la eficacia de las medidas de seguridad y, desde este punto, su gestión en la búsqueda de mejores resultados.

Artículo de Carlos Ormella


Estrategía en ciberseguridad 2011-15
05/September/2011, 12:35 PM

Recientemente la República Checa publicó su estrategia en Ciberseguridad para el periodo 2011-2015.

Descarga del documento y noticias relacionadas desde ENISA


¿Invasión alienígena? Nada de qué preocuparse, Google lo tiene previsto
29/August/2011, 08:11 PM

"Jugamos muchas partidas aquí", admite el director de seguridad de Google, Eran Feigenbaum. "Parte de nuestro plan de recuperación ante desastres es asumir que lo peor ha pasado. En el escenario del año pasado, Google fue atacada por alienígenas y California desapareció del mapa. Nos preguntamos: ¿Qué hacemos? ¿Cómo podemos mantener funcionando nuestra infraestructura? "

Entrevista completa disponible en Computerworld


Ranking en línea para puntuar la efectividad de los hackers
29/August/2011, 08:02 PM

El portal rankmyhack.com, puesto online el mes pasado, rápidamente se convirtió en el sitio preferido por los hackers de todo el mundo, ya que les permite comparar y calificar la efectividad de sus embates.

Noticia completa en b:secure


Videos: Prácticas que conllevan una pérdida de la información
29/August/2011, 07:39 PM

Diez vídeos elaborados por la empresa de seguridad informática Kroll Ontrack muestran qué tipo de prácticas conllevan una pérdida de la información.

Noticia completa con acceso a videos en: CRYPTEX


Las amenazas informáticas preocupan al 46% de las empresas españolas
29/August/2011, 06:44 PM

De acuerdo a un estudio realizado por kaspersky, las ciber-amenazas son una de los tres mayores riegos a los que se enfrentan las corporaciones. Las empresas inglesas, las más preocupadas por la seguridad.

Los datos revelados por el estudio de Kaspersky se ven corroborados por múltiples informes similares. Un estudio de Fortinet revelaba que solo un 60% de las empresas revisa sus criterios de seguridad anualmente, mientras que otro estudio, esta vez realizado por Iron Mountain, destacaba que el 99% de las brechas de seguridad que se producen en la empresa en el acceso a datos responden a fallos internos.

Noticia completa en IDG


INTECO recomienda borrar los archivos de los ordenadores y teléfonos móviles antes de donarlos o retirarlos
29/August/2011, 06:33 PM

Formatear el disco duro o ?vaciar la papelera de reciclaje? no es suficiente para eliminar permanentemente los datos almacenados en los equipos informáticos, ya que estos métodos no garantizan el borrado irreversible de la información almacenada y además existen programas informáticos que permiten recuperar archivos que erróneamente se consideran borrados.

Un estudio de British Telecom sobre una muestra de más 300 discos duros comprados en la página de subastas eBay, obtuvo como resultado que más el 34% de los discos duros conservaban información personal y un 36% eran datos financieros. Algo análogo sucede con los teléfonos móviles de segunda mano, especialmente los smartphones.

Para profundizar sobre los pros y contras de estos métodos de borrado y sobre las formas de almacenamiento de información más seguras, los métodos de recuperación de información y la legislación aplicable, INTECO recomienda realizar un análisis previo de necesidades y seguir una serie de pautas recogidas en la Guía sobre almacenamiento y borrado seguro de la información elaborada por el Observatorio de la Seguridad de la Información.

También existe ayuda adicional relevante en la iniciativa iso27002.es


¿Es la voz un dato de carácter personal?
29/August/2011, 06:25 PM

"O en otras palabras? ¿puede la voz identificar a una persona física por sí sola?

Curioso asunto, este de la voz."

Artículo de José Carlos Moratilla del departamento jurídico de Audea


El futuro en los pagos
29/August/2011, 06:19 PM

El valor en los pagos no se basará tanto en la moneda tangible sino además en el valor digital y de los datos. Y eso significa una mayor necesidad de seguridad y gestión de datos.

Kosta Peric, director de innovación de SWIFT (Society for Worldwide Interbank Financial Telecommunication) declara para Bankinfosecurity que las instituciones financieras tienen la oportunidad destacar en estos dos ámbitos cuando los sean más digitales.


iso27000.es: Nueva sección "eventos" y actualización de contenidos
13/August/2011, 09:24 PM

Debido al rápido crecimiento de las actividades relacionadas con los eventos, formación, congresos y foros relacionados con la seguridad de la información renovamos nuestra sección de "eventos" mediante un listado de las referencias más activas en la organización de eventos con un link directo a sus calendarios para que los interesados puedan acceder de modo más directo a los eventos que se desarrollen en las regiones de interés particular.

Si eres un organizador de eventos y echas en falta tu entidad en el listado no dudes en ponerte en contacto y notificar tu interés en dar visibilidad a tus actividades. Así mismo, se han actualizado diversas secciones de nuestra web con información relevante y en base a las últimas noticias y evolución de los estándares de la serie 27000 así como otros relacionados.


Mejores extensiones en seguridad Online para Chrome
12/August/2011, 02:33 AM

"Google Chrome es uno de los navegadores web más seguros que tiene múltiples funciones y proporciona seguridad para la navegación en línea, sin embargo no se debe dejar la seguridad en manos del navegador y debe aplicar algunas extensiones adicionales o add-ons que mejoren su seguridad en línea y proteger su información de los hackers."

Artículo completo y noticias de interés en ehacking


Un rayo provoca la caída de Amazon y Microsoft en Dublín
10/August/2011, 12:29 AM

La caída de los centros de datos de Microsoft y Amazon ?baluartes del cloud computing-, afectan al servicio de clientes europeos.

Según varios informes, se vieron afectados los usuarios de la suite de productividad on-line de Microsoft y de la plataforma de cloud computing Amazon EC2.

Noticia completa: DataCenter Dynamics


Evaluación de las mejores prácticas en seguridad 2011
08/August/2011, 10:50 AM

La evaluación realizada por Echelon One y Venafi revela una epidemia de las peores prácticas de seguridad, con la mayoría de las organizaciones que no se adhieren a simples normas de protección de datos y, en muchos casos, son sumamente inconscientes de las prácticas de seguridad actualmente en vigor.

El sesenta por ciento de las organizaciones evaluadas emplean a 5.000 o más empleados y respondieron de todos los sectores industriales.

Junto al resumen de resultados con las 5 principales cuestiones y el informe completo, se dispone de un formulario de autoevaluación para comprobar el estado de manera independiente por las empresas interesadas.


Análisis de seguridad a la siguiente generación de estándares Web
08/August/2011, 10:14 AM

El navegador web es sin duda el componente más crítico en nuestra infraestructura de seguridad de la información.

Se ha convertido en el canal a través del cual la mayor parte de nuestra información pasa.

ENISA aprovecha una oportunidad única para hacer recomendaciones detalladas para la mejora de la seguridad en los navegadores antes de que se pierda la opción en los próximos años.

Las normas que rigen el navegador están experimentando actualmente una importante actualización. Esto incluye HTML5, la comunicación con CORS y acceso a datos locales como la geolocalización. Un total de 51 amenazas de seguridad y los problemas se identifican y detallan en este informe.


"Operation Shady RAT": El mayor ciberataque de la historia con más de 14 países afectados
08/August/2011, 10:06 AM

Una investigación a cargo de la firma de seguridad McAfee descubrió que durante cinco años se ha llevado a cabo la operación de ciberespionaje más grande de a historia, afectando a más de 14 naciones y 70 empresas, tanto públicas como privadas.

De acuerdo con el reporte, la operación fue bautizada como Operation Shady RAT (Herramienta de Acceso Remoto, por sus siglas en inglés) y logró robar información a los gobiernos de Estados Unidos, Canadá, Corea del Sur, Vietnam, Taiwan, India, entre otros.

Fuente de la noticia: b:secure


Repositorio de INTECO-CERT alcanza las 47.000 vulnerabilidades de sistemas informáticos
06/August/2011, 07:33 PM

INTECO es el único organismo que dispone de un acuerdo de colaboración con el National Institute of Standards and Technology (NIST), organismo perteneciente al Departamento Homeland Security del Gobierno estadounidense.

Este acuerdo permite proveer a los ciudadanos de habla hispana de una base de conocimiento alimentada por INTECO a un ritmo diario de entre 15 y 20 vulnerabilidades al día, información que sirve para aumentar considerablemente la protección de los sistemas y redes frente a nuevas amenazas.

El servicio de gestión de vulnerabilidades de INTECO que recoge todas estas funcionalidades es totalmente gratuito y es posible suscribirse en http://cert.inteco.es/Actualidad/Suscripciones/.


Nueva norma UNE-EN ISO/IEC 17021:2011 sobre Entidades de Certificación
06/August/2011, 07:12 PM

Ha sido publicada la norma UNE-EN ISO/IEC 17021:2011 - Requisitos para las entidades que realizan auditorías y certificación de sistemas de gestión.

Esta revisión de la ISO/IEC 17021:2006, incorpora nuevos requisitos sobre la competencia de los auditores y en relación con la realización de auditorías de sistemas de gestión.

Las entidades de certificación de sistemas de gestión tienen dos años para adaptarse y aplicar estos requisitos, de acuerdo a lo indicado por la asociación internacional de entidades de acreditación (IAF- International Accreditation Forum).

Fuente de la información: Asociación Española para la Calidad


Ahorro de Costes en la prevención de medidas en seguridad
06/August/2011, 06:59 PM

El segundo estudio anual sobre el coste de los delitos Cibernéticos reveló que el coste promedio anual por los delitos informáticos efectuados mediante una muestra de referencia de varias organizaciones fue de 5,9 millones de dólares al año, con un rango desde 1,5 hasta 36,5 millones de dólares al año por cada organización. Esto representa un aumento del 56 por ciento respecto a la media del coste reportado en el estudio inaugural publicado en julio de 2010.

