Organizadas por BSI y con la colaboración del BCI entre otras empresas tendrán lugar el próximo 12 de mayo en el Hotel Palace de Madrid y el 13 de Mayo en el Hotel Princesa Sofía en Barcelona.

Más información e inscripciones en en los eventos de BSI Group.

Bajo el título de "¿Cómo innovar en tiempos de crisis?", el ISMS Forum Spain celebra en Madrid (España) el próximo 25 de Mayo su VII Jornada Internacional de Seguridad de la Información. Tendrá lugar en el Palacio de Congresos del Paseo de la Castellana, de 9:00 a 18:00, y contará, como sus ediciones anteriores, con la participación de ponentes de primera fila, tanto a nivel nacional como internacional.

Este año, la Jornada tiene especial interés para todos los profesionales y expertos en seguridad de la información relacionados con:
- Cloud Computing.
- Innovación en el sector de la Seguridad de la Información.
- Reducción de costes y mejora del servicio como objetivo a conseguir
- Adaptación de las nuevas tecnologías en la Administración Pública.

El plazo de inscripción está abierto ya. Más información en https://www.ismsforum.es.

Edward Humphreys presenta los últimos desarrollos en la familia de normas ISO/IEC 27000.

Artículo completo en IRCA.org.

En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:

- Herramienta Google Skipfish para el testeo de seguridad Web y metodología de InfosecWriters para la validación de sistemas contra las vulnerabilidades.

- Soluciones para el uso y elección adecuada de passwords (on-line y descargables)

El alta de usuario está abierta a todos los interesados así como la aportación de propuestas en la zona de comentarios para cada control. Cada usuario puede habilitar su página personal de contacto y recibir via RSS las novedades y actualizaciones en las páginas, entre otras herramientas.

La entidad de certificación SGS ICS Ibérica se convierte en la primera entidad de certificación registrada por itSMF en España obteniendo el permiso para operar bajo el sistema de certificación de ISO/IEC 20000 de itSMF desde su sede en Madrid.

El registro por el itSMF proporciona el derecho a utilizar el logotipo del esquema en los certificados que se emiten a las organizaciones que cumplen los requisitos de ISO/IEC 20000 garantizando la credibilidad de la certificación a nivel nacional e internacional.

Actualmente, itSMF sólo acepta peticiones por entidades de certificación acreditadas por entidades nacionales reconocidas por EA o IAF y en conformidad con EN 45012, siendo uno de los principales requisitos para el registro en el sistema de certificación que la entidad de certificación demuestre la independencia y competencia de sus auditores en relación a la gestión de los servicios TI y en relación a los esquemas y prácticas de referencia tanto del estándar ISO/IEC 20000 (partes 1 y 2) como del itSMF.

Hasta el momento, la conformidad de las certificaciones con el esquema itSMF en España se garantizaba por la gestión de expedientes mediante las tres oficinas acreditadas por SGS en otras zonas internacionales. La nueva acreditación en España proporciona por tanto una resolución administrativa más eficiente, una respuesta más rápida de los servicios prestados a las empresas interesadas en el esquema y una mayor visibilidad de la calidad de los servicios de certificación que SGS presta a nivel nacional.

Acceso al registro oficial de entidades acreditadas por itSMF.

El Data Privacy Institute (DPI) ha publicado las bases de la nueva Certificación Certified Data Privacy Professional (CDPP). Asimismo se han abierto los plazos de inscripción para el programa de Grandfathering y el primer examen, que se celebrará el 19 de junio de 2010.

CDPP es la primera certificación española dirigida a profesionales de la Privacidad y la Protección de datos de carácter personal tales como directores de seguridad; responsables de privacidad; gestores de protección de datos; consultores; abogados y técnicos de seguridad con responsabilidades en este área de creciente importancia en todo tipo de organizaciones.

Acceso a información completa en ISMS Forum.

Desde el 10 de Abril está abierta la inscripción a la VII Jornada Internacional, que tendrá lugar el próximo 25 de mayo en Madrid.

Nueva herramienta que INTECO-CERT ha diseñado bajo el nombre de CONAN (configuración y análisis) y que desde el pasado 6 de abril está disponible como útil gratuito al que se puede acceder desde CONAN .

Se trata de una solución destinada a usuarios particulares y pymes que ofrece un informe del nivel de seguridad del PC de una manera inmediata y muy sencilla.

CONAN analiza y detecta las configuraciones de riesgo que plasma en el informe. De esta manera, ayuda a prevenir fallos de seguridad y a reaccionar ante infecciones o ataques al sistema, identificando los elementos que causan el problema y ofreciendo soluciones. Es una utilidad no intrusiva y pensada como complemento al antivirus.

"¿Temes más al auditor o al atacante?" se pregunta Peter Bassill, CISO de Gala Coral Group.

Acceso al artículo completo en Computerweekly.

Segunda entrada con referencias a herramientas donde practicar habilidades en seguridad.

Acceso a la entrada completa de Laura García en SecuritybyDefault.

Existe mucha confusión en el mercado sobre los diferentes tipos de sistemas SAI (UPS) y sus características. Para cada uno de estos tipos de SAI se definen las aplicaciones prácticas, se discuten las ventajas y las desventajas correspondientes.

Con esta información, una decisión lógica puede hacerse en relación a la topología SAI apropiada para cada necesidad determinada.

Acceso al informe en Computerweekly previo registro.

Errata Security realizó una encuesta preguntando a personal de la comunidad de desarrollo de software sobre su experiencia con la integración de soluciones de seguridad en el ciclo de vida de desarrollo de software (SDLC).

En concreto, el estudio se centró sobre la adopción de metodologías formales de garantía del software como Microsoft SDL, SAMM de OWASP, y BSIMM.

La encuesta estuvo abierta a comunidades de la seguridad de la información y de desarrollo de aplicaciones. En este documento se explican los resultados de dicha encuesta.

Acceso al informe ErrateSec.

Este informe contiene el resultado de un intenso esfuerzo de evaluación de riesgos de escenarios adecuados en los que se utilicen "IoT" (Internet of Things) y RFID en desplazamientos aereos.

La evaluación comprende una extensa y detallada identificación y medición de las vulnerabilidades y amenazas emergentes para el escenario completo. Addicionalmente, el informe incluye recomendaciones adecuadas en relación a los riesgos identificados

Acceso al informe ENISA.

En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:

- 8.2.2 Formación y capacitación

- 12.3.1 Política de uso de controles criptográficos

- 10.1.3 Segregación de tareas

El alta de usuario está abierta a todos los interesados así como la aportación de propuestas en la zona de comentarios para cada control. Cada usuario puede habilitar su página personal de contacto y recibir via RSS las novedades y actualizaciones en las páginas, entre otras herramientas.

Proporcionada por SANS.

Interesante artículo con información sobre Web Fraud Detection disponible en blog de Sergio Hernando.

Se ha puesto a disposición pública las guías oficiales de securización de todos los componentes de la plataforma.

Viene distribuida en diferentes documentos, dependiendo de qué parte del sistema queremos securizar: los hosts virtualizados, el Host (donde corren las máquinas virtuales), la consola de gestión, vCenter Server (y su base de datos), y VCenter Network (la infraestructura para conexiones de red de las máquinas virtuales) principalmente.

Información completa en Security by default.

Recopilación de enlaces de Yinal Ozkan en relación a soluciones de vendedores, futuros vendedores y proveedores de herramientas y software para la gestión del riesgo.

Relación de enlaces adicional en nuestra sección de herramientas

¿Cúal es la ventana de tiempo adecuada para aplicar parches a las nuevas vulnerabilidades conocidas?. El estudio de Qualys propociona referencias útiles para ajustar la políticas y procedimientos y según se indica en los controles del Anexo 12.5

MEHARI un método global de evaluación y gestión de riesgos relacionados con la información, sus tratamientos y medios utilizados. La versión de 2007 fue descargada más de 16 000 veces en más de 100 países. El uso del método es libre y su distribución se realiza conforme a las disposiciones del Código Libre (Open Source).

Acceso de las actualizaciones del 2010 en Clusif.

Experiencia de Adriano Dias Leite, fundador de My Infosec Job blog.

El recientemente publicado (2009) Build Security In Maturity Model (BSIMM) del Dr. Gary McGraw puede ayudar a las organizaciones en la evaluación, planificación y ejecución de iniciativas de seguridad en software.

El modelo está diseñado explícitamente para garantízar la seguridad del software y en base a datos reales (encuestas) de las empresas que en la actualidad han promulgado y puesto en práctica iniciativas de software de seguridad (Microsoft, EMC, Google, Adobe, Wells Fargo, DTCC, and dos restantes no desveladas).

Los modelos se organizan a lo largo de dominios similares (por ejemplo, la gobernanza, la inteligencia, puntos SSDL, el despliegue de BSIMM y la gobernanza, la construcción, la verificación y el despliegue de SAMM) cada dominio tiene tres mejores prácticas y tres niveles de madurez. 12 de las mejores prácticas de BSIMM disponen de un total de 110 actividades de seguridad del software y de niveles de madurez que se pueden lograr mediante la asignación de metas y objetivos para cada actividad.

Acceso e información disponible en la iniciativa BSIMM.

"Orden ITC/712/2010, de 16 de marzo, por la que se regulan las bases, el régimen de ayudas y la gestión del plan avanza, en el marco de la acción estratégica de telecomunicaciones y sociedad de la información, dentro del plan nacional de investigación científica, desarrollo e innovación tecnológica, 2008-2011".

La convocatoria recoge "Acciones para la obtención de certificaciones en empresas PYME en modelos contrastados de calidad del software, seguridad de la información y calidad en la gestión de los servicios TIC u otras materias."

Convocatoria pública disponible en BOE-A-2010-4818 .

"De vez en cuando es bueno tomarse un descanso de todo el material ultra-bajo-nivel, como por ejemplo, chipset o hacking TXT, y hacer algo sencillo, aunque importante. Recientemente junto con Alex Tereshkin tuvimos algo de tiempo libre y hemos implementado el ataque Evil Maid contra el sistema de cifrado de disco TrueCrypt en base a una pequeña imagen de arranque USB que permite realizar el ataque en un sencillo modo "plug-and-play". El proceso de infección completo tarda aproximadamente 1 minuto, y es muy adecuado para ser utilizado por el servicio de limpieza de los Hoteles.".

Artículo completo de Joanna Rutkowska .

Una vez más, regresan las conferencias Asegú@IT el próximo miércoles, 24 de marzo de 2010 para tratar temas relativos a la seguridad en la ciudad de Barcelona.

Información y Registro en Asegú@IT

Entre los temas de la última publicación se encuentran los siguientes temas:

# Writing a secure SOAP client with PHP: Field report from a real-world project
# How virtualized browsing shields against web-based attacks
# Review: 1Password 3
# Preparing a strategy for application vulnerability detection
# Threats 2.0: A glimpse into the near future
# Preventing malicious documents from compromising Windows machines
# Balancing productivity and security in a mixed environment
# AES and 3DES comparison analysis
# OSSEC: An introduction to open source log and event management
# Secure and differentiated access in enterprise wireless networks

Descarga gratuita en (IN)secure

Lyndon Bird, director técnico internacional del Business Continuity Institute (BCI) analiza la presencia global de la organización y la importancia crucial que tiene la continuidad de los negocios.

En la entrevista se analiza entre otros la situación actual de BS 25999 y su desarrollo como estándar internacional ISO 22301.

Entrevista accesible en español en INFORM

Podcast adicional disponible a Joanne Gagnon, sobre el BCI y las actividades en el capítulo español.

Se celebrará en Otoño y además de las tradicionales experiencias y contactos con partes interesadas en la implantación de Sistemas de Gestión de la Continuidad del Negocio se tratarán aspectos interesantes relacionados con la próxima aparición del estándar internacional ISO 22301 en base al actual estándar británico BS 25999.

De forma similar a otros estándares internacionales, el estándar con especificaciones de requisitos irá acompañado de un código de prácticas denominado ISO 22399.

Los interesados pueden acceder ya a la Información y registro

Los participantes en la Conferencia “Trust in the information Society" hacen públicas las “Conclusiones de León", un documento que se dirige a la Comisión Europea y a los Estados Miembros con el propósito de que puedan ser tenidas en cuenta en el desarrollo de la futura Agenda Digital Europea.

Pueden descargarse las conclusiones en el siguiente enlace

Asimismo, ya están disponibles los vídeos y presentaciones de las ponencias ofrecidas en el evento en la página oficial. Todas aquellas personas que deseen descargárselas pueden hacerlo en los siguientes enlaces:
webcast live
presentaciones

Gianluca D´Antonio, miembro fundador y actual presidente de ISMS Forum Spain y Chief Information Security Officer del Grupo FCC, ha sido nombrado miembro del comité de asesores de la Agencia Europea para la Seguridad de las Comunicaciones y de la Información, (ENISA). Este comité, que está formado por reputados especialistas europeos, asesora y marca la estrategia de la Agencia durante el mandato del director de la misma. El nuevo comité será nombrado para dos años y medio, y ha iniciado sus labores el pasado 17 de febrero. Hasta ahora, este Comité, solo había tenido entre sus miembros un profesional de nuestro país en el bienio 2005-2007.

Adicionalmente y entre las novedades más destacadas del ISMS Forum Spain se encuentra el fichaje de Nathaly Rey como nueva Directora General. Nathaly es Abogada, tiene un máster en Derecho en TICs y Telecom por la Universidad Carlos III de Madrid, y ha colaborado con diferentes organizaciones gubernamentales y administración pública en España y México. En Anyhelp International lideró proyectos como el Global Compliance Project para grupos financieros multinacionales en más de 20 países europeos y americanos. Hasta ahora, Rey trabajaba como Asociada Senior en el área de Compliance IT y Gestión de Riesgos en ECIJA, dirigiendo proyectos de cumplimiento normativo y gestión de riesgos.

Más información en ISMS Forum.

La asociación internacional Jericho Forum ha anunciado el esquena de autoevaluación (Self-Assessment Scheme) SAS, una nueva herramienta que permitirá a los proveedores y sus clientes comprobar la efectividad de un producto de seguridad para satisfacer sus necesidades y garantizar la implantación segura y su despliegue. El esquema ofrece a los proveedores de seguridad con un alto valor y una herramienta gratuita para evaluar si la eficacia de una solución satisface los requisitos estipulados en las directrices del Foro Jericho (los once principios de diseño de seguridad bien establecido por el Foro en 2006).

El esquema de Autoevaluación Jerico Forum puede descargarse en formato pdf.

En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:

- Políticas para escritorios y material de concienciación

- Medidas contra software malicioso

- Formación y capacitación en seguridad de la información

- Identificación de la legislación aplicable

El alta de usuario está abierta a todos los interesados así como la aportación de propuestas y comentarios para cada control. Cada usuario puede habilitar su página personal de contacto y recibir via RSS las novedades y actualizaciones en las páginas, entre otras herramientas.

"A primera vista, es fácil ver que el Análisis de Impacto de Fallo de Componente (sus siglas en inglés son CFIA: Component Failure Impact Analysis) está relacionada de algún modo con los procesos de Gestión de Problemas y de Disponibilidad, pero sigue siendo un concepto algo difuso para la mayoría.

Aunque CFIA suena guay y suena grande, es simplemente una forma de evaluar (y predecir) el impacto de fallos y caídas, y tambien ayuda a la localización de puntos únicos de fallo. Y todo lo que hace falta para hacer ese análisis es una hoja de Excel (o algo aún mejor.). Nada de sumar al pack de herramientas de gestión otra aplicación carísima."

Artículo completo en ITIL-es.

El estándar ISO 27001 en la cláusula 4.3.2 indica que los documentos exigidos por el SGSI deben estar protegidos y controlados según un procedimiento documentado.

En este sentido, cada vez es más habitual que tanto la documentación como los registros se gestionen con la ayuda de sistemas de gestión de contenidos (CMS) que organizan y facilitan la gestión de nuevas versiones y la creación, aprobación y distribución de nueva información.

Un listado de los CMS más detacados se puede consultar en wikipedia para conocer el CMS más adecuado según el tipo y dimensiones de nuestra organización.

Con fecha 01 de Febrero ha sido publicado el estándar ISO/IEC 27003 y ya está disponible para su adquisición y descarga en inglés en iso.org.

ISO/IEC 27003:2010 se centra en los aspectos críticos necesarios para el éxito en el diseño e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001:2005. Se describe el proceso de especificación del SGSI y el diseño desde el inicio hasta la elaboración de planes de ejecución. En él se describe el proceso para obtener la aprobación de la Dirección para implementar un SGSI, se define un proyecto para implementar un SGSI (denominado en la norma ISO/IEC 27003:2010 como el proyecto de SGSI), y da pautas sobre cómo planificar el proyecto del SGSI, resultando un proyecto final de ejecución del plan.

Se puede consultar una introducción a la norma original en webstore.iec.ch.

Destacamos los siguientes artículos publicados por la empresa Audea:

-¿Qué infracciones son consideradas como muy graves según el LOPD?.

-Sentencia del Tribunal Supremo sobre el control empresarial de recursos informáticos.

-Informe AEPD sobre los mecanismos de denuncia interna (WHISTLEBOWING).

Este proyecto fue desarrollado por la Oficina de Comercio Gubernamental (OGC) para actualizar la información muy popular para la gestión publicada por primera vez en 2005. La información se aplica en general a todas las mejores prácticas TI pero se centra en específicamente en tres prácticas y normas que están siendo ampliamente adoptadas en todo el mundo. La publicación se ha actualizado para reflejar las últimas versiones:

Esta publicación es de descarga libre en pdf desde ISACA

El pasado 09 de Diciembre fue publicada por la entidad de normalización AENOR la edición española del estándar ISO/IEC 27002 y que está disponible para su adquisición por un precio de 56,55 EUR y descarga en Sección "normas" de la entidad normalizadora AENOR.

Esta publicación se une a otras traducciones ya existentes y publicadas en español como NTC ISO/IEC 27001:2006 ICONTEC (Colombia), NTP ISO/IEC 17799:2007 INDECOPI (Perú)

Nueva propuesta de herramientas gratuitas para el control "14.1.2 Continuidad de negocio y análisis de impactos"

Se incluye así mismo en "15.1.4. Protección de datos de carácter personal y de la intimidad de las personas" una herramienta de diagnóstico basado en un autotest basado en preguntas con respuesta múltiple. Al final, la Agencia Española de Protección de Datos, le facilita un informe con indicaciones y recursos que le orienten, en su caso, para cumplir con lo dispuesto en la LOPD.

Empresa de consultoría dedicada a la búsqueda y selección de profesionales informáticos nos remite la siguiente oferta de empleo relacionada con la Seguridad Informática:

Puesto: Técnico de Sistemas de Seguridad Informática

Sólida experiencia en:
* Firewalls,
* Gestión de Identidades,
* IDM (por ejemplo el Sun Identity Manager ),
* Vulnerabilidades y PKI.
Deseable: Conocimientos de ISO27000, gestión de IDS, IPS y antivirus.

El enfoque del puesto en un perfíl más operativo que de consultoría.

Contrato indefinido y localizado en Madrid norte.

Los interesados pueden enviar CV actualizado a la dirección de correo: Arturo Gutierrez - SELTIME SL

Publicados en BOE de 29 de Enero la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Enlace al Consejo Superior de Administración electrónica.

El objeto del Esquema Nacional de Interoperabilidades es comprender el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones Públicas para la toma de decisiones tecnológicas que garanticen la interoperabilidad.

Enlace al Consejo Superior de Administración electrónica.

Otros enlaces de interés Artículo sobre el European Privacy Seal.

Junto con la Red Europea de Información y Seguridad (ENISA), el Cloud Security Alliance (CSA) y ISACA, tres de las principales organizaciones del sector, Barcelona Digital participa en la coordinación del programa y en la selección de los ponentes, entre los cuales destacan Dave Cullinane, delegado de Información y Seguridad de Ebay y presidente de la Junta del CSA, y el Dr. Udo Helmbrecht, director ejecutivo de ENISA.

También destaca la colaboración en el acontecimiento de la Secretaria de Telecomunicacions i Societad de la Informació de la Generalitat de Catalunya, que participará en un panel de seguridad en infraestructuras Cloud per eGoverment.

El SecureCloud 2010 es un encuentro gratuito, dirigido a emprendedores, líderes empresariales, responsables políticos y, en global, a profesionales de la seguridad de la información, y pretende acercar la seguridad de la red a la ciudadanía, así como convertirse en un espacio de networking empresarial, para poner en contacto a líderes políticos con expertos del sector.

Enlace a la noticia completa en español del evento.

. Enlace al registro al evento.

.

El Centro Nacional de Protección de Infraestructuras Críticas, CNPIC, del Ministerio de Interior, en colaboración con la empresa TB·Security ha organizado el I Foro Internacional CIIP que tendrá lugar en Madrid los días 18 y 19 de febrero de 2010, y que servirá de base para generar un espacio de discusión en el que organizaciones tanto públicas como privadas de los ámbitos nacional e internacional puedan debatir sobre los distintos aspectos que afectan a la Protección de las Infraestructuras Críticas de la Información.

De este modo, el objetivo es la búsqueda de nuevas vías de conocimiento y colaboración transnacional entre todos los agentes implicados. Algunos de los más importantes representantes en la materia estarán presentes en el evento, difundiendo entre los asistentes su experiencia en la Protección de las Infraestructuras Críticas de la Información.

Consulte la página web del evento .

para más información.

SGS Formación nos remite su calendario de formación para primer semestre de 2010 para su difusion entre los interesados.

Entre los cursos que SGS tiene programados próximamente están:

- 22 al 26 de Febrero, Auditor Jefe ISO 20000 certificado IRCA .
- 08 al 12 de Marzo, Curso oficial BCI de Continuidad de Negocio.
- 19 al 23 de Abril, Auditor Jefe ISO 27001 certificado IRCA.
- 05 al 09 de Abril, Auditor Jefe BS 25999 certificado IRCA.
- 03 al 04 de Marzo, COBIT y VAL IT Implementation acreditado ISACA.

Más información e inscripciones en el Telf.: +34 91 353 25 00 Lorena López.

BSI España nos remite su calendario de formación para 2010 para su difusion entre los interesados.