El estudio desarrollado por HP y el Ponemon Institute desvela asimismo y entre otros datos de interés que aquellas organizaciones que han desplegado análisis de riesgos para la seguridad de la información y gestión de eventos experiementan un ahorro de casi el 25 por ciento, como resultado de la mayor capacidad para detectar rápidamente y contener los delitos cibernéticos. Como resultado, estas organizaciones experimentaron un precio muy inferior al de la recuperación, detección y contención que aquellas organizaciones que no han desplegado soluciones de este tipo.


ISO 27002.es. Nuevos contenidos
28/July/2011, 04:26 PM

Destacamos las últimas novedades en soluciones relevantes a:

- A6.1.7: nuevos grupos de interés en seguridad de la información

- A6.1.6: nuevos contactos con autoridades relevantes

- A11.2.4: se añaden utilidades para la revisión en el control de accesos

Patrocinadores de iso27002.es: GesConsultor


Creación de un organismo internacional para combatir cibercrimen
28/July/2011, 04:20 PM

Por primera vez gobiernos europeos, así como empresas internacionales y agencias policiales como Interpol y Europol han formado una alianza para crear un organismo que combata el cibercrimen globalmente.

El nombre de este organismo es "Alianza Internacional de Protección y Seguridad Cibernética" (ICSPA, por sus siglas en inglés) y se encargará de mejorar la aplicación de la ley internacional, así como de proteger a las empresas y sus clientes de amenazas informáticas. El financiamiento para ICSPA provendrá de los gobiernos y de la misma Unión Europea.

Noticia completa en b:secure


Establecidas fechas límite para la implantación de ISO 27002
28/July/2011, 04:02 PM

La Presidencia del Consejo de Ministros del Perú (PCM) mediante la *Resolución Ministerial N° 197-2011-PCM,* publicada el día 21.07.2011 en el* Diario Oficial El Peruano*, ha establecido que *50 Organismos e Instituciones Públicas del Perú* implementen el *Plan de Seguridad de la Información* indicado en la norma NTP ISO/IEC 17799 (ahora ISO 27002) - Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, antes del 31 de Diciembre de 2012.

Entre los 50 elegidos, se listan del Poder Legislativo, Poder Judicial, Organismos Autónomos y Poder Ejecutivo.

Fuente noticia: Roberto Puyó - google.groups


ISO 27001, una nueva acreditación para Bureau Veritas
28/July/2011, 03:58 PM

Bureau Veritas Certification ha obtenido la acreditación para la certificación de Sistemas de Gestión de la Seguridad de la Información (SGSI) conforme a la Norma UNE-EN ISO/IEC 27001:2006 por la Entidad Nacional de Acreditación (ENAC).


Securelist: Informe actividad spam de Junio 2011
28/July/2011, 11:01 AM

Informe mensual de securelist con un resumen de la evolución de la actividad relevante a la seguridad de la información y novedades legales destacables, entre otros.


Lección 9 de la Enciclopedia de la Seguridad de la Información
28/July/2011, 10:59 AM

Disponible la Lección 9 de la Enciclopedia de la Seguridad de la Información con el título "Introducción al protocolo SSL".


CEH - 25 horas de formación abierta en Ethical Hacking
28/July/2011, 10:48 AM

Puestos a disposición por Logical security la formacion consta de videos en los que se conocer aspectos relacionados con:

1. Ethical Hacking and Penetration Testing
2. Footprinting and Reconnaissance
3. TCP/IP Basics and Scanning
4. Enumeration and Verification
5. Hacking and Defending Wireless/Modems
6. Hacking and Defending Web Servers
7. Hacking and Defending Web Applications
8. Sniffers and Session Hijacking
9. Hacking and Defending Windows Systems
10. Hacking and Defending Unix Systems
11. Rootkits, Backdoors, Trojans and Tunnels
12. Denial of Service and Botnets
13. Automated Penetration Testing Tools
14. Intrusion Detection Systems
15. Firewalls
16. Honeypots and Honeynets
17. Ethics and Legal Issues


Novedades ISO/IEC 20000-1:2011 respecto a versión 2005
28/July/2011, 10:38 AM

La nueva versión publicada este año de la norma ISO/IEC 20000-1 incorpora significativas aclaraciones, especialmente en relación a los procesos desarrollados para la seguridad de la información y continuidad del negocio en la gestión y prestación de los servicios.

Los interesados en conocer la evolución de los cambios disponen de un interesante artículo que condensa en una tabla los cambios a lo largo de todas las cláusulas del estándar y en base al trabajo realizado por Sally Smoczynski.


2011 CWE/SANS Top 25 Errores más peligrosos en Software
11/July/2011, 11:54 PM

La lista Top 25 es una herramienta de ayuda para la formación y concienciación a programadores de software para evitar los tipos de vulnerabilidades que suponen una plaga para la industria, mediante la identificación y prevención de todos los errores más comunes que ocurren antes de que el software sea incluso entregado.

Herramientas similares desde los contactos de especial interés de iso27002.es y control de procesamiento interno


Curso de implantación ISO 27001 On-Line Gratuito
11/July/2011, 11:46 PM

Continuando con la línea de videos y tutoriales en seguridad de la información la consultora ISQ pone a disposición de los interesados videos de ejemplo y material complementario para cubrir las diferentes fases de implantación de un SGSI.

 


¿Problemas de comprensión de las normas 27000 en su empresa?
09/July/2011, 08:42 PM

Entre las mayores dificultades en la implantación y mantenimiento de la norma ISO/ISO 27001 residen las relacionadas con la gestión del riesgo y la selección e implantación de controles.

P4R4RIESGO presenta un soporte inspirado del Monopoly para sensibilizar a directivos y personal en la seguridad de la información de la empresa y para comprender la aplicación de las normas de la serie 27000.

Es una iniciativa original que se funda específicamente en las normas ISO 27002 y ISO 27005 y con el fin de facilitar su comprensión a todos se presentan un conjunto de 22 escenarios de riesgo que pueden atenuar los riesgos de negocio mediante la emulación y los intercambios de opiniones entre los participantes.

Información completa en español


Acuerdo marco de colaboración Ley de Protección de Infraestructuras Críticas
07/July/2011, 11:16 AM

Recientemente se ha llegado a un acuerdo marco de colaboración, entre Willis, GTD Sistemas de Seguridad, SGS y Elecnor Seguridad, para la explotación y producción de las soluciones necesarias en la aplicación y cumplimiento de la recientemente aprobada Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

Fuente de la noticia: Boletín Dintel


Revisión del estándar BS ISO/IEC 27005
07/July/2011, 11:10 AM

El estándar internacional BS ISO/IEC 27005, que proporciona una guía de desarrollo de metodologías para la gestión del riesgo en relación a la seguridad de la información, ha sido revisada.

BS ISO/IEC 27005:2011 está ahora alineada con el estándar internacional para la gestión del riesgo ISO 31000.


Gesconsultor - Plataforma para sistemas de Gestión
01/July/2011, 12:45 AM

GesConsultor ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión.

GESCONSULTOR es una plataforma gestionada por GESDATOS Software, S.L. y al que le damos la bienvenida como nuevo patrocinador para el mantenimiento de las actividades y desarrollo de contenidos nuevos y de libre acceso para el portal iso27002.es


iso27002.es: Nuevos contenidos
01/July/2011, 12:43 AM

Con el patrocinio de GESCONSULTOR se ponen a disposición 16 soluciones relacionadas con el Anexo 5.1.1 - Documento de política de seguridad.

GESCONSULTOR es una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión.


iPad y LOPD no hacen buenas migas
04/June/2011, 10:45 PM

Así lo pone de manifiesto un estudio realizado por Informáticas 64 donde analizan el uso del iPad en entornos corporativos con el cumplimiento de la LOPD y del Esquema Nacional de Seguridad.


Lo malo de creer que Cameron Diaz es tu amiga en Facebook
04/June/2011, 10:07 PM

"Este tipo de ciberataques, normalmente está relacionadas a vulnerabilidades de día cero, y en los casos más reciente se ha hablado de la posible intervención o patrocinio de gobiernos detrás de la operación.

La razón no es tan difícil de creer, pues este tipo de ataques requieren de tiempo, dinero, recursos humanos, además de un alto grado de organización o coordinación para su ejecución. Stuxnet, en Julio del 2010, y Night Dragón (en el 2011) son sucesos adicionales catalogados igualmente como APT."

Artículo completo con videos de desarrollo del ataque en b:secure 


Manual Esquema Nacional Seguridad
04/June/2011, 09:47 PM

Microsoft Ibérica ha publicado el manual "Esquema Nacional de Seguridad con Microsoft", en el que INTECO ha colaborado con la aportación de un prólogo firmado por su director general, Víctor Izquierdo.

El Esquema Nacional de Seguridad, materializado en el Real Decreto 3/2010, tiene como objetivo fundamental crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información que se maneja y de los servicios electrónicos que se prestan, que permita a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.


Congreso Nacional CMDB
04/June/2011, 09:30 PM

Tecnofor e IDG organizan el Congreso Nacional de la CMDB, un tema alrededor de ITIL, ISO20000, ISO27000, SAM y relacionados.

Congreso Nacional CMDB
Tue, Jun 28
Hotel EuroStars, Madrid, COMUNIDAD DE MADRID, ES
Keywords: cmdb, itil, iso20000, sam, iso19770, cobit

La Base de Datos de Gestión de la Configuración es una fuente esencial de apoyo de información para una organización de Infraestructura de TI, apoyando todo el Servicio de Ciclo de Vida en un contexto de ITIL ®.


ISO/IEC 15504 y Gestión de la Seguridad de la Información: oportunidad para el enlace
22/May/2011, 01:37 AM

Con el creciente interés en ISO/IEC 15504 desde iso27000.es recuperamos el enlace a este interesante documento que desarrolla, mediante el uso de herramientas de calidad tales como ISO/IEC 15504, avances en gestión de seguridad de la información y múltiples aplicaciones en la definición de una política de seguridad basada en procesos, en aspectos legales, normalización, formación, la evaluación comparativa, y, por supuesto, la evaluación y certificación.
El documento se presento en la conferencia SPICE 2006 pero matiene información que sigue siendo de utilidad, especialmente a las organizaciones que busquen implantar y mantener varios sistemas de gestión basados en el ciclo PDCA.


ENISA: gestión de riesgos de las infraestructuras de información críticas de una nación
20/May/2011, 01:21 PM

ENISA ha publicado "National Risk Management Preparedness" como resultado de las conclusiones de un grupo de trabajo en el que han participado expertos y entidades relevantes en la seguridad de la información para la protección de los gobiernos de los distintos países que forman la Unión Europea.

El documento dirigido a entidades gubernamentales de los distintos países europeos es marco de trabajo eminentemente práctico y que tiene carácter de guía práctica de implantación de procesos en base a flujos, modelos de cuestionarios, evaluaciones de riesgos y diversas actividades que se presentan de modo organizado según modelos de procesos y que implica el análisis y consideración de las diversas partes (públicas y privadas) relevantes para la mejor gestión de escenarios adversos que pudieran afectar a un país o inluso a nivel intracomunitario europeo.

Aquellas organizaciones que ya hayan implantado un SGSI según ISO/IEC 27001 identificarán claramente en el documento desarrollado por ENISA referencias directas a este estándar internacional y que este caso llega al nivel de protección recomendado para gobiernos de los paises y de sus infraestructuras críticas.

Por tanto, la alineación de las actividades de prestación de productos y servicios de dichas empresas en cuanto a las necesidades y requisitos actuales y futuros por parte de los gobiernos e instituciones públicas otorga nuevos argumentos de peso y de ventaja competitiva.

La publicación de este documento consolida la implantación y certificación de ISO/IEC 27001 como una obligación actual de cualquier organización que actúe en los mercados europeos y sobrepasando la sensibilidad individual y/o cumplimiento legal de protección de datos de las empresas como argumentos principales en los primeros años de vida de la norma en muchos países europeos.


Evolución de la seguridad 1971-2020
14/May/2011, 11:03 PM

La empresa Coomsnet ha colgado en youtube un video de 6 minutos de duración y de excelente calidad en el que se revisa el estado de la seguridad desde 1971 y con una proyección hasta 2020.

Estupendo material para sesiones de introducción a la concienciación de empleados y plantilla directiva en general. 


Disponible matriz de mapeo de controles ISO/IEC 27001 en Cloud Computing
14/May/2011, 10:46 PM

El CSA proporciona un marco de controles que proporciona una comprensión detallada de los conceptos de seguridad y los principios que están alineados con las directrices Cloud Security Alliance en 13 dominios.

Los fundamentos de matriz de controles del CSA aportan una relación personalizada con otras normas de seguridad aceptadas por la industria, regulaciones y marcos de control, tales como la ISO 27001/27002, ISACA COBIT, PCI, y el NIST, y aumentar o proporcionar control interno de certificados en SAS 70 presentados por los proveedores de nube.


Cloud Security Alliance (CSA) trabajará junto con una comisión ISO
14/May/2011, 06:32 PM

LA CSA inicialmente colaborará en dos proyectos con el SC 27.

El primero es una nueva propuesta para la seguridad de la cloud, que refuerza los trabajos anteriormente contemplados en el Código de Prácticas para Sistemas de Gestión de Seguridad de la Información (ISMS) fijado por el estándar internacional ISO/IEC 27002.

El propósito es proporcionar orientación sobre los controles de seguridad de la información y su uso en los servicios de cloud computing basados en controles de seguridad ISMS.

El otro proyecto está relacionado con la seguridad de la información en las relaciones con proveedores.

Acceso a noticia completa


Índice de Ciberseguridad
14/May/2011, 05:38 PM

El Índice de Seguridad Cibernética es una medida basada en el sentimiento del estado riesgo para las infraestructuras de información corporativas, industriales y gubernamentales en base a un espectro de amenazas relacionadas con la seguridad cibernética.

El Índice de Ciberseguridad ??agrega las opiniones de profesionales de la industria de la seguridad información expresada mediante una encuesta mensual y que toma forma de índice de referencia.


20 años de estandarización en seguridad de la información
13/May/2011, 12:08 AM

El pasado año se cumplieron 20 años de actividad del subcomite ISO/IEC JTC1/SC27 responsable de los estándares de seguridad de la información y TI.

Dentro de la celebración se generó el SC27 Platinum Book que recoge la activad pasada así como la prevista para el futuro.


Aportaciones en ISO27002.es
12/May/2011, 06:33 PM

15.1.1. Identificación de la legislación aplicable que incorpora referencias al Portal de la administración electrónica como punto centralizado donde consultar norvativas relevantes a actividades referentes a información

15.1.4. Protección de datos de carácter personal y de la intimidad de las personas incorpora referencías útiles para el cumplimiento de acuerdos EEUU y la UE en base a SAFE HARBOR.

10 9 3 Seguridad en información pública incorpora referencias a guías para la seguridad de sitios Web. 

La iniciativa iso27002.es permite mantener y ampliar los contenidos en abierto a toda la comunidad gracias a la colaboración de los partners y la aportaciones de los visitantes interesados en las buenas prácticas en seguridad.


Últimas plazas: IV Conferencia Internacional de Continuidad de Negocio - BS 25999
12/May/2011, 06:28 PM

El acto tendrá lugar el 18 de mayo en Madrid, en el Hotel Ritz, y el 19 de mayo en Barcelona, en el Hotel Princesa Sofía. Se tratarán temas como el desarrollo, gestión y prueba de la eficacia de un plan de continuidad de negocio y la gestión de los recursos humanos ante incidentes o desastres.

Se abordarán nuevos casos prácticos, certificaciones y sectores en los que la Continuidad de Negocio se ha convertido en una necesidad.

Colaboradores: Astrazeneca. La Caixa, CTTI de la Generalitat de Cataluña, Dimetronic, DRII de Nueva York, Ferrovial y Repsol.

ÚLTIMAS PLAZAS Y AGENDA DISPONIBLE ONLINE


Intypedia pone a disposición "seguridad en aplicaciones web. Introducción a técnicas de inyección SQL"
12/May/2011, 06:20 PM

"Muchos internautas se preguntarán cómo es posible que un atacante pueda tener acceso a información sensible de una empresa, que no está publicada en Internet, a través de su página web, por ejemplo su base de datos o modificar los valores mostrados en ella. La respuesta técnica es mucho más sencilla de lo que se puede suponer a priori."

Acceso directo y gratuito a todas los vídeos, guiones, diapositivas y ejercicios desde intypedia


Riesgos a considerar por empresas en la nube tras la interrupción de Amazon's EC2
12/May/2011, 06:12 PM

El reciente corte sufrido por Amazon ha suscitado dudas sobre la fiabilidad de los servicios prestados desde la nube. Si Amazon, con su alcance mundial, no puede hacerlo bien, ¿cómo esperan los CIOs que otros operadores sí puedan hacer frente?

Artículo de Jenny Williams


Encuesta Forrester: Software desarrollado por terceros sin testar
12/May/2011, 05:27 PM

Menos del 50% del software desarrollado por terceros es testado en términos de calidad y seguridad.

El informe "Software Integrity Risk Report," está fundamentado en una encuesta realizada a 336 personas de EEUU y Europa que toman parte en proyectos de desarrollo de software.

Acceso al informe desde Coverity, empresa responsable del proceso de encuestación.


China implicada en la piratería de cuentas bancarias a Pequelñas y Medianas empresas
12/May/2011, 05:06 PM

El FBI advierte de que las empresas pequeñas y medianas son el blanco de ataques que hasta ahora ha estafado de las cuentas bancarias de las empresas millones de dólares desviando el dinero a otras empresas en China.

Como es común también en grandes empresas, el ataque comenzó con un correo electrónico de phishing o la visita de un sitio web malicioso. Una vez que un usuario inicia la acción es incapaz de llegar a su sitio web de banca y, en algunos casos, es desviado a una página "en mantenimiento".

Ahí es cuando cuenta de banco de la víctima es asaltada, en primer lugar mediante el envío de dinero a cuentas en bancos comerciales en Nueva York u otras ciudades, y en última instancia a una cuenta de compañías con sede en bancos económicos y comerciales de China.

Estas empresas suelen tener las cuentas en el Banco Agrícola de China, el Industrial and Commercial Bank de China, y el Banco de China.

Informe completo disponible desde IC3 - Internet Crime Complaint Center


Aumentan las cifras de software ilegal en España
12/May/2011, 04:47 PM

Entre otras razones, han contribuido al incremento de esta actividad delictiva tanto la crisis económica como el hecho de que cada vez más desempleados denuncian a sus ex empresas por usar software ilegal.

Noticia completa publicada en Cibersur


Práctico: Cómo funciona el almacenamiento de datos de localización del iPhone
12/May/2011, 06:25 PM

Mucho se ha hablado estos días sobre qué datos de localización almacena un iPhone.

Sobre todo alrededor de la polémica en torno a la privacidad y sobre cómo, además, parece una práctica habitual en el resto de teléfonos y sistemas operativos para móviles de última generación.

Pero ¿cómo sé qué datos se guardan exactamente? ¿Cómo funciona?

Hispasec muestra cómo cualquier usuario (sin herramientas especiales) puede conocer a qué antenas se conectó su teléfono (normalmente cerca de donde se encuentra el terminal) desde que ejecuta iOS 4.


Guía de evaluación de Ciberseguridad para sistemas industriales de control
10/May/2011, 12:42 AM

Esta guía del CPNI (Centro de Protección Nacional de Infraestructuras de UK) permite a los propietarios de este tipo de activos maximizar el retorno de su inversión en la gestión de sus ICSs (Industrial Control Systems).


El Consejo de Gobierno aprueba el Pla TIC 2011-2014
03/May/2011, 11:34 AM

El Pla TIC 2011-2014 aprobado, está definido en 16 objetivos, los cuales recogen los objetivos de la Universidad Politécnica de Catalunya y las acciones previstas en el ámbito de las tecnologías de la información y de la comunicación.

Establece la necesidad de proveer y mantener las infraestructuras y propone una evolución hacia modelos más eficientes, mediante tecnologías como la virtualización de servidores y ordenadores, cloud computing o les green IT.

Asimismo, el plan en el objetivo número 5, hace hincapié en la importancia de la seguridad informática y la sensibilización del personal.