Entre los cursos que BSI España tiene programados próximamente están:

- 15 al 17 de Marzo, Implantación ISO 27001 en Barcelona.
- 08 al 12 de Marzo, Auditor Jefe ISO 27001 en Barcelona.
- 02 al 03 de Marzo, Implantación BS 25999 Continuidad de Negocio en Madrid.
- 15 al 19 de Febrero, Auditor Jefe BS 25999 Continuidad de Negocio en Madrid.
- 22 al 26 de Marzo, Auditor Jefe BS 25999 Continuidad de Negocio en Madrid.

Más información e inscripciones para ISO 27001 en www.bsigroup.es.

Más información e inscripciones para BS 25999 en www.bsigroup.es.

Cerca de cien profesionales de la Privacidad de Datos se reunieron el pasado día 21 en Madrid en el marco del I Foro organizado por el Data Privacy Institute, una iniciativa de la Asociación para el Fomento de la Seguridad de la Información, ISMS Forum Spain, y dirigida por el experto en Privacidad Antoni Bosch. El encuentro, titulado “Recetas para la Privacidad" se centró en el sector sanitario, cuya idiosincrasia conlleva delicadas e importantes connotaciones en materia de protección de la información y privacidad de los datos personales. Todo ello con el fin de contribuir a lograr una mejor asistencia al paciente que, coinciden todos los expertos que intervinieron en el foro, debe ser siempre el foco prioritario a la hora de afrontar esta materia.

Enlace a artículo completo en Boletín Dintel.

El Observatorio de la Seguridad de la Información de INTECO hace públicos los resultados del Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas.

Descarga del informe disponible en Observatorio INTECO.

El Consorcio ISM3 ha alcanzado un acuerdo con The Open Group, por el cual The Open Group toma el relevo en la publicación de este estándar.

The Open Group es un consorcio neutral tanto tecnológica como comercialmente, propietario de la marca registrada UNIX©, y mantiene estándares tan importantes como POSIX.

Entre sus miembros cuenta a empresas como Accenture, Boeing, Capgemini, Hewlett-Packard, HSBC, IBM, Intel, NEC, Oracle, SAP y Sun.

En la reciente Conferencia celebrada por The Open Group en Seattle (USA) entre los días 1 y 5 de Febrero se presentó el ISM3.

ISM3 organiza el curso "Implementación de Procesos de Seguridad de Alto Rendimiento", que tendrá lugar en Madrid entre el 23 y el 26 de Febrero de 2010. En la página ISM3 se pueden consultar todos los detalles relacionados.

Para conocer de primera mano la iniciativa se puede consultar el enlace al podcast Vicente Aceituno.

El pasado 10 de Diciembre fue aprobada y el 15 de Diciembre publicada la primera parte del estándar ISO/IEC 27033 y está disponible para su adquisición y descarga en inglés en iso.org.

ISO / IEC 27033-1:2009 proporciona una visión general de seguridad de red y de las definiciones relacionadas. Define y describe los conceptos asociados y proporciona orientación sobre la gestión de la seguridad de la red. (La seguridad de la red incluye la seguridad de los dispositivos, la seguridad de las actividades de gestión relacionadas con los dispositivos, aplicaciones y servicios y a los usuarios finales, además de la seguridad de la información que se transfiere a través de los enlaces de comunicación.)

El estándar es de interés para aquellos involucrados en la posesión, explotación o uso de una red. Esto incluye a los altos directivos y otros directores técnicos o usuarios, además de los directores y administradores que tienen responsabilidades específicas para la seguridad de la información y/o seguridad de la red, el funcionamiento de la red, o quienes son responsables de programas globales de seguridad para la organización y el desarrollo de políticas de seguridad. También es de interés para cualquier persona involucrada en la planificación, diseño y aplicación de los aspectos arquitectónicos de la seguridad de la red.

El nuevo estándar sustituye al estándar ISO/IEC 18028-1:2006 y ofrece una visión general de la serie ISO/IEC 27033 como una "hoja de ruta" para todas las demás partes que están previsto ser desarrolladas.

Se puede consultar la introducción a la norma original en webstore.iec.ch.

El próximo 21 de enero de 2010 la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, celebrará el I Foro del Data Privacy Institute (DPI) titulado “Recetas para la Privacidad de Datos que tratará sobre la protección de datos en el sector sanitario.

El lugar de celebración será la Sede del Consejo General de Colegios de Médicos de España (CGCOM) (Plaza de las Cortes, 11 - Madrid).

El evento está organizado por ISMS Forum Spain - Data Privacy Institute, colabora CGCOM y la información completa del programa como el registro (gratuito para socios) se pueden realizar online desde ismsforum.es.

En relación al control 10.6.2 añadimos dos referencias que pueden ser de utilidad para la gestión de la seguridad en los servicios de red.

El acceso a las herramientas de auditoría de routers de Cisco así como la guía SAFE en formato pdf están disponibles en wiki ISO 27002.

El "MetricsCenter" se dedica a proveer información para el diseño y la prestación de servicios relacionados con métricas de seguridad de manera accesible a los profesionales de Seguridad de la Información.

Un análisis cuantitativo riguroso es necesario para descartar en las tomas de decisiones las hipótesis sin fundamento y una ambigua orientación de las denominadas "mejores prácticas". La Seguridad de la Información, así como los sistemas y la gestión de redes especializada, debe madurar y convertirse en una disciplina financiera con criterios transparentes y comprensibles para la consecución de metas y la rentabilidad de inversiones.

Acceso al catálogo de métricas de aceso público y para PCI DSS, NIST o ISO27002 entre otros disponible en MetricsCenter.

ISACA® tiene el gusto de anunciar la cuarta conferencia anual Latinoamericana de Seguridad de Información, diseñada para satisfacer una variedad de sesiones que atañen a la comunidad responsable de seguridad de la tecnología de información. El evento presentará dos pistas simultáneas de temas relacionados con el aspecto gerencial y aspectos prácticos de la seguridad de información.

Tendrá lugar del 1 al 2 de Marzo de 2010 en el Hotel Cosmos 100 de Bogotá, Colombia.

Acceso a inscripción e información en ISACA.

Presentación desarrollada en las conferencias del pasado Netfocus de Bruselas con información de referencia acerca de todos los procesos y actividades de la metodología de riesgos para la seguridad de la información según ISO 27005 y que incluye un ejemplo de hojas de cálculo asociadas.

Enlace a los distintos formatos de la presentación disponibles en HSC.

Acceso directo a la modelización de las actividades del estándar ISO 27005.

Con ello la ONP se ha configurado como la primera entidad estatal en el Perú en obtener este galardón y el segundo en Sudamérica en lograr este reconocimiento.

“Los sistemas de pensiones que administra la ONP, están compuestos por servicios y procesos masivos, en los que la gestión de la información es uno de los activos más importantes, no solo para empresas y organizaciones, sino fundamentalmente para cada asegurado de manera individual. Es por ello que la información requiere ser asegurada y protegida apropiadamente", señaló Roberto Puyó Valladares, Oficial de Seguridad de la Información de la ONP.

Consulta a la noticia completa en CIO

Consulta a la base de datos sobre este certificado internacional en BSI Group

Como parte de sus productos Callio pone a disposición distintos documentos orientativos de apoyo a la implantación de controles relaciones con la seguridad de la información dentro de las empresas.

Los enlaces a los distintos documentos están incorporándose al al proyecto wiki 27000 desde los distintos apartados según estándar ISO 27002 y el acceso directo a todos los recursos está disponible desde la propia web de Callio.

El Manual de Seguridad de la Información que pone a disposición el Gobierno de Australia ofrece un marco que permite abordar tanto los nuevos riesgos de seguridad como los ya existentes en los sistemas, mientras se desarrolla el negocio de manera eficaz.

El manual permite orientar de una manera bastante completa cómo desarrollar las diferentes partes de forma similar a como se realiza con estándares como ISO 27001 y proporciona la flexibilidad necesaria para adaptar los requisitos a las propias necesidades de negocio mediante el uso de un riguroso proceso de gestión de riesgos.

Acceso al documento en pdf desde dsd.gov.au.

El programa de certificación de NAID establece estándares para los procesos de destrucción segura en áreas como la seguridad, contratación del personal y procesos operacionales de destrucción y seguros.

Desde su web se pueden consultar las empresas asociadas a nivel internacional.

Acceso al nuevo programa de certificación publicado en Enero de 2010 en NAID.

INTECO pone a disposición un curso introductorio a los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma UNE-ISO/IEC 27001. Se darán a conocer los conceptos básicos necesarios para introducir al usuario en la gestión de la Seguridad de la Información, así como conocer la dimensión y alcance que suponen la implantación, certificación y mantenimiento de un Sistema de Gestión de Seguridad de la Información en una Organización, en base a la norma ISO/IEC 27001.

?Duración del curso: 20 horas.

?Coste del curso: gratuito.

?Formación previa requerida: No se requiere formación previa.

Acceso a inscripción e información en INTECO.

El pasado 11 de Noviembre fue aprobada para su publicación final el 15 de Noviembre de la segunda parte del estándar ISO/IEC 19770 disponible para su adquisición y descarga en inglés en iso.org.

ISO / IEC 19770-2 establece las especificaciones para el etiquetado del software con el objetivo de optimizar su identificación y gestión.

El estándar continua con la serie iniciada por ISO/IEC 19770-1 de 2006 y el previsualizado de ambos documentos está disponible en la Webstore del IEC.

La gira Up To Secure 2010 recoge temas de actualidad en la seguridad informática para poder ayudar en la tarea continua de mantener la infraestructura de la empresa al día, segura y mejorando constantemente.

Agenda:

09:00 - 09:15 Registro

09:15 - 10:00 D-Link: Circuitos de Vídeo vigilancia IP

10:00 - 10:45 SmartAccess: Portátiles corporativos a prueba de robos

10:45 - 11:30 Café

11:15 - 12:00 Quest Software: Estrategia ante desastres en AD y Exchange

12:00 - 12:45 Microsoft Technet: Forefront Protection, Corporate Client Security

12:45 - 13:30 Informática 64: Guerras Navales

13:30 - 13:45 Preguntas

Información y fechas en boletín Dintel.

Recien cumplido el IV aniversario y en nuestra continuada labor de promover los Sistemas de Gestion de la Seguridad de la Información en base al estándar internacional ISO 27001 y la serie ISO 27000 nos hemos animado a renovar nuestra querida página y herramienta de trabajo iso27000.es

Además del evidente cambio más o menos vistoso en el diseño, realmente lo interesante a destacar es:

- Los apartados de los menús de cabecera y de la barra lateral son similares a los anteriores para respetar las rutas de acceso a contenidos conocidas por todos;

- Mejoras en el acceso a contenidos desde dispositivos móviles respecto a la anterior y que echábamos de menos cada vez con más frecuencia cuando estamos fuera de oficina;

- Mayor amplitud de las áreas para el acceso y lectura de los contenidos;

- Mejoras en la presentación de noticias/artículos/podcast mediante el uso integrado de Grazr y que permite disponer un mayor grado de personalización del modo de lectura desde su menu "view" mediante el uso de "outline" (con expansión o vista breve de las entradas), "slider" o "three pane";

- Integración con nuestro proyecto Wiki iso27002 mediante los apartados específicos en los que los que se referencian posibles soluciones e información de interés para cada control y en el que existen más de 300 usuarios dados de alta para consultas y aporte de comentarios.