Información completa y enlace en esCERT


¿Cuanto impacto tendrá la publicación de la nueva ISO 22301 de continuidad de negocio?
26/April/2011, 08:30 PM

Artículo dentro del magazine del Business Continuity Institute para la continuidad de negocio donde expertos reconocidos en este área como Joanne Gagnon, Brian Henry y Tin Janes dan su opinión al respecto.


Publicación especial NIST SP 800-39 para gestión del riesgo
26/April/2011, 08:13 PM

El propósito de la publicación especial 800-39 es proporcionar una guía para un programa integrado en toda la organización para la gestión de riesgos de la seguridad de la información en las operaciones de la organización (es decir, misión, funciones, imagen y reputación), en los activos de la organización, en los individuos, en relación a otras organizaciones y a la propia Nación como resultado de la operación y el uso de sistemas de información federales.

La publicación Especial 800-39 proporciona un enfoque estructurado pero flexible para la gestión de riesgo y que es intencionadamente amplio en su base de aplicación, con los detalles específicos de la evaluación, respuesta y seguimiento permanente de los riesgos con el apoyo proporcionado por otras normas NIST de seguridad y directrices.

La orientación sobre la gestión de riesgo descrita en este documento es complementaria y debe ser utilizado como parte de un programa más amplio de Gestión del Riego Empresarial (Enterprise Risk Management -ERM) y las prácticas descritas en la publicación especial 800-39 han tomado en consideración y están armonizadas con ISO/IEC 27001, ISO/IEC 27005, ISO/IEC 31000, ISO/IEC 31010 entre otros documentos NIST y referencias relevantes.

Descarga directa desde NIST en formato pdf


Los Directores son de Marte, los profesionales en seguridad de la información de Venus
26/April/2011, 07:54 PM

Una de las quejas más habituales de los profesionales en seguridad de la información es que su alta dirección no entiende o no se preocupa por la seguridad de la información.

Los profesionales en seguridad de la información lamentan la falta de apoyo, presupuesto, tiempo y recursos que desde la Dirección se dedica para proteger lo que se cita continuamente como "uno de los activos más valiosos de una organización - su información".

Interesante artículo del último número de INSECURE en el que se plantean algunos consejos claves para cambiar esta situación.


IX Jornada Internacional de ISMS Forum
26/April/2011, 07:20 PM

ISMS Forum se complace en anunciar la apertura de la inscripción a la IX Jornada Internacional que se celebrará el próximo 26 de mayo en la espectacular Casa de América en Madrid, bajo el título "Amenazas, Compliance, Riesgos y Privacidad: A Global Approach". En esta cita se contrastarán distintas  perspectivas, estrategias y regulaciones que están influyendo sobre el Gobierno de la Seguridad en el mundo, con especial atención a España y Latinoamérica.

Información completa, ponentes confirmados e inscripciones en la página de la asociación.


Proyecto ISO 27001 subvencionado para PYMES
25/April/2011, 05:55 PM

La empresa consultora Aidcon Consulting, con experiencia ISO 27001 en 24 empresas implantadas y certificadas (y 20 más en implantación), anuncia la posibilidad, para empresas PYME del sector TIC, de participar en un proyecto agrupado, con subvención del Plan Avanza, que se iniciará a finales de 2011.

En el proyecto se incluye software AGGIL de análisis y gestión de riesgos y apoyo a la implantación y mantenimiento del SGSI.

Para más información contactar con la empresa en el email contacto@aidcon.com."


Informe de tendencias Q3 y Q4 de vulnerabilidades en aplicaciones WEB
25/April/2011, 05:40 PM

Ganador de numerosos premios y revisiones independientes de productos, Cenzic, un proveedor de confianza de software, gestión de servicios y productos de seguridad en la nube, ayuda a las organizaciones a proteger sus sitios web contra ataques de hackers, sirviendo a organizaciones de todos los sectores.

El informe de estado de Cenzic se centra en la seguridad de aplicaciones Web identificando los defectos de seguridad en el nivel de aplicación web, donde más del 75 por ciento de los ataques de los piratas cibernéticos se producen.

 


Prevención, problema cultural de América Latina que cuesta millones
25/April/2011, 05:25 PM

El terremoto que impactó Japón registró 8.9 grados en la escala de Richter, 2 grados más que el sismo de 7.0 grados que azotó Haití en 2010, en aquel momento en el país americano se contabilizaron más de 150,000 muertos, es decir, 140,000 más que en la nación asiática.

Sobre este punto y en entrevista con b:Secure, Enrique Corro gerente de ingeniería Norte de Latinoamérica de VMware, denunció que en América Latina la situación es completamente distinta a Japón, indicando que las compañías y los gobiernos de la región consideran los métodos de prevención como soluciones costosas y fuera de su alcance.


Ciberataques contra empresas de infraestructura nacional en su apogeo
25/April/2011, 05:05 PM

Un estudio a cargo del Centro de Estrategias y Estudios Internacionales (CSIS, por sus siglas en inglés) reveló que durante 2010 las firmas de infraestructura experimentaron un incremento de 85% de los ataques de intrusión en sus redes respecto a los resultados obtenidos en 2009.

De acuerdo con el reporte, la causa principal por la cual los ataques contra compañías petroleras, hidráulicas y eléctricas han aumentado se debe a la adquisición desmesurada de tecnología.

Artículo completo en b:secure


Nuevos contenidos y soluciones en ISO27002.es
25/April/2011, 04:37 PM

La iniciativa iso27002.es presenta novedades de descarga gratuita en:

9.2.6 Seguridad en la reutilización o eliminación de equipos que incorpora la "Guía sobre almacenamiento y borrado seguro de información" de INTECO

15.1.4. Protección de datos de carácter personal y de la intimidad de las personas que incorpora guías de Android, iOS, Blackberry y webOS sobre cómo evitar que los metadatos sean integrados en nuestras imágenes o fotografías y se evite acceder a datos personales y privados.

Además de las tradicionales aportaciones de los visitantes mediante sus comentarios, esta iniciativa permite mantener y ampliar los contenidos de  iso27002.es en abierto a toda la comunidad.


Lanzamiento del esquema TickITplus
25/April/2011, 04:32 PM

El esquema anterior proporcionaba lineamientos de cómo aplicar los requisitos de la norma ISO 9001 en IT y en el desarrollo de software, y también ofrecía un marco formal para la formación, calificación y certificación de auditores de TI de tercera parte. 

El nuevo esquema TickITplus se basa en el anterior, pero introduce un modelo de procesos mejorado para facilitar la implementación de sistemas de gestión más eficientes y la opción de incorporar normas de sistemas de gestión adicionales, tales como la ISO/IEC 27001. 

Sin embargo, el cambio más importante ha sido la introducción de un sistema con niveles, según la norma ISO/IEC 15504-2, la norma que describe los requisitos para la evaluación de los procesos en el sector de TI. El nuevo esquema introduce cinco niveles que describen la madurez y capacidad de los sistemas de las organizaciones.

Noticia completa en INform


IV Conferencia Internacional de Continuidad de Negocio - BS 25999
12/April/2011, 07:30 PM

Los próximos 18 de Mayo en Madrid y 19 de Mayo en Barcelona, BSI Iberia celebra su "IV Conferencia Internacional de Continuidad de Negocio - BS 25999", donde se abordarán temas relacionados con el desarrollo, gestión y prueba de la eficacia de un plan de continuidad de negocio y la gestión y el papel de los recursos humanos de las organizaciones ante incidentes o desastres.

Se tratarán también nuevos casos prácticos de organizaciones que han implantado y certificado su sistema de gestión de continuidad de negocio, así como nuevos sectores en los que este tema se ha convertido en una necesidad.

Mención especial se hará también al Proyecto de Ley publicado el pasado 23 de marzo por el que se establecen las medidas para la protección de las infraestructuras críticas en los denominados "12 sectores estratégicos

La asistencia es gratuita, previa inscripción. Plazas limitadas.


Curso Oficial BCI (Business Continuity Institute)
25/March/2011, 06:50 PM

La formación oficial BCI prevista para el 25 al 29 de Abril en Madrid (Paseo de la Castellana, 182) consiste de 5 módulos de un día de duración por cada uno de ellos:

- BCM Principios: Política, programa de gestión y cultura

- BCM Análisis: Entendiendo la Organización

- BCM Diseño: Determinación de estrategias BCM más adecuadas

- BCM Prácticas: Desarrollo e Implantación de la respuesta BCM

- BCM Prácticas: Ejecutar, Mantener y Revisar el BCM

Los módulos cubren la totalidad de los contenidos de las buenas prácticas del BCI y está impartido por Joanne Gagnon (Fundadora y presidente del capítulo español del Business Continuity Institute (BCI)
en España)

Asistencia, inscripciones e información adicional ya disponibles desde: (91) 353 25 00


WhatsApp y su seguridad, ¿pwn3d?
23/March/2011, 12:25 AM

"La última moda en aplicaciones móviles se llama WhatsApp, una App que cada vez se hace más popular y está redefiniendo el sistema de mensajería SMS. ¿Que qué nos ofrece?"

Análisis de seguridad en Securitybydefault


Desconocimiento generalizado en los riesgos asociados a los smartphones
23/March/2011, 12:08 AM

Lo usuarios permanecen ajenos a los múltiples riesgos serios asociados a dispositivos de almacenamiento de datos personales y de transmisión como iPhone, Blackberry y dispositivos Android, según revela un estudio de The Ponemon Institute.


¿Cómo de seguro es tu navegador?
22/March/2011, 11:32 PM

Qualys BrowserCheck permite realizar de forma gratuita un análisis de seguridad de tu navegador y de los plugins instalados para identificar cualquier aspecto relacionado con vulnerabilidades en seguridad.

Incluimos la herramienta dentro de las disponibles para el control de vulnerabilidades técnicas según ISO 27002


Publicada ISO/IEC 27031
15/March/2011, 01:14 PM

El estándar BS ISO / IEC 27031:2011 "Tecnología de la información. Técnicas de seguridad. Directrices para la información y la disponibilidad de la tecnología de comunicaciones para la continuidad del negocio" sustituye al estándar BS 25777 y describe los conceptos y principios para la preparación de la continuidad del negocio en actividades relacionadas con la tecnologías de la información y las comunicaciones(TIC) para mejorar la capacidad de hacer frente a situaciones de estrés.