El proceso de renovación de la página ha sido prolongado motivado por una carga importante de trabajo en que los dos autores de iso27000.es y del wiki nos hemos visto envueltos y que demuestra que la implantacion de los SGSI en las empresas de cada vez más paises avanza con fuerza y se han despejado defintivamente muchas de las incognitas y dudas que se planteaban en foros y reuniones de tan sólo hace un par de años.

Esperamos que lo que empezó siendo la herramienta de trabajo colaborativa en 2005 de dos personas sea la de cada vez más profesionales para el beneficio del conocimiento de todos.

Como avanzaba la propia Paloma Llaneza en exclusiva el pasado mes de Octubre, ha sido publicado el estándar ISO/IEC 27004 y está disponible desde el 07 de Diciembre para su adquisición en iso.org.

ISO / IEC 27004:2009 proporciona orientación sobre el desarrollo y la utilización de métricas para la medición y evalución de la eficacia de la aplicación de los controles o grupos de control, tal como se especifica en la norma ISO/IEC 27001.

El Consejo Superior de Informática acaba de hacer público el borrador de Real Decreto (http://www.csae.map.es/csi/pdf/20090715_Proyecto_RD_ENS_cn.pdf) del Esquema Nacional de Seguridad.

La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Fuente de la noticia e información en blog de Audea.

Los gremios empresariales piden al Ministerio de Hacienda que se garantice la confidencialidad de la información patrimonial declarada por los contribuyentes del Impuesto a la Renta Personal (IRP).

Los empresarios temen que la información patrimonial y el pago de los impuestos que realizarán como contribuyentes del IRP tomen estado público, en un momento de inseguridad que vive el país por los secuestros.

Carlos Jorge Biedermann, presidente de la Cámara de Anunciantes del Paraguay (CAP), sostuvo que se deben tomar todos los recaudos para asegurar que la información no sea utilizada en contra de las personas.

Noticia completa en Cryptex.

Keyloggers y spyware suponen el 19% de las brechas de seguridad en 2009 y herramientas de control remoto y ataques por inyecciones SQL estuvieron presentes en el 18% de incidentes.

Noticia completa e informes en Computerweekly.

Log análisis y gestión de logs pueden ayudar a la detección e investigación de brechas de seguridad.

Noticia completa en Darkreading.

La computación en nube además ha despertado un gran interés económico, por ejemplo, el IDC prevé un crecimiento de los servicios en nube en Europa de 971 millones de euros en 2008 a 6.005 millones de euros para 2013.

Pero tal y como señala este informe, la computación en nube es también un permiso de seguridad. El director ejecutivo de ENISA, el doctor Udo Helmbrecht, subrayó: "La escala€ y flexibilidad de la computación en nube proporciona a los proveedores un marco de seguridad. Por ejemplo, los proveedores pueden solicitar de forma instantánea recursos defensivos extra, como el filtrado y el re-enrutamiento. También pueden desplegar nuevos parches de seguridad más eficaces y mantener una evidencia completa para la diagnosis".

Descarga del informe en ENISA.

La entidad de certificación SGS comunica la impartición de los siguientes cursos en los próximos meses en Madrid, con descuentos especiales para matrículas realizadas durante Julio y Agosto:

Curso Oficial BCI de Continuidad de Negocio. PRESENCIAL. Fechas: 19-23 octubre; 14-18 diciembre. Duración: 40 h. Precio 2000 euros. DESCUENTO ESPECIAL DEL 30 % PARA LAS MATRÍCULAS QUE REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Experto en Diseño de Procesos y con la Especificación BPMN (impartido en colaboración con QINDIO). PRESENCIAL. Fechas: 28-30 septiembre, 11-13 noviembre y 9-11 de diciembre. Duración: 18 h. Precio: 600 euros. DESCUENTO ESPECIAL DEL 30 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Auditor Líder de Sistemas de Gestión de Seguridad de la Información Certificado por el IRCA. PRESENCIAL. Fechas: 21-25 septiembre; 26-30 octubre; 30 nov - 4 dic. Duración: 40 h. Precio: 1050 DESCUENTO ESPECIAL DEL 30 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Auditor Líder de Gestión de Servicios de Tecnologías de la Información Certificado por el IRCA. PRESENCIAL. Fechas: 14-18 septiembre; 5-9 octubre; diciembre. Duración: 40 h. Precio: 1050 DESCUENTO ESPECIAL DEL 30 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Implantación de Sistemas de Gestión de Seguridad de la Información (ISMS). PRESENCIAL. Fechas: 1-2 octubre; 2-3 noviembre. Duración: 15 h. Precio: 450 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Implantación de un Sistema de Tecnologías de la Información (ITSM). PRESENCIAL. Fechas: 27-28 julio; 5-6 octubre; 23-24 noviembre. Duración: 15 h. Precio: 450 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Fundamentos de Sistemas de Gestión de Seguridad de la Información. PRESENCIAL. 14 octubre; 10 diciembre. Duración: 8 h. Precio: 250 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Preparación para futuros consultores en ISO 27001 y en ISO 20000. PRESENCIAL. Fechas: Agosto y 2º semestre 2009. Duración: 50 h. Precio: 1700 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO.

Hacking Ético PRESENCIAL. (impartido en colaboración con QINDIO). Fechas: Septiembre y noviembre. Duración: 24 h. Precio: 2000 euros DESCUENTO ESPECIAL DEL 10 % PARA LAS MATRÍCULAS REALIZADAS EN LOS MESES DE JULIO - AGOSTO

Contacto:
SGS Tecnos, S.A.
Pº de la Castellana, 182 9ª Planta
28046 Madrid
Tfn: 913532508

Más información aquí.

Julian Fraser, director de "Data Eliminate Ltd" (compañía especializada en servicios de destrucción segura de datos) comenta en su blog algunos manuales de SGSI con su opinión sobre contenidos y organización.

Enlace a blog en Secure Data Destruction.

Breve resumen de las novedades producidas durante el mes de junio de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

Información disponible en Hispasec.

Free SIM Tools rescatan dinero - y quizás tus datos.

Acceso al Artículo en Darkreading.

Talking Business Continuity pone a disposicón gratuita información acerca de diferentes aspectos de la Gestión de la Continuidad del Negocio y la forma en que se inscribe en la gestión de la organización.

Acceso al Boletín y Artículos relacionados en Talking Business Continuity.

El próximo martes 14 de julio en el Salón de Actos del Consejo General de Colegios de Médicos (Plaza de las Cortes, 11, 3ª planta. Madrid) y a partir de las 9:45 horas (acreditación previo registro) comenzará el acto puntualmente a las 10:00 horas.

ISMS Forum Spain arranca un nuevo proyecto, el Data Privacy Institute (DPI), cuya vocación es aglutinar a todas las personas y organizaciones que tienen interés y responsabilidades en la privacidad y la protección de datos personales, promoviendo la formación y excelencia de sus asociados y facilitándoles cauces de interlocución con las administraciones y autoridades de control.

El DPI pretende asimismo ser una vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles.

Los socios de ISMS Forum Spain pasan a ser miembros del DPI automáticamente y podrán acceder por ello en condiciones preferentes a las actividades e iniciativas que se organicen en el seno de este nuevo instituto.

Noticia y registro en ISMS Forum.

"En Abril del presente año la SBS elaboró y distribuyó la circular G-140, la cual exige que las organizaciones que están sujetas a su mecanismo regulador, implanten un sistema orientado a controlar el riesgo operativo de las instituciones, a través de un Sistema de Gestión de Seguridad de Información (SGSI). Lo interesante es que se plantea en la Circular G-140, que el ISO 27001:2005 debiera tomarse como referencia. "

Acceso al Boletín y Artículos relacionados en Eficiencia Gerencial.

"En la vida cotidiana 'toda la culpa la tiene el Gobierno'. Pero estas líneas no pretenden ser un compendio de recriminaciones al partido político en el poder, sino reflexiones sobre la importancia de nuestras decisiones en materia de TI y los aspectos a considerar para gobernarlas adecuadamente. "

Artículo de Jose Manuel Fernández disponible en computing.es.

El Equipo M45 de Seguridad de la Información surgido dentro del Cluster TIC de Asturias acaba de publicar su nuevo espacio en Internet en el que, además de información comercial sobre sus servicios, capacitaciones o compañías integrantes, incluye también noticias relevantes sobre seguridad y un nuevo Blog colaborativo del equipo, en el que periódicamente escriben buena parte de sus integrantes sobre distintos temas dentro del área de la Seguridad de la Información.

Accesible desde www.equipom45.es, esta nueva web pretende ser un punto de encuentro para las personas (profesionales o no) con intereses en Seguridad de la Información y un medio de intercambio de ideas, opiniones y experiencias entre los integrantes del Equipo M45 y la comunidad.

M45 tiene un ámbito de actuación nacional y está integrado por 14 profesionales procedentes de las empresas Chipbip, Contein XXI, Futuver, Grupo Intermark, Legal Protect, Neosystems, Óbice, Satec, Sigea y Vorago.

La adaptación a la normativa europea que se lleva a cabo mediante la LOPD supone la introducción en el ordenamiento jurídico español una serie de novedades respecto de su predecesora la LORTAD.

Artículo completo y otros relacionados en Audea.

BS 10012:2009 es una especificación de un sistema de gestión sobre la protección de datos recientemente publicada.

Más información y adquisición de la publicación en BSI Group.

BSI España tiene programados próximamente los siguientes cursos de Auditor Jefe de ISO 27001 en España:

- 13-17 julio, en Madrid.
- 20-24 julio, en Valencia.
- 14-18 septiembre, en Madrid.
- 14-18 septiembre, en Barcelona.
- 21-25 septiembre, en Marbella.

En estos cursos se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el correspondiente certificado. Certificación ésta de Lead Auditor en ISO 27001 que, progresivamente, el mercado va exigiendo cada vez más a los profesionales de la seguridad de la información.

Más información e inscripciones en www.bsigroup.es.

La Agencia Europea ENISA lanza dos informes, con tres recomendaciones sobre la aparición de nuevas tecnologías y su potencial para mejorar la resistencia de las redes de comunicación

Acceso a los informes en ENISA.

El cuarto "Global Security Challenge Competition", la principal competición internacional en materia de innovación en seguridad se inició el pasado mes de Mayo y ofrece a los empresarios la oportunidad de exponer sus invenciones en seguridad y competir por un máximo de 500.000 dólares en subvenciones en efectivo.

El concurso tiene como objetivo identificar, analizar y fomentar la innovación en el campo de la tecnología de seguridad y apoyar el desarrollo de tecnologías innovadoras de modo que se garantice su éxito.

La selección de empresas de nueva creación y las PYMEs presentará sus ideas a los expertos del comité en seis eventos de los comités regionales en toda Europa, Asia y América del Norte. Los ganadores de cada evento regional pasarán a la gran final, que se celebrará en la Cumbre de Seguridad de la GCS en Londres el 13 de noviembre de 2009. Los ganadores de la final recibirán donaciones en efectivo, tutelaje y la inestimable ayuda de la publicidad y exposiciones.

Registro abierto hasta el 15 de Junio en GSC.

El Centro para la Seguridad en Internet (Center for Internet Security) ha publicado una serie de parámetros para que las organizaciones puedan utilizar libremente en la medición de sus posiciones en seguridad.

CIS es una coalición de empresas, agencias gubernamentales, universidades y proveedores de todo el mundo que en septiembre ofreció una primera visión global del proyecto de métricas orientada a los usuarios.