¿Quién se beneficiará del uso de BS ISO 27031?

 - Responsables y consultores de Gestión de la Continuidad de Negocio
 - Administradores TI
 - CIO
 - La alta dirección.

 La norma describe los conceptos y principios de la preparación de las TIC para la continuidad del negocio, y proporciona un marco de métodos y procesos para identificar y especificar todos los aspectos.


Guía sobre seguridad y privacidad de las herramientas de geolocalización
15/March/2011, 01:12 PM

La Guía sobre seguridad y privacidad de las herramientas de geolocalización se publica por INTECO con el objetivo de acercar al lector a este campo: en qué consiste la geolocalización, cuáles son sus elementos característicos, en qué tecnologías se apoya o cuáles son sus usos y aplicaciones principales.

La guía aborda los riesgos de seguridad y privacidad existentes en la generación, transmisión y recepción de datos de georreferenciación.

Por último, se  proporcionan una serie de recomendaciones acerca de la configuración de estas herramientas, que el usuario puede adoptar para asegurar el uso responsable y seguro de la información vinculada a la localización.


Primeros padrinos en iniciativa iso27002.es
13/March/2011, 08:25 PM

La iniciativa iso27002.es ya cuenta con sus primeros apoyos para el desarrollo de contenidos, específicamente Kaspersky y que ha permitido incluir novedades y enlaces a diversas soluciones tanto del fabricante como de descarga gratuita en:

11.4.5. Segregación en las redes

11.7.2. Tele trabajo

11.5.3. Sistema de gestión de contraseñas

11.3.1. Uso de contraseña

10. 6. 1. Controles de red

11.5.2. Identificación y autenticación de usuario

11.4.7. Control de encaminamiento en la red

10. 6. 2. Seguridad en los servicios de red

10. 4. 1. Medidas y controles contra software malicioso

11 7 1 Informática móvil

6.1.7. Contacto con Grupos de Interés Especial

Además de las tradicionales aportaciones de los visitantes mediante sus comentarios, esta iniciativa permite mantener y ampliar los contenidos de  iso27002.es en abierto a toda la comunidad.


ISSA 5173 - Nuevo estándar para la seguridad de la información dirigido a Pymes
13/March/2011, 08:23 PM

Los objetivos del grupo de trabajo del ISSA-5173 han sido:

* Elaborar un proyecto de norma con la consulta a Pymes y a comunidades de la seguridad de la información

* Producir un estándar (libre) en un lenguaje fácil de entender para los propietarios de una PYME y que muy probablemente tendrán poca o ninguna experiencia en TI

* Proporcionar documentos de mejores prácticas en varias áreas que son aplicables a la escala de la PYME

* Localizar amenazas y cuestiones de seguridad actuales aplicables a la PYME

El estándar ha sido desarrollado por 30 miembros de ISSA (Information Systems Security Association) y está disponible para consulta y descarga directa desde la propia página del grupo de trabajo de la asociación.


Próximo "Efecto 2000": Riesgos e impacto de las tormentas solares
13/March/2011, 08:21 PM

"Las tormentas solares alcanzarán su punto máximo en un año o dos, con una fuerza que no hemos visto desde hace mucho, mucho tiempo; mucho antes de Internet, GPS, teléfonos móviles y las redes modernas de energía. No estaban en 1859, cuando la última gran tormenta solar tuvo lugar, pero sí logró impactar en los servicios del telégrafo.

Lloyds ha publicado recientemente un informe de riesgo 360 para comprender este tema. Es una lectura esencial para cualquiera que trabaje en la seguridad, la continuidad del negocio o la gestión de riesgos."

Comentarios del blog de David Lacey


Terremoto en Japón afecta servicios en la nube
13/March/2011, 07:55 PM

"Hasta el momento NTT es la única empresa que ha informado a través de un comunicado que sus conexiones IP-VPN se vieron afectadas por el movimiento telúrico. La empresa reveló que era imposible indicar en cuánto tiempo sería recuperado el servicio.

Las fallas en las redes no son la única preocupación que tienen las empresas con servidores en Tokio. Las réplicas no han cesado desde que se registró el sismo, situación que mantiene en riesgo a la ciudad asiática."

Noticia completa en b:secure


Esquema Nacional de Seguridad: conclusiones del congreso nacional de interoperabilidad y seguridad.
13/March/2011, 07:50 PM

"Como aspectos de "alerta", se han observado además las siguientes actitudes reacias a la adecuación del ENS por parte de la Administración Pública:

? La mayoría de administraciones públicas, no parece que tenga la menor intención de adecuarse, salvo los ministerios.
? Todas se han acogido a la prorroga de 3 años.
? Ninguna ha pasado los controles marcados por el Esquema Nacional de Seguridad"

Noticia completa en AUDEA


Riesgos y amenazas en Cloud Computing
12/March/2011, 11:03 PM

El informe que acaba de publicar INTECO-CERT y que se puede descargar desde la web, comienza con el análisis, visión y clasificación de estos entornos, para finalizar con el análisis de los principales riesgos y amenazas detectados, entre los que se encuentran la seguridad de los datos, la identificación y el control de acceso, el cumplimiento legal y normativo, la complejidad de los servicios o la disponibilidad y recuperación


Actualización para el 2011 de los lineamientos del SGSI para el Gobierno de Guanajato (México)
07/March/2011, 11:28 PM

En el quehacer diario de la Administración Pública Estatal se genera información valiosa que requiere de una gestión eficiente con el fin de salvaguardar su confidencialidad, integridad y disponibilidad.

Dada la diversidad de los procesos y estructura de la Administración Pública Estatal, y por consecuencia, de sus requerimientos de seguridad de la información, no basta una serie de recomendaciones o mejores prácticas en esta materia, se requiere un "Sistema de Gestión de Seguridad de la Información" (SGSI) capaz de adaptarse a las necesidades específicas y a los cambios dinámicos de cada Dependencia y Entidad.

Para ello, el Comité de Tecnologías de la Información y Telecomunicaciones del Gobierno del Estado de Guanajuato, con fundamento en el artículo 7 del Acuerdo Gubernativo número 87, publicado en el Periódico Oficial del Gobierno del Estado número 121, fechado el 29 de julio de 2008, creó un grupo de trabajo con la finalidad de definir un SGSI que servirá de modelo para que cada Dependencia y Entidad desarrolle e implemente su propio sistema de seguridad.

Por lo anteriormente expuesto y con fundamento en las disposiciones legales previamente invocadas, este órgano colegiado ha tenido a bien expedir los siguientes lineamientos.


Bases Reguladoras del Plan Avanza 2
07/March/2011, 12:04 AM

Como en los años anteriores, dentro del PLAN AVANZA 2 también se incluyen entre los proyectos subvencionables la implantación y certificación de diversas normas de calidad en empresas TIC tales como:

 ·        ISO 27001 (Seguridad de la Información)

·         ISO 20000 (Gestión de Servicios TI)

·         SPICE o ISO 15504 (niveles 2 a 5)

·         CMMI (niveles 2 a 5)

Los proyectos deberán involucrar a un conjunto de hasta 20 PYME, que estarán identificadas en la memoria aportada junto a la solicitud.

Los proyectos presentados deberán incluir la realización, entre otras, de las siguientes tareas: Diagnóstico previo de la situación de la calidad del software, gestión del servicio TI o gestión de la seguridad de la información en cada una de las PYME interesadas, la definición de los programas de mejora a llevar a cabo a fin de obtener la certificación correspondiente, la implantación de los procesos de mejora previos a la obtención de la certificación y la propia obtención de ésta.


AGGIL: conjunto de herramientas para ISO (27001, 9001, 14001, ...).
01/March/2011, 09:04 PM

AGGIL facilita la integración de sistemas ISO mediante funciones que soportan los aspectos comunes de las normas (todo lo relacionado con el ciclo de mejora continua PDCA). Los módulos especializados completan las necesidades de cada sistema de gestión, destacando el módulo ISO 27001 (SGSI, sistema de gestión de la seguridad de la información).


Espionaje industrial y guerra económica
01/March/2011, 08:04 PM

Según el ministro francés de Industria, Eric Besson, el país está en medio de una "guerra económica", con la amenaza del robo de propiedad intelectual contra las empresas en crecimiento.

Le dijo a una emisora de radio francesa que es probable que se produzca un aumento de asuntos relacionados con el espionaje corporativo y el robo de datos en los próximos años.

El incidente Renault sigue los mismos problemas experimentados por General Motors y Ford, que experimentaron el robo de propiedad intelectual en beneficio de sus competidores y con el coste de dinero.
Noticia completa en BSI Shop


Eventos DataCenterDynamics
01/March/2011, 07:34 PM

Próximas citas:

14 de Abril: Sheraton Buenos Aires Hotel, Argentina

21 de Junio: Feria de Madrid - IFEMA, España

DatacenterDynamics es un proveedor de servicios de información B2B desde el núcleo de la organización de una serie única de eventos en 40 localizaciones a nivel internacional y adaptados específicamente para ofrecer un mayor conocimiento y oportunidades de contacto a los profesionales del diseño, construcción y operación de centros de procesamiento de datos.


Executive Security Information System
01/March/2011, 07:08 PM

ESIS es un software de gestión opensource que trae un proceso integrado de seguridad empresarial. ESIS dispone de módulos independientes pero integradas para cubrir los riesgos de los procesos de seguridad y de TI.
Soporta:

- ISO 27001, 27004, 27005, 38500, 31000, 19011
- Gestión de Amenazas y Vulnerabilidades
- Auditorías y gestión de controles
- Registro de Riesgos
- Gestión de Riesgos
- Consolidación de Métricas de seguridad e indicadores


Modificación de la Ley de Protección de Datos: 5 de marzo de 2011
06/March/2011, 07:29 PM

La publicación en el Boletín Oficial del Estado da lugar en la disposición final quincuagésima sexta de Ley de Economía sostenible a cambios sustanciales en los artículos 43, 44, 45, 46 y 49 del título VII de la LOPD.


Enfoque estructurado a la gestión de riesgos empresariales y requisitos ISO 31000
21/February/2011, 05:42 PM

Hay muchas opiniones acerca de lo que implica la gestión de riesgos, como debe ser aplicada y lo que puede lograr. En 2009 la Organización Internacional de Normalización (ISO) publicó ISO 31000 que trata de responder a estas preguntas.

Esta guía es el resultado del trabajo de un equipo procedente de las entidades de gestión de riesgo principales del Reino Unido - la Asociación de Administradores de Riesgos y Seguros (AIRMIC), la Asociación para la gestión del riesgo en el sector público (ALARM) y el Instituto de Gestión de Riesgos (IRM) y está destinada a ser aplicable a todo tipo de organizaciones.


incluye un breve comentario sobre la norma ISO 31000, así como proporcionar información adicional sobre la aplicación exitosa de la gestión del riesgo. Es importante destacar que esta guía reconoce que el riesgo tiene tanto un lado positivo y negativo.


Aplicación gratuita para el Análisis de riesgo y gestión de iPhone, IPAD y el iPod touch
21/February/2011, 05:19 PM

Citicus, empresa especialista en gestión del riesgo empresarial y en el cumplimiento, ha publicado una aplicación para el análisis y gestión de riesgos para la gama de IOS de los dispositivos de Apple - iPhone, IPAD y el iPod touch.

Demostración en youtube


Nuevo índice del Cibercrimen con información y alertas diarias
21/February/2011, 04:37 PM

"La idea del Norton Cybercrime Index es permitirle al usuario conocer cuál es el nivel de riesgo que enfrenta al conectarse a internet, muy similar a las herramientas que utilizan los inversionistas para conocer el estado de los mercados bursátiles",  explica la compañía.


Plantillas de cuestionarios de sensibilización
21/February/2011, 02:28 PM

El objetivo de este documento de la comunidad AR de ENISA de la que iso27000.es es miembro es ofrecer información en torno a la sensibilización sobre la seguridad de la información en la forma de una serie de plantillas de un cuestionario y está dirigido a las organizaciones que desean sensibilizar sobre la seguridad de la información entre sus grupos destinatarios.

Incluye cuestionarios que no deberían considerarse exámenes completos para conocer el nivel de sensibilización y el grado de conocimiento de las personas. El objetivo es por tanto ayudar a la persona que responde a tener una idea de su nivel de sensibilización y, en el mejor de los casos, ofrecerle una herramienta para despertar su interés sobre los valores y los riesgos de utilizar ordenadores y servicios en línea en Internet.

Las plantillas pueden utilizarse bien impresas con una hoja de respuestas o bien como un cuestionario en la red. Cada cuestionario tiene una introducción que deberá guardarse o, si se cuelga en Internet, deberá incluirse en la misma página que las preguntas.

Añadimos esta solución entre las ya incluidas en nuestro apartado A.8.2.2 para la capacitación y formación del personal


Discos duros y sonidos característicos de falllos críticos
18/February/2011, 02:25 PM

"Estos son algunos sonidos típicos que escuchamos en nuestro laboratorio de recuperación de datos. Si el disco duro hace ruidos como estos y que todavía son capaces de acceder a sus archivos - Copia de seguridad de inmediato.

Para escuchar el sonido simplemente haga clic en el botón de reproducción. Haga clic en el fabricante de la unidad al lado del botón de sonido para obtener más información acerca de los problemas comunes que experimentan estos discos."

Referencia a la noticia y comentarios adicionales en kriptópolis


Informe Malware en Smartphones del CNCCS
18/February/2011, 01:58 PM

Los smartphones, el nuevo objetivo de las mafias del fraude online por la escasa concienciación de los usuarios y la gran cantidad de información personal y confidencial, principales motivaciones de las mafias para este nuevo tipo de ataques.

El CNCCS te proporciona una guía de buenas prácticas para proteger tu smarthphone y que añadimos a las posibles soluciones en nuestra sección A.9.2.5 relativa a la seguridad de equipos fuera de los locales de la Organización según ISO 27002 y en A 11.7.1 para el control en la movilidad de equipos informáticos.


15 de Junio de 2011: Derogación de SAS70
18/February/2011, 01:19 PM

SAS 70 será sustituido por una nueva norma certificable para informar sobre la organización de los servicios.

Statement on Standards for Attestation Engagements (SSAE) nº16 para el informe sobre los controles en el servicio de una organización fue emitida por el Consejo de Normas de Auditoría del Instituto Americano de Contadores Públicos Certificados (AICPA) en Abril de 2010 y reemplaza efectivamente SAS 70 a partir del 15 de junio de 2011.

SAS70. com dipone de información completa de todas estas novedades 


Aplicación de firma electrónica "Cliente Firma"
18/February/2011, 12:44 PM

Con el reto de concienciar a los ciudadanos y empresas sobre la eficacia, comodidad, inmediatez y, sobre todo, seguridad de realizar los trámites comerciales de manera electrónica, se ha desarrollado y liberado como software libre esta herramienta de firma electrónica.

La herramienta, que se ejecuta en el PC del usuario, acepta una gama muy variada de formatos de firma electrónica, además de ser compatible con diversos sistemas operativos y navegadores web.

La herramienta está disponible para su descarga en la forja del Centro de Transferencia de Tecnología. Es utilizada por la mayoría de las Administraciones públicas españolas en los servicios públicos que ofrecen por Internet.


II Edición del Curso de Gobierno Corporativo de la Seguridad de la Información
18/February/2011, 12:42 PM

Del próximo 21 al 31 de marzo se impartirá en Madrid y el objetivo de este curso es la formación y especialización de profesionales en las metodologías, estrategias, estándares y  las  técnicas relacionadas con el Gobierno de la Seguridad de la Información, de forma que adquieran la capacidad de definir, desarrollar e implantar un plan estratégico de Seguridad de la Información, dentro de cualquier organización.

La duración del curso es de 32 horas, repartidas en 8 clases, de lunes a jueves, entre las 17:00 y las 21:00 horas.


17 de Febrero: Consideraciones Jurídicas del Cloud Computing
14/February/2011, 12:56 AM

"El auge de este modelo de servicios y las inversiones que actualmente están haciendo las empresas, tanto como proveedoras como usuarias, hace que seamos capaces de responder a los retos jurídicos que nos plantea.

En este evento, trataremos de dar respuesta a preguntas tales como:

  -¿Es seguro el cloud computing?.

  -¿Qué requisitos mínimos tendrá que tener el contrato de servicio?

  -¿Cuáles son los principales aspectos jurídicos a la hora de afrontar un proyecto en la nube?

  - ¿Cómo evaluar el SLA de un proveedor en la nube?

  - ¿Es seguro el cloud computing?.

  - ¿Puedo utilizar mis licencias de software tradicionales?

  - ¿Qué aspectos he de tener en cuenta para alojar datos personales?, ¿tengo que pedir un permiso especial? ¿Y si los servidores están en USA?

  - ¿Qué legislación se aplica en la "nube"? ¿y si tengo que demandar, donde acudo?

  - ¿Qué certificaciones de seguridad he de pedirle a mi proveedor  de cloud computing?

  - ¿Qué medidas de seguridad tendré que aplicar?"

Dirección: Avda. de Juan López Peñalver 21. Parque Tecnológico de Andalucía. Edif. Bic Euronova 29590 Campanillas (Málaga)


Asamblea ordinaria de socios de ISMS Forum Spain
11/February/2011, 01:04 PM

La Junta Directiva convoca para el próximo día 2 de marzo de 2011 la Asamblea Anual Ordinaria de Socios de ISMS Forum Spain.

La reunión será a las 17:30 horas en primera convocatoria y a las 18:00 horas en segunda convocatoria, y tendrá lugar en el Salón de Actos del Centro de Proceso de Datos de la Universidad Complutense de Madrid (Avenida Complutense, s/n. Madrid).


IX Jornadas Ceres
11/February/2011, 01:00 PM

"Nuevamente la FNMT-RCM organiza  las Jornadas CERES. Como en anteriores convocatorias, contaremos con destacados ponentes de la Administración, que  presentarán los servicios de certificación implantados en sus Organismos, y de las Empresas Tecnológicas, que mediante sus productos y desarrollos hacen posible el despliegue de los mismos."

La novena edición de este evento abordará los nuevos retos de la identidad digital tanto en el ámbito nacional  como en el internacional.


A 6.1.8: Nuevos controles de seguridad
10/February/2011, 03:08 PM

Se deberían revisar las prácticas de la Organización para la gestión de la seguridad de la información y su implantación (por ej., objetivos de control, políticas, procesos y procedimientos de seguridad) de forma independiente y a intervalos planificados o cuando se produzcan cambios significativos para la seguridad de la información.

Posibles soluciones para la implantación de este control en iso27002.es


Los diez lugares más peligrosos para externalizar las TIC
10/February/2011, 02:51 PM

Un informe publicado por Brown-Wilson Group detalla qué lugares son considerados los de mayor riesgo en la externalización TI en 2010.

Curiosamente ninguno de los 10 de este año confirman los presentados en el informe del año pasado como es el caso de algunas ciudades de la India. Otra revelación interesante es que Río de Janeiro en Brasil, que fue la octava ciudad más peligrosa, es ahora la 22 más segura.

 Las variables tomadas en cuenta son:

- La corrupción y la delincuencia organizada
- Redes y seguridad de la infraestructura
- Estabilidad de la moneda
- Tasa de criminalidad y la relación de la policía con los ciudadanos
- Desechos y la contaminación ambiental
- Terrorismo
- Sistema jurídico
- Tiempo / amenazas climáticas


Filtrado del algoritmo de claves WPA de Movistar y Jazztel
10/February/2011, 02:32 PM

"El pasado 4 de febrero se hizo público el algoritmo que genera las contraseñas por defecto de los routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y Jazztel a sus clientes para dar acceso a Internet. Mucho se ha especulado con el asunto. Hemos investigado sobre la filtración, acudiendo directamente a las fuentes, y queremos compartir algunos aspectos interesantes."

Artículo de Hispasec


7 cuestiones fundamentales antes de desarrollar la política de uso de redes sociales
10/February/2011, 02:16 PM

Los medios sociales alteran las reglas de larga implantación en los negocios de muchas maneras, pero la elaboración de una política de uso de las redes de comunicación social sería precipitada en el caso que los diseñadores de la política no den respuesta a siete preguntas fundamentales.