La presente publicación contiene veinte (20) definiciones métricas por seis (6) importantes funcionespara que las organizaciones midan sus operaciones clave y la seguridad: gestión de incidentes, gestión de vulnerabilidades, administración de parches, la seguridad de las aplicaciones, gestión de la configuración y métricas financieras. .

Existen proyectos similares como el promovido por Microsoft Project Quant en la misma línea y que buscan promover el uso de métricas útiles para conocer el grado de efectividad de las medidas además del retorno de inversión de las mismas para el negocio.

Descarga gratuita previo registro en Cisecurity.org.

Microsoft aportó a los desarrolladores recientemente otra herramienta libre para la adopción de su programa para el ciclo de vida para el desarrollo seguro (SDL).

Artículo en Darkreading.

Herramienta en Microsoft.

"Tal y como cita Bruce Schneier unos investigadores pudieron hackear e interceptar una botnet durante varios días y aprender sobre cómo funciona mientras estaba todavía activa, algo interesante a lo que no siempre es posible tener acceso. Era una botnet llamada Torpig que recopilaba información personal y de transacciones financieras."

Información con enlace al informe en PDF del trabajo en Microsiervos.

"Patricia Vanaclocha, de S2 Grupo tiene dos entradas excelentes que describen perfectamente la problemática que se plantea cuando uno se embarca en esto de construir un SGSI."

Información y enlaces en Blog Javier Cao.

Publicada por la recientemente constituida "Cloud Security Alliance" es un informe de 83 páginas en los que se desarrollan las buenas prácticas a considerar en el tratamiento de la información en "la nube"

Enlace a descarga en PDF disponible desde Cloudsecurityalliance.org.

Presentaciones con su correspondiente audio de las ponencias realizadas por figuras destacadas y disponibles para su descarga libre.

Enlace a ponentes y ficheros en Infosec.

La empresa TB·Security ofrece en Madrid del 15 al 19 de junio este curso, cuyos principales puntos (impartido en español, con material en inglés) son los siguientes:

- Procesos, políticas, procedimientos y herramientas para la gestión de incidentes

- Ataques de intrusión más comunes y tendencias, categoráis de código dañino y otras herramientas de ataque

- Spam, phisghing, email spoofing...

- Operaciones de un CSIRT

Más Información en TB-Security.

Los cursos puestos a disposición por la consultora "Audea" son:

- Implantación de la LOPD en las empresas: en el curso se ofrecerán las nociones básicas para la realización de la adecuación de una empresa a la normativa vigente en materia de protección de datos personales.

-Test intrusión: en el curso se presentarán las herramientas necesarias para conocer las  vulnerabilidades de  las aplicaciones desarrolladas  y los sistemas utilizados en la empresa.

- SGSI: curso introductorio a  los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI).  Ciclo de implantación PDCA. 

- Análisis de Riesgos: concepto y pasos a seguir para una adecuada evaluación de los riesgos  relacionados con la seguridad de la información de una empresa

- Plan de Continuidad de Negocio (PCN):  concepto y pasos a seguir para una adecuada planificación de la continuidad de las actividades críticas para el negocio 

Los cursos tendrán una duración estimada de 2h entregándose, a la finalización de los mismos, un diploma acreditativo de la asistencia a los mismos.

Más Información en teléfono de contacto 91 745 11 57 y en Audea.

Dicha organización estará a disposición de entidades gubernamentales o privadas para asesorar en materias relacionadas con cyberseguridad, con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciará la innovación y el crecimiento económico.

Noticia completa en, Panda Security.

Recientemente ha sido publicada ISO/IEC 27000, con el título de "Information technology. Security techniques. Information security management systems. Overview and vocabulary".

Está disponible para su descarga gratuita, previa aceptación de las condiciones de la licencia, aquí.

BSI España tiene programados próximamente los siguientes cursos de Auditor Jefe de ISO 27001 en España:

- 15 al 19 de Junio, en Madrid.
- 15 al 19 de Junio, en Barcelona.
- 13 al 17 de Julio, en Madrid.

En estos cursos se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el correspondiente certificado. Certificación ésta de Lead Auditor en ISO 27001 que, progresivamente, el mercado va exigiendo cada vez más a los profesionales de la seguridad de la información.

Más información e inscripciones en www.bsigroup.es.

Paloma Llaneza anuncia en su blog el paso de ISO 27004 (métricas de gestión de seguridad de la información) al estado de FDIS (Final Draft International Standard), lo cual indica que verá la luz pública antes de final de año.

A raíz de la publicación para comentarios del estándar NIST 800-16, Gary Hinson hace algunos interesantes comentarios acerca de los términos concienciación y formación en seguridad de la información y de las distintas formas de abordarlas.

A fecha de Abril de 2009, hay 5.314 organizaciones con certificación acreditada en ISO 27001 en el mundo, según el conocido registro "International Register of ISMS Certificates".

Encabeza la lista, como desde hace años, Japón, con 2.999 certificaciones, le sigue India con 441 y Reino Unido con 395.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

España: 35.
México: 20.
Colombia: 5.
Chile: 3.
Perú: 3.
Uruguay: 1.
Argentina: 1.

La Asociación de Ingenieros de Telecomunicación de Aragón organiza un seminario de seguridad en red en Zaragoza el 26 y 27 de Mayo.

Más información e inscripciones en AITAR.

Recientemente, BSI España ha hecho entrega a Loterías y Apuestas del Estado (L.A.E.) de los certificados obtenidos simultáneamente frente a los estándares de Calidad ISO 9001:2008, de Seguridad de la Información ISO/IEC 27001:2005, de Control de Seguridad de la Asociación Mundial de Loterías y PAS-99 de Gestión Integrada.

L.A.E. dispone de un Sistema Integrado de Gestión que cubre todas sus actividades -como operador de juegos- en sus diferentes sedes y centros de trabajo, tanto en aspectos relativos a la calidad como a la seguridad de la información.

Más información en BSI y LAE.

La empresa EGP (Eficiencia Gerencial y Productividad) y impartirá en Santo Domingo (República Dominicana) los siguientes cursos:

- 22 al 23 de Junio: Investigación de delitos informáticos.
- 24 al 25 de Junio: Diseño de un plan de continuidad de negocio.

Más información e inscripciones en www.eficienciagerencial.com.

Este ejemplo de plan es una adaptación del documento "Pandemic Flu: A national framework for responding to an influenza pandemic" del Departamento de Salud del Reino Unido.

Descarga del documento PDF desde talkingbusinesscontinuity

Se celebrará el próximo 28 de mayo de 2009 en el Auditorio Mutua Madrileña, Pº Castellana 33, Madrid.

Los objetivos de esta jornada son:

- Conocer los modelos y estructuras más óptimas de la organización de la gestión de la Seguridad de la Información de la mano de reconocidos expertos españoles e internacionales.

- Ampliar conocimientos sobre la figura del CISO: cuáles son sus competencias, qué habilidades tiene que tener, cómo es la composición de su equipo ideal y cuáles son los retos más importantes que afronta.

- Intercambiar experiencias y hacer networking con cerca de 300 profesionales y expertos en seguridad de la información en sesiones muy participativas y abiertas al debate.

Inscripción antes del 20 de Mayo en ISMSFORUM

Encuentro organizado por econique Iberia que congregará a la élite del sector y que cuenta con un panel de ponentes del más alto nivel, en el que se incluyen expertos de Telefónica, Grupo Prisa, Grupo FCC, Grupo Iberdrola, la CNMV, Grupo Gas Natural, Caja Madrid, Sanitas, el Cuerpo Nacional de Policía, Bankinter, ONO y la Comunidad de Madrid.

Diálogo CxO tratará de los siguientes temas, entre otros:

* Continuidad del Negocio - BCM/Business Continuity Management
* Gestión de Seguridad Corporativa
* Análisis de Riesgos y Gestión de Proyectos
* Gestión integrada de GRC - Gobierno, Riesgo y Cumplimiento en TI
* Seguridad en aplicaciones web
* Riesgos de criminalidad empresarial y cibernética, espionaje industrial, perfiles criminales, cyberwar, ciberdelincuencia
* Seguridad en Red
* Seguridad de la Información
* Gestión y Prevención de Pérdidas de Información
* Disaster Recovery
* Cloud Computing
* SaaS-Software as a Service
* Gestión de Identidades - IAM/Identity Access Management
* Gestión sistematizada de la seguridad en TI (ISO 27001)
* Prevención, detección e investigación del fraude informático y estrategias de defensa

Más información en Econique

De acuerdo con la información aportada por el director de la Agencia Española de Protección de datos (AEPD) Artemi Rallo en una reciente entrevista se han disparado las inscripciones de los ficheros de videovigilancia especialmente en el entorno privado. En los dos últimos años se ha triplicado el número de ficheros que tenían registrados las comunidades de vecinos en el Registro General de Protección de Datos (RGPD), y ha pasado de 341 ficheros en el año 2007 para alcanzar los 1.108 el año pasado.

Acceso a recomenciones de cumplimiento en Audea

Una pequeña causa puede multiplicarse de tal modo que acabe produciendo un resultado catastrófico.

En determinados sistemas, pequeños cambios en las condiciones iniciales conducen a enormes discrepancias en los resultados. Este principio acuñado por Lorentz, suele llamarse “efecto mariposa" y su nombre proviene de un antiguo proverbio chino: "el aleteo de una mariposa en la Selva Amazónica, puede provocar un ciclón en el Caribe". Con ello pretendemos indicar aquellas situaciones en las que una pequeña causa puede multiplicarse de tal modo que acabe produciendo un resultado catastrófico.

Artículo de Miguel Torres de Steria para Auditoria y Seguridad

Los próximos 12, 13 y 14 de mayo se celebrará la tercera edición del CeCOS (Counter e-Crime Operations Summit), una conferencia anual internacional sobre la lucha contra el crimen electrónico, que en esta ocasión tendrá lugar en Barcelona (en las dependencias del hotel AB Skipper), y que reunirá a expertos en cibercrimen de diversos ámbitos: Equipos de Respuesta ante Incidentes de Seguridad (CERTs/ CSIRTs), tanto públicos como privados, fuerzas policiales especializadas, profesionales de informática forense, etcétera.

Todos ellos pondrán en común los últimos avances técnicos contra el phishing y la ciberdelincuencia, a la vez que analizarán los resultados obtenidos mediante medidas técnicas, operacionales y políticas para establecer los procesos más efectivos. No en vano, uno de los objetivos del encuentro es unificar la respuesta de la industria y el sector público ante la creciente amenaza que supone el cibercrimen a nivel mundial.

Entre las empresas participantes se encuentran empresas patrocinadoras como tbSecurity, Deloitte, Symantec, Ecija, RSA, GMV, Maktmonitor, S21Sec, La Caixa o Telefónica.

Más información en Econique

BIA y RA son cosas distintas, por lo que su comparación no puede hacerse directamente. Incluso se podría decir que RA no se relaciona directamente con el BIA.

Interesantes notas de Carlos Ormella para nuestra sección de artículos

La diferencia entre seguridad informática y seguridad de la información es un elemento diferencial de importancia en la práctica de los especialistas en seguridad.

Interesante artículo que nos manda Carlos Ormella

PAS 97 ha sido escrita para ayudar a prevenir los ataques a sistemas de correo. PAS 97 es una especificación para el cribado de correo y la seguridad para ayudar a las organizaciones a reducir el riesgo de daño a las operaciones y el personal.

Incluso en esta era electrónica, la mayoría de las empresas y otras organizaciones necesitan de la capacidad para recibir y enviar artículos físicos por correo. Como parte esencial de las operaciones normales, el correo presenta diversas vulnerabilidades potencialmente significativas.

Los servicios postales en el seno de una organización y el vector de ataques maliciosos junto al alcance de otros incidentes de seguridad puede afectar adversamente el día a día del negocio de la organización, así como su reputación.

Más información y descarga en BSI

En el mundo de hoy muchas empresas se están moviendo en el ámbito de la virtualización.

Aunque esta nueva tecnología permite a las empresas reproducir diferentes servidores y equipos de sobremesa virtuales, también crea nuevos problemas en la seguridad.

En este trabajo vamos a echarle un vistazo a lo que es la virtualización, ya que se aplica a los servidores y ordenadores de usuarios.

Descarga en PDF en Infosecwriters por Brian Fowler

La Protección de Datos Personales: Soluciones en entornos Microsoft, versión 2.0' es la edición revisada de una primera obra lanzada en 2002, incluyendo todas las novedades que se han producido en la LOPD en los últimos años. Está disponible para su descarga libre y gratuita.

El libro es parte del compromiso de Microsoft por ayudar a ciudadanos y empresas a salvaguardar la privacidad de los datos personales, para lo cual, la compañía está trabajando conjuntamente en labores de concienciación sobre la protección de la identidad on line con entidades como AEPD y red.es, y poniendo la garantía de la seguridad y privacidad como requisito de diseño indispensable en todos los productos, como es el caso del reciente Internet Explorer 8.

Fuente de la noticia Cibersur

Descarga en PDF en Libro LOPD V2

Elaborado por la consultora española TB.Security, se prevé que el mercado de la Seguridad de la Información en España crezca un 74% en cinco años. El crecimiento promedio anual será del 13% hasta 2012, y pasará de un volumen de 970 millones de euros en 2008 a cerca de 1.700 millones en 2012.

Estas cifras, sitúan al segmento de la seguridad como uno de los motores del crecimiento del sector TI en España que, en conjunto mantendrá un crecimiento plano o incluso negativo (-1%) en este año 2009, pero que iniciará una lenta recuperación hacia mediados del 2010, cuando se prevé una subida del 2,2%.

Información completa en TB Security

La “Gestión del Riesgo" en todos los quehaceres organizacionales se esta convirtiendo en un requerimiento para el aumento de la competitividad de la empresa.

Si la empresa esta inmiscuida en la instauración de un modelo de seguridad de información como el ISO 27001:2005 el concepto y manejo del riesgo de los activos de información es fundamental. Si la empresa esta involucrada en la implantación de un sistema de manejo de continuidad del negocio, tal como el modelo BS 25999-2:2007 o el BS 25777-1:2008, el manejo adecuado de los riesgos de las actividades críticas del negocio es importantísima.

Han aparecido una serie de estándares, que tienen impacto en los nuevos mercados internacionales.

* El BS 31100 “Gestión del Riesgo: Código de Buenas Prácticas",
* El BS 25777-1:2008 “Código de Buenas Prácticas para la Continuidad del Negocio en Tecnología de Información y Comunicación",
* El ISO/IEC 27005:2008 “Gestión de Riesgos de Información, y
* El ISO 28000:2007 “Sistemas de Gestión de la Seguridad para la Cadena de Suministros".
Estos son los estándares que a continuación se presentan al lector.

Información completa en Eficiencia Gerencial

"Desde la perspectiva del ISO 27001:2005 “Sistema de Gestión de Seguridad de Información", nos podríamos preguntar, ¿qué le pasó a Starwoods Hotels & Resorts Worldwide? ¿Hizo una identificación de los activos de información de impacto en el negocio y su respectivo análisis y evaluación del riesgo? ¿Se seleccionaron los controles que pudiesen haber minimizado los riesgos de robo de información? Por ejemplo los controles:

A.6.1.5 “Acuerdos Sobre Confidencialidad",
A. 7.2.1 “Directrices de Clasificación de Información",
A.11.1.1 “Políticas de Control de Acceso" y
A.11.2.2 “Gestión de Privilegios".

Un Sistema de Gestión de Seguridad de Información, bajo la Óptica ISO 27001:2005, adecuadamente implantado, minimiza la presencia de este tipo de riesgos en las organizaciones.

Nota de prensa y comentarios en Eficiencia Gerencial

Eventos que se celebrarán el día 22 de Abril en Sevilla y el 23 en Málaga en los que se abordará la importancia del análisis de riesgos y la vulnerabilidad de los sistemas y estrategias orientadas a la protección de los activos.

Informacion completa y reserva de plazas en Agenda Seguridad

La empresa de consultoría en seguridad "Securosis" está liderando un proyecto de crear nuevos parámetros para cuantificar el costo y la eficiencia de un proceso de revisiones en seguridad de una organización.

Securosis, con el respaldo financiero de Microsoft para la fase inicial del proyecto, reunirán información en un proceso abierto a los interesados para el denominado Proyecto de modelo de métricas Quant. La versión 1 está previsto para antes de finales de junio..

Enlace al proyecto en Securosis.com

El Centro de coordinación de los CERT (CERT/CC) anunció la distribución de Dranzer, herramienta de código abierto que los desarrolladores de software pueden utilizar para probar código ante ciertos tipos de vulnerabilidades ActiveX antes de que los productos software se distribuyan al público.

Dranzer ofrece a los desarrolladores la capacidad de introducir test simples y rápidos de los controles ActiveX en la fase de garantía de la calidad. Esta prueba permite a los desarrolladores identificar y reducir las vulnerabilidades, tales como los desbordamientos de búfer.

Enlace al proyecto en Cert.org

La combinación de imágenes GIF con código JAVA (JAR) ha desarrollado una técnica clasificada como una de las más utilizadas durante 2008.

Acceso al documento en PDF disponible Infosecwriters

Sinadura es un proyecto que consiste en ofrecer un servicio para la generación de factura electrónica mediante la firma digital de pdfs. Consta de un aplicativo multiplataforma y una comunidad que ofrece documentación y servicios de valor añadido.

Acceso al tutorial de uso y funcionamiento en Kriptopolis

Este manual está pensado para profesionales del testeo de seguridad. Términos, destrezas y procesos que son mencionados aquí, pueden no ser fáciles de comprender para aquellos que no están directamente involucrados y con experiencia en los testeos de seguridad.

Diseñadores, arquitectos y desarrolladores encontrarán este manual provechoso para construir mejores defensas y herramientas de testeo. Muchos de los tests no poseen manera de ser automatizados. Muchos de los tests automatizados no siguen una metodología o siquiera siguen un orden óptimo. Este manual se refiere a esas cuestiones.

Este manual está en plena concordancia con todos los requisitos de auditoría y testeo de seguridad remotos del BS7799 (y su equivalente internacional ISO 17799) para testeos informáticos de seguridad.

Acceso a versiones en ISECOM

El padrón electoral biométrico que se implementará en Bolivia para las elecciones generales de diciembre próximo será certificado con la norma de calidad internacional ISO 27000 que protegerá y almacenará la información para una absoluta transparencia y confiabilidad, señalaron el martes fuentes de la Corte Nacional Electoral (CNE).

"En el nuevo padrón se implementará seguridad integral e información biométrica. El organismo electoral se ha propuesto llegar a una certificación que se llama ISO 27000, que es una certificación en seguridad de la información, que permite que toda la base de datos este completamente segura y almacenada en el organismo Electoral", informó el responsable de informática de la CNE, Marcelo Villegas.

Noticia completa en Agencia Bolivariana de Información

El consorcio ISM3 ha lanzado Information Security Management Maturity Model (ISM3) v2.3, con nuevas métricas de seguridad y una nueva definición objetiva de la madurez dependiente de las métricas utilizadas para gestionar los procesos de seguridad de la información.

Noticia completa en idg.

Podcast sobre esta iniciativa en nuestro Podcast Vicente Aceituno.

En su estudio, 'Previsiones del Mercado de Seguridad 2009', IDC analiza las diez tendencias que marcarán el devenir del mercado de productos y servicios de seguridad.

Entre las tendencias, la regulación a nivel global impulsará más inversiones en seguridad: En el área financiera, especialmente, el G20 acaba de aprobar unas leyes más exigentes para evitar los fracasos bancarios y el blanqueo de dinero. Estas normas entrarán en vigor en 2012 y las industrias tendrán que adoptar los estándares ISO 27001 y 27002.

Noticia completa en Techweek.es.

"Buenas prácticas para la Seguridad Corporativa es una recopilación de documentos (Whitepapers) que se centran en diferentes aspectos de la seguridad en las redes corporativas.

Estos documentos se clasifican en tres categorías generales que responden a los diferentes niveles de conocimiento necesario para crear e implantar un concepto de seguridad con éxito. La estructura también permite a los lectores aproximarse al problema de la seguridad a partir de sus áreas personales de experiencia e interés."

Noticia completa y enlaces en CRYPTEX.

Está programado el 27 y 28 de Abril por la empresa EGP (Eficiencia Gerencial y Productividad) y se impartirá en el Club empresarial de Lima (Perú).

Impartido por Alberto G.Alexander, auditor líder en sistemas de gestión de calidad (ISO 9001:2008) y en sistemas de gestión de seguridad de la información (ISO 27001:2005) por IRCA, la metodología que se utiliza en el seminario para implantar un BCP en las organizaciones esta fundamentada en el ciclo de vida de la gestión de la continuidad del negocio planteada por BS 25999-2:2007.

Más información e inscripciones en www.eficienciagerencial.com.

S21sec presenta su nueva unidad de negocio S21sec university dedicada en exclusiva a la formación en seguridad de la información, sistemas y comunicaciones.

Bajo el nombre de S21sec university, lo que se pretende es cubrir el vacío existente en la formación de profesionales en la seguridad de las tecnologías de la información y prevenir y gestionar el riesgo de las personas y organizaciones en su vida digital.

El crecimiento tan fuerte experimentado por el sector de la Seguridad Digital ha originado una necesidad de profesionales formados en la materia que en la actualidad es inexistente. Según un estudio publicado por el Instituto Universitario de Postgrado “el sector de las tecnologías de la información ha dado la voz de alarma.

España sufre una falta grave de profesionales altamente cualificados que la patronal Aetic cifra en unos 10.000. Esta falta de profesionales hace que las empresas sufran una rotación de empleados del 30% de media anual".

S21sec university está dirigida a los trabajadores y directivos de empresas pero, también, al conjunto de usuarios de sistemas de información, incluyendo a padres, profesores y alumnos. S21sec university ofrece cursos y planes de formación orientados a cada perfil. Por un lado, a directores TI, directores técnicos, estudiantes universitarios y técnicos TIC, aunque también será fundamental la concienciación en colegios, empresas y políticos.

Noticia completa en S21Sec.

"Las organizaciones mexicanas implementan acciones para evitar gastos sin un plan claro y sin estar alineadas a los objetivos de las compañías, advirtió informe de firma de asesoría a negocios.

Según un reporte de Ernst & Young tal situación podría llevar a la eliminación de controles clave para la seguridad corporativa, lo que provocaría que existan más vulnerabilidades en negocios, gracias a una reducción de costos ejecutada sin una estrategia."