Bendita ignorancia, que nada da y mucho quita
10/February/2011, 02:10 PM

"Si el ser humano tiene siete pecados capitales, ya de sobra conocidos, el responsable de IT sólo tiene tres, la ignorancia, la apatía y la soberbia. Porque a pesar de que se adquiera lo último en tecnología para prever estas amenazas, será un esfuerzo sin frutos si el mismo administrador no es consciente del peligro que diario acecha a la organización."

Artículo de Aarón Talavera Mejía, oficial de seguridad IT de SecuriTI


Datos digitales, la sangre de los negocios
10/February/2011, 02:08 PM

"El reloj para que los CEOs, CSOs, CIOs y usuarios de todo el mundo aprendan a distinguir el valor en el contenido digital será vital para la viabilidad de los negocios durante la próxima década, asegura Devin Redmon, vicepresidente de Producto y Desarrollo de negocios de Websense."

En entrevista exclusiva con b:Secure y Netmedia, Redmond comparte que fenómenos como las redes sociales, el cómputo en la nube y la llegada de nuevo dispositivos han comenzado a cambiar de manera disruptiva la manera "en que las empresas entienden el significado de la seguridad de su información".


Seguridad de la Información y asignación de recursos
10/February/2011, 01:59 PM

"Hasta ahora lo que vamos observando en casi todas las empresas es un "aprovechamiento" de recursos que, casi siempre, se sufre desde los departamentos de TI de las empresas debido al alto componente informático de la seguridad de la información en general y del estándar 27001 en particular.

Esto supone encontrarse con SGSIs que no explotan todo su potencial y con Responsables del Sistema de Gestión o Responsables de Seguridad de la Información que no pueden dedicarse a la tarea de velar por la seguridad de los activos de información empresariales con la dedicación requerida."

Artículo publicado por Áudea

 


Retroalimentación exitosa en las auditorías internas
10/February/2011, 01:54 PM

La evaluación del grado de cumplimento con procedimientos y sistemas es el punto clave en la conducción de auditorías internas.

Esto puede hacer que sea un gran desafío el enfrentar las zonas grises relacionadas al comportamiento y a las respuestas durante el proceso, por no mencionar el tema de la retroalimentación al auditado.

Catherine Park discute estrategias para hacer más eficaz el proceso de retroalimentación durante auditorías internas


SecuReview: nueva publicación
10/February/2011, 01:48 PM

Primer número de 2011 de esta publicación de descarga libre en pdf dedicada a la seguridad.


Novedades en iso27002
30/January/2011, 11:34 PM

Úlitmas novedades incorporadas como guía de soluciones en iso27002.es comprenden:

5.1.1 Documento de política de seguridad de la información 

Objetivos 

14.1.1. Proceso de la gestión de continuidad del negocio 

6.1.4. Proceso de Autorización de Recursos para el Tratamiento de la Información 

14.1.5. Prueba, mantenimiento y reevaluación de planes de continuidad 

9.1.1. Perímetro de seguridad física 

6.1.3. Asignación de responsabilidades 

8.1.2. Selección y política de personal 

14.1.3. Redacción e implantación de planes de continuidad 

14.1.2. Continuidad del negocio y análisis de impactos 


Lección 4: Introducción a la seguridad en redes telemáticas
30/January/2011, 11:58 PM

Se encuentra disponible en el servidor Web de intypedia la cuarta lección de la Enciclopedia de la Seguridad de la Información con el título "Introducción a la seguridad en redes telemáticas" del autor Dr. Justo Carracedo Gallardo, Catedrático de la Universidad Politécnica de Madrid.


UNE 66183:2010 - Gestión de la calidad. Procesos contratados externamente
30/January/2011, 11:40 PM

La propuesta de norma de calidad se dirige a la regulación, entre otros, de la contratación externa de procesos de gestión de Calidad, Medio Ambiente; Seguridad y Salud Ocupacional; Responsabilidad Social; o Seguridad de la Información.

Este listado no excluye cualquier otro tipo de proceso cuya gestión se decida externalizar.

Consulta desde AENOR


Análisis de amenazas con Microsoft Attack Surface Analyzer
30/January/2011, 11:18 PM

Microsoft dio a conocer otra herramienta libre de su Security Development Lifecycle (SDL) que ayuda a detectar cómo un nuevo desarrollo o aplicaciones ya instaladas afectan a los ataques de superficie en un entorno Windows.

El nuevo analizador de ataques de superficie se encuentra en versión beta y disponible para descargar en herramientas de Microsoft SDL desde su página Web.

La herramienta, desarrollada por los ingenieros de seguridad de la empresa, es la misma que utilizan los grupos de producto internos del gigante de Redmon para catalogar los cambios realizados en ataques de superficie en el sistema operativo debido a la instalación de nuevo software en el sistema.

La herramienta en cuestión realiza instantáneas del estado del sistema antes y después de realizar la instalación de productos en el mismo y nos muestra los posibles cambios realizados en elementos clave en la superficie de ataque de Windows.

Noticia completa desde windowstecnico


Manifestaciones y ataques de denegación de servicio DDos para el día de los Goya
30/January/2011, 11:07 PM

El día 13 de febrero se entregarán los premios de la Academia de Cine de este año. Los Goya cuentan este año con más expectación de la habitual en Internet por el pacto para sacar adelante la 'Ley Sinde' y la implicación en el proceso de Alex de la Iglesia. Los activistas de Anonymous han decido aprovechar el evento para manifestarse en contra de la aprobación de la ley.


Publicado en Cibersur


La FNMT acoge en febrero el Congreso Nacional de Interoperabilidad y Seguridad
30/January/2011, 11:05 PM

La sede de la Fábrica Nacional de Moneda y Timbre, acogerá los días 22 y 23 de febrero 2011, el Congreso Nacional de Interoperabilidad y Seguridad - CNIS, el principal foro de debate sobre los Esquemas Nacionales de Interoperabilidad y Seguridad al año de su aprobación

Información completa en Cibersur


Desayuno tecnológico: Seguridad en la Red + Autenticación
30/January/2011, 10:57 PM

Por segundo año consecutivo Áudea Seguridad de la Información en colaboración con Audema, SafeNet y Netasq, llevarán a cabo el desayuno tecnológico Seguridad en la Red + Autenticación con el objetivo principal de resaltar las tecnologías para el Cumplimiento Normativo de la Ley Orgánica de Protección de Datos, ISO 27001, ENS, PCI DSS.

Temas como gestión de vulnerabilidad y análisis de riesgo, entre otros, serán tratados en dicho evento que se llevara a cabo el próximo 22 de Febrero 2011 10 de la mañana en las oficinas de Audema ubicadas en  Calle Felipe campos 3.

Información completa desde la página web de Audea


Criptografía y Privacidad ? Conclusiones
30/January/2011, 10:51 PM

"Doy por concluida la serie de "Criptografía y Privacidad" que empecé en Noviembre, espero que os haya sido de utilidad (en realidad espero que nunca os tenga que ser de utilidad, pero ya me entendeis).

Parte I ? Introducción
Parte II ? Cifrado de discos
Parte III ? Comunicaciones seguras
Parte IV ? Blogueando anónimamente
Parte V ? Sistemas y navegadores
Parte VI - Coacción y tortura "

Interesantes artículos en el blog de Alfredo Reino


UNIT-ISO/IEC 27003:2010 publicada
25/January/2011, 05:30 PM

Desde el pasado mes de Diciembre el Instituto Uruguayo de Normalización ha puesto a disposición el estándar internacional ISO/IEC 27003 "TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. DIRECTRICES PARA LA IMPLEMENTACION DE UN SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION" en español.


Cloud Academy Summit
25/January/2011, 05:26 PM

¿Va a cambiar todo con Cloud Computing?

¿Nos encontramos ante uno de los mayores cambios de paradigma de toda la historia de las TI?

¿Cómo podemos aprovechar estas nuevas oportunidades?

Para hablar y debatir sobre estos temas contaremos en este evento con la presencia de:

Peter Hinssen, Accross Technology uno de los líderes europeos de pensamiento acerca del impacto de las tecnologías en nuestra sociedad
Laurent Lachal, principal analista de investigación sobre cloud computing del Grupo Ovum Software.
Valentín Galán, CTO de CA Technologies Iberia.

Organizado por CA con Inscripción gratuita y talleres tras lunch


NIST 800-137: Primer Borrador Público
21/January/2011, 10:55 PM

El propósito de esta guía es ayudar a las organizaciones en el desarrollo de una estrategia de seguimiento continuo y la implementación de un programa de vigilancia continua que facilite
visibilidad de los activos de la organización, la conciencia de las amenazas y vulnerabilidades, y la visibilidad en la eficacia de los controles de seguridad desplegados.

NIST 800-137 "Information Security Continuous Monitoring for Federal Information Systems and Organizations"


El Factor Gente y la Seguridad de la Información
21/January/2011, 10:47 PM

"Generalmente se dice que virus y hackers son quienes ponen en riesgo la información. Pero muchas veces la verdad es otra: que el descuido y el uso inadecuado de usuarios legítimos causen mucho mayor daño que aquellos.

Esto se pone de manifiesto en un escenario corporativo cuando al analizar los riesgos organizacionales y operacionales [1], surge un factor generalmente descuidado y a veces hasta desconocido relacionado con las personas y los grupos, y que llamamos el "factor gente"1."

"Este tipo de experiencias, propias y de terceros, señala que la seguridad de la información depende de la gente, individuos y grupos, más que de la propia tecnología, toda vez que las personas son el eslabón más débil en el cumplimiento de medidas de seguridad. Y esto es así porque la naturaleza humana y las interacciones sociales son frecuentemente más fáciles de manipular que producir brechas en las protecciones tecnológicas."

Artículo completo de Ing. Carlos Ormella Meyer


Security and Resilience in Governmental Clouds
21/January/2011, 09:16 PM

Nueva publicación de ENISA sobre la seguridad en la nube.