Artículo completo en BSecure.

Con el fin de proteger la información de las entidades y de los ciudadanos al momento de realizar trámites, operaciones y transacciones electrónicas, el Programa Gobierno en línea, del Ministerio de Comunicaciones, implementará a partir del 2009 un nuevo modelo de seguridad de la información.

Se trata de un Sistema de Gestión en Seguridad de la Información (SGSI) para ser aplicado tanto en entidades públicas de orden nacional y territorial, como en operadores de Internet, cafés Internet y telecentros del Programa Compartel, entre otros.

Información completa a dinero.com.

First Legion Consulting proporciona una rápida guía-presentación sobre el proceso de previo para preparar el día de la auditoría con algunos consejos útiles sobre aspectos básicos que hay que tener revisados y listos.

Acceso a la demostración.

Organizado por ISACA los días 30-31 de Marzo de 2009 en el Hotel Cosmos 100, Bogotá, Colombia.

Las pistas para la conferencia son:

- Gestión de la Seguridad de Información (Information Security Management)
- Aspectos Prácticos de la Seguridad de la Información (Information Security Practical Issues)
Permite obtener hasta 21 horas de educación continua!

Información completa y formulario de inscripción en ISACA.

Las herramientas Novell ZENworks Asset Management®, Monotype Imaging, Express Software Manager Professional, GASP y Centennial Discovery han sido diseñadas para ayudarles a identificar y realizar un seguimiento del software con y sin licencia instalado en sus ordenadores y redes.

Las auditorías son un componente clave en cualquier plan completo para la gestión de bienes de software. BSA pone estas herramientas a su disposición de forma gratuita, gracias a la cooperación de Centennial Software, Novell Inc. y Attest Systems Inc.

Les sugerimos que lean los acuerdos de licencia y cualquier otra información relacionada con el uso permitido.

Descarga disponible desde BSA.

Business Software Alliance (BSA) es una asociación comercial sin ánimo de lucro creada para defender los objetivos del sector de software y de sus socios de hardware.

Es la organización más destacada dedicada a fomentar un mundo digital seguro y legítimo. Con sede central en Washington DC, BSA está presente en más de 80 países y tiene personal especializado en 11 oficinas de todo el mundo: Bruselas, Londres, Munich, Pekín, Delhi, Jakarta, Kuala Lumpur, Taipei, Tokio, Singapur y Sao Paulo.

Está en fase de borrador y será publicado el 1 de Septiembre de 2009.

Descarga en pdf disponible desde african.ipapercms.dk.

"La mayor parte del personal de seguridad coincide acerca de la dificultad de conseguir que la gente preste atención a las políticas de seguridad para cumplir lo que parece de sentido común.

Sacuden sus cabezas con incredulidad, cuando cuentan historias de trabajadores que mantienen las puertas abiertas para otros colegas (o desconocidos) convirtiendo millones de dólares de sistemas de control de acceso por tarjeta de identificacion en una inversión inútil.

En las grandes organizaciones, en las que sus gerentes se niegan a llevar la tarjeta identificativa en un sitio visible se descubre rápidamente que ningún trabajador tampoco la lleva.

Al tratar de aplicar políticas de seguridad, los profesionales a veces se sienten involucrados en guerras y venganzas personales, más que en un discurso racional.

Estos problemas reflejan la naturaleza social de los seres humanos, sin embargo, también reflejan el hecho de que, aunque el personal dedicado a los sistemas de la información y de gestión de la red puede tener una amplia experiencia en seguridad, muchos carecen de formación en psicología social u organizacional."

Interesante trabajo para un seminario de Mich Kabay.

Herramienta de evaluación para la estimación integrada de la seguridad en relación a ISO27001, Cobit4, ISO2000 e ITIL que cubre desde la evaluación hasta un marcador integrado.

La descarga es gratuita en formato xls desde ITservicestrategy.

BSI España tiene programado un curso de auditor jefe de ISO 27001 del 20 al 24 de Abril en Madrid.

En este curso se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el correspondiente certificado. Certificación ésta de Lead Auditor en ISO 27001 que, progresivamente, el mercado va exigiendo cada vez más a los profesionales de la seguridad de la información.

Más información e inscripciones en www.bsigroup.es.

La empresa consultora INGENIA organiza el 23 de Marzo una jornada dedicada a la seguridad de la información en el Parque Tecnológico de Andalucía en Málaga donde, con la colaboración de Aenor, se abordará el proceso de implementación y certificación de un SGSI.

Más información e inscripciones en www.ingenia.es.

Del 11 al 15 de mayo, SGS impartirá la primera edición en Colombia del curso oficial de las Buenas Prácticas de Continuidad de Negocio del Business Continuity Institute (BCI).

En este curso se explicará el ciclo de vida de la Gestión de Continuidad de Negocio, desde la fase de enfoque hasta la revisión y auditoría, referenciando los estándares BS 25999-1 y BS 25999-2. Se preparará a los asistentes al curso para superar el examen oficial del BCI, que se celebrará el 15 de mayo.

Adicionalmente, se entregará a todos los asistentes que superan la evaluación continua el título propio de SGS como Lead Auditor de gestión de continuidad de negocio de acuerdo a la norma BS 25999-2.

Para más información e inscripciones (plazas limitadas), se puede contactar por e-mail (es.madrid.informacion@sgs.com) o por teléfono (+34 913138168).

El INTECO (Instituto Nacional de Tecnologías de la Comunicación; Sociedad Anónima Estatal para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología, promovido por el Ministerio de Industria, Turismo y Comercio) ha implantado y certificado un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la Norma ISO 27001. La certificación ha sido llevada a cabo por Applus+.

Noticia completa aquí.

La gestión segura de la impresión de documentos en las organizaciones es a menudo un aspecto olvidado en la implantación de SGSIs.

ENISA (European Network and Information Security Agency) intenta ayudar en este punto con la publicación de una guía titulada "Impresión segura", que expone la problemática y los riesgos relacionados con la impresión en papel de documentos en las organizaciones y ofrece una serie de directrices para mitigar dichos riesgos.

Está disponible en español aquí.

A fecha de Febrero de 2009, hay 5.206 organizaciones con certificación acreditada en ISO 27001 en el mundo, según el conocido registro "International Register of ISMS Certificates".

Encabeza la lista, como desde hace años, Japón, con 2.997 certificaciones, le sigue India con 435 y Reino Unido con 370.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

España: 30.
México: 20.
Colombia: 5.
Chile: 3.
Perú: 3.
Uruguay: 1.

Hace unos meses, BSI publicó la guía BIP 2151, relativa a la auditoría de planes de continuidad de negocio.

El documento pretende ayudar a las organizaciones a verificar mediante auditorías que su implementación de BS 25999 se realiza de una manera controlada y gestionada.

Está disponible en BSI Shop.

"La proliferación de subvenciones y la motivación que proporciona el coleccionar certificaciones a nivel de organizaciones está generando un pequeño "boom" dentro del mundillo de la seguridad de la información y en concreto, la certificación bajo la norma ISO 27001:2005."

Artículo completo en el que se analizan qué cosas son imprescindibles para que una organización tenga un SGSI real, y no uno virtual y certificado en Blog de Javier Cao

Cerca del 60 por ciento de los empleados que finalizan su contrato se lleva información sensible de la compañía, según datos de un estudio

Mandarse correos a sí mismos o el uso de memorias stick siguen siendo algunos de los métodos más habituales.

Información completa y link al estudio de Ponemon y Symantec desde darkreading.com

Dentro de la convocatoria Avanza2 publicada el pasado 18 de Febrero y cuyos plazos de presentación ya están abiertos se encuentran proyectos de modernización de las PYME del sector TIC, destinados a la obtención certificaciones en los ámbitos de la calidad del software, la gestión del servicio TI y la seguridad de la información.

Información completa desde la página del Plan avanza

Los próximos días 24 y 25 de Marzo tendrá lugar en Madrid, en el Hotel Eurobuilding Madrid un evento de relevancia para el sector de la seguridad de la información organizado por Red Seguridad y Seguritecnia, contando con la colaboración de Inteco.

La temática global que será tratada a lo largo de las jornadas es la convergencia entre la seguridad física y lógica en las empresas, para lo que contaremos con la presencia y experiencia de importantes personalidades del sector, como Enrique Polanco, director se seguridad corporativa de Prisa, y José Luis Rodríguez Machón, director general de Telefónica Ingeniería de Seguridad.

Áudea Seguridad de la Información participa activamente en el evento mediante el copatrocinio junto a entidades como Microsoft y Alienvaul, y Eulen Seguridad, Telefónica y Applus (patrocinadores).

Inscripción e información: 91 402 96 07 (ext. 23)

E-Mail: marivi@borrmart.es

En este nueva edición trata los siguientes temas:

# mproving network discovery mechanisms
# Building a bootable BackTrack 4 thumb drive with persistent changes and Nessus
# What you need to know about tokenization
# Q&A: Vincenzo Iozzo on Mac OS X security
# A framework for quantitative privacy measurement
# Why fail? Secure your virtual assets
# Phased deployment of Network Access Control
# Web 2.0 case studies: challenges, approaches and vulnerabilities
# ISP level malware filtering
# Q&A: Scott Henderson on the Chinese underground
# AND MORE!

Descarga en PDF del Magazine (número 20).

Gary Hinson con la colaboración de Osama Salah, acaba de publicar en su conocida página iso27001security.com. una nueva referencia a los SGSI sobre la documentación obligatoria mínima de la norma ISO/IEC 27001 y que se indica tanto explícita como implícitamente.

El documento señala algunos elementos que se describen de forma indirecta en la norma, así como aquellos que son los más evidentes.

Enlace al listado de referencia de la documentación requerida por ISO 27001.

Más de la mitad de los minoristas han reducido sus presupuestos en seguridad TI como resultado directo de la contracción del crédito, y más de un tercio cortará sus gastos en seguridad el próximo año, a pesar de que la mayoría son víctimas de los ataques cibernéticos.

Según la última encuesta de consumo en seguridad de las empresas realizado por Deloitte, el 64% de los minoristas han reducido los proyectos en seguridad como consecuencia de la recesión económica, y el 36% espera recortes presupuestarios para el próximo año.

A pesar de los ataques cibernéticos de alto perfil en los minoristas, como el robo de identidades el año pasado de 45 millones de tarjetas de crédito y débito a nueve minoristas en EE.UU., incluyendo TJX, sólo el 45% de los minoristas han definido formalmente una estrategia de seguridad de la información.

Noticia completa en computerweekly.

La virtualización ha demostrado su valía en términos de reducción de los costes y mejora de la eficiencia, pero no en la consideración de las implicaciones en seguridad y que podrían poner su negocio en riesgo.

La cobertura mediática de las amenazas a la seguridad en la virtualización se ha centrado principalmente en el potencial de los programas maliciosos para comprometer el hipervisor, o monitor de máquina virtual (VMM).

Dado que este es el componente base que supervisa todas las máquinas virtuales (VMs), si se ve comprometido un atacante podría obtener un nivel de acceso root a todos sus sistemas con consecuencias potencialmente desastrosas.

Ian Pratt, vicepresidente de productos avanzados de Citrix y el arquitecto original de la virtualización Xen en código abierto del proyecto, admite que es un motivo de preocupación.