Nueva versión del listado de controles ISO 27002
14/January/2011, 08:16 PM

En línea con nuestro nuevo espacio de iso 27002 publicamos una versión renovada de los 133 controles de la ISO 27002.

Las novedades introducidas son la alineación del listado en la denominación de algunos controles en relación a las últimas correcciones introducidas en las traducciones al español del Anexo A del estándar ISO/IEC 27001 con motivo de una mayor coherencia con la traducción española de ISO/IEC 27002.

En formato pdf y descarga directa desde iso27000.es como es habitual.


Curso de Diseño de Datacenter BICSI por primera vez en España
14/January/2011, 01:09 AM

Data Center Dynamics comunica las últimas plazas para su formación en "Diseño y Mejores Prácticas en Data Center que tendrá lugar en Madrid los días 24, 25 y 26 de Enero.

La formación proporciona a los profesionales una mejor comprensión de los distintos temas relacionados con el diseño de los centros de datos, incluyendo la selección de la ubicación, la protección contra amenazas ambientales y de gestión, la fiabilidad eléctrica, mecánica, estructural y el diseño arquitectónico, además de dotarlos de los conocimientos necesarios para tomar decisiones en cuanto a un diseño apropiado que garantice la disponibilidad, confidencialidad e integridad de los datos. 

Este curso está estrechamente vinculado con la recién publicada BICSI 002 Data Center Design Standard, que estará plenamente acreditado dentro del conjunto ANSI de normas reconocidas internacionalmente, y los asistentes recibirán una copia gratuita del documento (de un valor de 435?).

Los interesados a unirse a los cursos y al programa de certificación profesional pueden consultar la página de DataCenter Dynamics y/o ponerse en contacto con Jose Luis Friebel en el teléfono 0034 911331762 o en su correo electrónico jose@datacenterdynamics.com.


Novedades 2011: iso27002.es
11/January/2011, 04:31 PM

La iniciativa de iso27002.es, como portal de referencia para soluciones de implantación de los controles y objetivos de todo el Anexo A de la ISO 27001, ha crecido rápidamente en interés y en número de visitantes desde el inicio de las actividades de aportación de contenidos iniciales en el pasado 2010.

En base a las previsiones y para afrontar el presente año nuevo hemos introducido algunos cambios para el mejor mantenimiento de las actividades:

- Contenidos en nueva plataforma accesible desde iso27002.es y/o desde iso27002.wiki.zoho.com

- Posibilidad de publicar comentarios y aportaciones de nuevas soluciones a la comunidad sin necesidad  de registrarse previamente

- Información adicional y sugerencia de métricas para cada objetivo de control

- Barra de navegación adicional en la cabecera para mejor accesibilidad entre áreas de control

- Búsqueda rápida por palabras clave

La información relativa a los pasos básicos para la implantación de un SGSI está en fase de revisión y esperamos poder publicarlos dentro de un nuevo proyecto en las próximas semanas en foma de una guía básica de implantación de SGSI de libre difusión y que mantendrá una mejor vinculación e integración con los contenidos y recursos con las iniciativas de iso27000.es y de iso27002.es.

Adicionalmente, se abre de forma exclusiva para el portal iso27002.es la posibilidad de colaboración por parte de entidades con y sin ánimo de lucro y que quieran dar visibilidad a sus actividades, servicios y/o productos (de una manera puntual o permanente) siempre que estén relacionadas con la seguridad de la información.

El objetivo de esta iniciativa es la de mantener las actividades de creación, mantenimiento y difusión libre de los contenidos de iso27002.es al ritmo y nivel de presentación de los contenidos que los profesionales del sector de la seguridad de la información nos está demandando actualmente.

Para los interesados en proponer aportaciones de contenidos, colaboraciones o información adicional sobre la iniciativa se pone a disposición la dirección: servicios@iso27002.es o desde la propia iniciativa iso27002.es

Un saludo a todos y nuestros mejores deseos


¿Cómo afectará la nueva reforma del Código Penal a las empresas?
11/January/2011, 04:08 PM

La reforma del Código Penal que entrará en vigor el día 23 de diciembre de 2010, tiene como objetivo evitar el fraude y la corrupción en las organizaciones.


Para ello, entre otras novedades, se introduce por primera vez en España la posibilidad de que una persona jurídica, sea cual sea su estructura mercantil o societaria, sea considerada penalmente responsable por los hechos delictivos cometidos por sus empleados.


Análisis completo y enlaces para la consulta de las reformas disponibles desde Audea


Planes de Continuidad de Negocio
11/January/2011, 02:50 PM

BS 25999 prepara a las organizaciones para afrontar los peores escenarios que puedan ocurrir reduciendo la duración y el coste producido por las interrupciones, mitigando el riesgo, mejorando la toma de decisiones estratégicas, protegiendo las marcas y, aunque quizás sorprenda, también introduce un ahorro en los costes.

La gestión de la continuidad de negocio es una nueva disciplina en evolución y en el siguiente artículo de business standards se desarrolla en detalle para distintos sectores además de proporcionar referencias a documentos y guías complementarias de interés.


La Gira Up to Secure 2011 ya está aquí
10/January/2011, 04:19 PM

Un año más recorrerá 10 ciudades españolas abordando temas de actualidad relativos a seguridad informática y, para ello, contará con la participación de expertos en la materia aportados por empresas profesionalizadas en Seguridad Informática.

Agenda y reservas desde la web de la iniciativa


Lección 3: Sistemas de cifra con clave pública
10/January/2011, 04:12 PM

Tras la lección 2 "Sistemas de cifra con clave secreta" se encuentra ya disponible en el servidor Web de intypedia la tercera lección de la Enciclopedia de la Seguridad de la Información con el título "Sistemas de cifra con clave pública".

En fase de preparación "Lección 4. Introducción a la seguridad en redes telemáticas"

 


Nuevo servicio Google: "Este sitio podría dañar tu equipo"
10/January/2011, 02:57 PM

"Queremos que nuestros usuarios se sientan seguros cuando realizan búsquedas en la Web y por eso trabajamos continuamente para identificar los sitios peligrosos y aumentar la protección que brindamos.

Este mensaje de advertencia aparece con los resultados de las búsquedas que hemos identificado como sitios que pueden instalar software malintencionado en tu equipo."

Guía Google en español


Pymes golpeadas por uso de software pirata
10/January/2011, 02:48 PM

De acuerdo con los resultados del estudio, 86% de las empresas mexicanas tuvieron algún problema con virus informáticos. De dicho porcentaje, 66% sufrió pérdidas de información, mientras que 50% calificó como "muy altos" los costos causados por dichos ataques.

"Las empresas mexicanas son concientes de que existen riesgos al usar software ilegal, sin embargo prefieren omitirlos con la idea errónea de estar ahorrando sobre una inversión que es necesaria para sus negocios", dijo Kiyoshi Tsuru, director general de la BSA en México.

Artículo completo en b:secure


¿Con qué se come el compliance?
10/January/2011, 02:42 PM

El compliance es uno de los temas de mayor ocupación y preocupación de las organizaciones hoy día y estén seguros que seguiremos hablando del tema en los próximos años.

Según el ISO 27001 el objetivo del compliance es "evitar brechas a cualquier ley criminal y civil; Así como a obligaciones estatuarias, reguladoras o contractuales y de cualquier requerimiento de seguridad además de asegurar la conformidad de IT, con políticas y estándares de seguridad de la información en las organizaciones".

Algunas cifras interesantes son:

-       El personal de una organización trabaja entre 40 y 70% extra para pasar auditorias de compliance.( datos de 5 organizaciones en México )

-       El 34% del presupuesto de Tecnología de Información ( IT ) esta reasignado al compliance ( securitycompliance.com )

-       Una organización en México redujo 35% su presupuesto de seguridad de la información y pospuso proyectos por Sarbanes-Oxley

-       Una encuesta realizada por securitycompliance.com reveló que 70% de las organizaciones encuestadas reportaron ser sujetas a varios marcos regulatorios.

-       Las penas por la falta del cumplimiento pueden ser severas en Estados Unidos: Sarbanes-Oxley exige una pena de 20 años de cárcel por maquillar información financiera o por alterar expedientes corporativos. Mientras que el HIPPA exige una pena superior a los $20,000 USD a organizaciones del sector de salud que no mantenga la información privada de los pacientes de manera adecuada.

Artículo completo en b:secure


Protección jurídica del software
10/January/2011, 02:34 PM

Aunque no existe un consenso internacional uniforme sobre la protección que se debe dar a los programas informáticos (en Estados Unidos y Japón, por ejemplo, están protegidos por patentes), en la legislación española vienen protegidos por la Ley de Propiedad Intelectual, en su título VII "de los programas de ordenador".

Nadie duda que el software sea un producto del intelecto, y que parte de la actividad creativa del autor, aunque sea difícil plantear el concepto de originalidad frente a otro tipo de obras. De este modo, se ampara bajo la Propiedad Intelectual y no Industrial, gozando de una serie de ventajas.

Artículo completo en Audea


Informe Eurostat sobre el uso de las TIC y seguridad en la UE-27
10/January/2011, 12:43 PM

Eurostat, oficina de estadística de la Unión Europea, publicó recientemente un estudio sobre el uso de las tecnologías de la información y las comunicaciones con especial foco de interés en las medidas de seguridad en empresas europeas.

El informe tiene tan sólo 11 páginas con gráficos que resumen de un modo bastante claro los datos recogidos en 27 países.


Dramática caida del spam en el mundo y nadie sabe por qué
10/January/2011, 12:33 PM

Mientras medio mundo intenta buscarle una explicación a las muertes masivas de pájaros en Estados Unidos y Suecia, parte del mundo tecnológico intenta buscar un por qué a la drástica reducción del correo basura en los últimos meses, sin encontrarle por ahora razón aparente.

Es curioso que el número de mensajes no deseados en las bandejas de entrada se ha reducido de forma abrupta (como puede verse en el gráfico incluido) durante los últimos meses.

De hecho, según señala BBC.com, en agosto del año pasado se mandaron 200.000 millones de correos considerados spam, mientras que la cifra se redujo a 50.000 millones tan sólo cinco meses después, en diciembre de 2010.

Noticia completa en alfa-redi