"Hay preocupación acerca de cualquier cosa que pueda penetrar en el hipervisor, porque hay una buena oportunidad de luego penetrar en otras máquinas virtuales", comenta.

Noticia completa en computerweekly.

El documento preparado por Robert Gellman para el "World Privacy Forum" analiza los riesgos de la privacidad y la confidencialidad en la práctica actualmente en boga del Cloud computing.

Documento en formato PDF disponible desde el worldprivacyforum.

Un nuevo informe de ENISA explica los riesgos de la Web 2.0: compartir fotos, wikis, redes sociales y malware 2.0, un nuevo núcleo de infecciones que proceden de visitas a páginas and gives advice to tackle them.

Descarga del informe y documento de encuesta en ENISA.

INTECO y Pantallas Amigas presentan SecuKid, un juego de inteligencia para terminales de telefonía móvil que tiene por finalidad transmitir conceptos básicos sobre seguridad en el uso de las TIC a niños y adolescentes a partir de 11 años.

AETICAL (Federación de Asociaciones de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica de Castilla y León), en el marco del Programa Déd@lo, contribuirá a la difusión y promoción del juego entre los alumnos de 6º de primaria. En total, el programa llegará a más de 3.000 estudiantes de un centenar de colegios públicos y privados de Castilla y León.

La distribución del juego será gratuita a través de descarga de la página y bluetooth desde secukid.es

INTECO, con SecuKid, persigue tres objetivos de carácter didáctico, lúdico y promocional, respectivamente: en primer lugar, que los niños identifiquen algunos de los riesgos a los que se enfrentan en el uso de Internet; en segundo lugar, que el aprendizaje sea materializado en un entorno informal de juego; por último, dar a conocer la existencia de iniciativas de promoción de la seguridad en el uso de las TIC por los niños.

Noticia completa en web INTECO.

ISO27000.es ha entrevistado a Jorgé Uyá, responsable de expansión por Latinoamérica de la empresa española TB-Security, con quien hemos hablado en general del estado de la seguridad de la información en Iberoamérica y, en concreto, de CERTs (Computer Emergency Response Teams).

TB-Security es una empresa líder en España y Latinoamérica en gestión de seguridad de la información y el diseño, implantación y explotación de Centros de Respuesta a Incidentes de Seguridad (CERTs) u otro tipo de soluciones centralizadas, capaces de responder de un modo rápido y eficaz a hipotéticos ataques (incluidos los sufridos por sectores de tanta trascendencia como los de Infraestructuras Críticas -financiero, energético, transporte, etc.-).

La entrevista está disponible en nuestra sección de artículos y podcasts.

BSI España tiene programado un curso de Auditoría de ISO 27001 (Lead Auditor) del 9 al 13 de Marzo en Madrid.

En este curso se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el correspondiente certificado. Certificación ésta de Lead Auditor en ISO 27001 que, progresivamente, el mercado va exigiendo cada vez más a los profesionales de la seguridad de la información.

Más información e inscripciones en www.bsigroup.es.

Del 9 al 13 de marzo, SGS impartirá la primera edición en España del curso oficial de las Buenas Prácticas de Continuidad de Negocio del Business Continuity Institute (BCI).

En este curso se explicará el ciclo de vida de la Gestión de Continuidad de Negocio, desde la fase de enfoque hasta la revisión y auditoría, referenciando los estándares BS 25999-1 y BS 25999-2. Se preparará a los asistentes al curso para superar el examen oficial del BCI, que se celebrará el 13 de marzo.

Adicionalmente, se entregará a todos los asistentes que superan la evaluación continua el título propio de SGS como Lead Auditor de gestión de continuidad de negocio de acuerdo a la norma BS 25999-2.

Para más información e inscripciones (plazas limitadas), se puede contactar por e-mail (es.madrid.informacion@sgs.com) o por teléfono (913 138 176).

La entidad de certificación SGS impartirá del 23 al 27 de Marzo un curso de auditor jefe SGSI según la norma ISO/IEC 27001:2005, con examen IRCA, en su Centro de Formación en el Paseo de la Castellana 182, de Madrid

Para más información e inscripciones, se puede contactar por e-mail (es.madrid.informacion@sgs.com) o por teléfono (913138168).

Recientemente se ha constituido en Asturias (España) el Equipo de Seguridad M45, que es un grupo multidisciplinar y multiempresa integrado por 14 profesionales con un alto nivel de capacitación y certificaciones en distintas áreas de la seguridad de la información. Tiene como motor al Cluster de las Tecnologías de la Información y las Comunicaciones de Asturias (www.clustertic.net), que lleva desde 2005 fomentando y liderando la creación de un entorno de empresas especializadas en seguridad de la información en la región.

M45 está compuesto por profesionales de las empresas Chipbip, Contein XXI, Futuver, Grupo Intermark, Legalprotect, Neosystems, Obice, Satec, Sigea y Vorago y sus gerentes son Samuel Linares (Director de TI y Seguridad de la Información de Grupo Intermark) y Francisco Menéndez (Socio Director de Contein XXI).

Su catálogo de servicios se centra en 6 líneas conductoras: Cumplimiento y Legislación, Estandarización y Normalización, Gestión y Operación, Diseño de Soluciones y Arquitecturas, Servicios Tecnológicos, y Formación y Capacitación. Su ámbito de actuación es nacional en organismos públicos y empresas privadas inicialmente, aunque no se descarta un posible desarrollo internacional a medio plazo.

Más información en www.clustertic.net/m45.

Del 31 de Marzo al 1 de Abril, la empresa EGP (Eficiencia Gerencial y Productividad) impartirá en Lima (Perú) un curso sobre investigación de delitos informáticos.

Impartido por Manuel Humberto Santander, coautor de cursos del SANS Institute y poseedor de varias certificaciones GIAC sobre la materia, el temario del curso versará en torno a respuesta a incidentes, interpretación y desarrollo práctico del Value Stream Map y análisis forense.

Más información e inscripciones en www.eficienciagerencial.com.

GMV y ANETCOM (Asociación para el Fomento del Comercio Electrónico Empresarial y de las Nuevas Tecnologías en la Comunidad Valenciana) han publicado recientemente un libro que lleva por título "Gestión Estratégica de Seguridad en la empresa", con la colaboración del Centro de Seguridad TIC de la Comunidad Valenciana.

A lo largo de 116 páginas, se abordan de manera sistemática y en un lenguaje claramente comprensible y orientado a negocio los distintos aspectos que debería tener en cuenta una organización a la hora de crear una estrategia de seguridad de la información: política de seguridad, gestión del riesgo, plan director de seguridad, seguridad TIC, gestión de continuidad y recuperación de desastres, cumplimiento legal, gestión de auditorías, métricas e indicadores, externalización de la seguridad, estándares de referencia, etc.

El manual está disponible para su descarga gratuita en la web de ANETCOM.

El portal de Internet especializado en continuidad de negocio Continuity Central dispone de una interesante sección llamada "Business Continuity - Getting started", en la que recoge una completa lista de enlaces a diferentes sitios que tratan temas útiles para alguien que aborda la gestión de continuidad de negocio por primera vez: guías de buenas prácticas, decálogos, herramientas de auto-evaluación, selección de proveedores de continuidad, análisis de impactos, cómo seleccionar un consultor en continuidad, plantillas de planes de continuidad, glosarios, artículos, consejos, etc.

Está disponible en www.continuitycentral.com.

Un vídeo resumen con las declaraciones (en inglés) más relevantes que se escucharon en el 1st Security Blogger Summit celebrado en Madrid el pasado 3 de febrero está disponible en www.securitybloggersummit.com.

El evento, organizado por Panda Security, contó con las intervenciones de Bruce Schneier (gurú de la seguridad informática), Andy Willingham (CISO de MARTA -Metropolitan Atlanta Rapid Transit Authority- y autor del blog Andy ITGuy), Antonio Ortiz (co-fundador de Weblogs SL), Steve Ragan (editor de seguridad para Tech Herald), Byron Acohido (articulista del USA Today), Javier Villacañas (periodista tecnológico y autor del blog "A todo chip"), Ero Carrera (desarrollador en Hispasec), Sebastián Muriel (Director General de Red.es), Francisco A. Lago (responsable de proyectos en el INTECO-CERT) y César Lorenzana (Jefe de Sección en el Grupo de Delitos Telemáticos de la Guardia Civil).

Hemos puesto al día nuestra sección de Eventos, incluyendo una larga lista de cursos, seminarios, conferencias, ferias, etc., relacionados directa o indirectamente con la gestión de la seguridad de la información y los estándares correspondientes.

El grueso de la sección la componen eventos que tendrán lugar a lo largo de 2009 en países de habla hispana.

ISO27000.es tuvo el privilegio de entrevistar a Howard Schmidt, presidente del Information Security Forum y que aporta casi cuarenta años de experiencia adquirida en la defensa, las fuerzas del orden y la seguridad corporativa.

Schmidt trabajó como CISO y responsable de estrategia de seguridad en eBay y fue jefe de oficiales de seguridad para Microsoft Corp, además de haber pasado 31 años en el gobierno local y federal de los EEUU. Fue vicepresidente de la Junta para la protección de infraestructuras críticas del gobierno y asesor especial para la seguridad del ciberespacio de la Casa Blanca. Más recientemente, fue jefe de estrategía de los EE.UU. para su programa de colaboración en CERTdel Consejo Nacional de Seguridad Cibernética del Departamento de Seguridad de la Patria.

ISF comprende alrededor de 300 empresas y organismos del sector público y tiene por objeto reunir el conocimiento colectivo y compatir la experiencia conjunta con el fin de combatir las amenazas de seguridad de la información y resolver cuestiones relacionadas con la gestión del riesgo.

Entrevista disponible en formato powerpoint.

Entrevistas adicionales al representante para ISF España y Latam y las actividades de Teléfonica en el ISF en nuestra sección de artículos y podcast

"En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio" a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano."

Interesante artículo de Manuel Díaz San Pedro, Consultor de Seguridad de Audea.

En su propósito por garantizar la seguridad de las Infraestructuras Críticas Europeas (ICE), la UE ha aprobado una nueva normativa, la Directiva 2008/114/CE del Consejo de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.

La vulnerabilidad de estos servicios ha aumentado exponencialmente en los últimos años, entre otros, por el uso de Internet y de las tecnologías de la información en la gestión de sus sistemas de control.

Es por ello que la UE, consciente además de la interdependencia e interconexión de sus infraestructuras críticas, ha lanzado nuevas directrices a todos los Estados miembros, quienes deberán articular una serie de actuaciones y políticas nacionales para garantizar su seguridad antes del próximo 12 de enero de 2011.

Más información en la nota de prensa enviada por TB Security.

La solución LockIT consta de dos elementos principales: el cierre de toma de salida y el latiguillo seguro.

El cierre protege la toma frente a la inserción de algún latiguillo u objeto extraño. El latiguillo seguro impide la desconexión accidental o no autorizada del mismo.

Cada uno de esos componentes requiere la llave universal LockIT para la retirada, pero se puede insertar libremente en una toma de salida para proteger la conexión. Todos los componentes de LockIT tienen un color amarillo intenso para identificar fácilmente la conectividad protegida.

Los productos LockIT son compatibles con cualquier toma de salida que cumpla la norma de RJ45 estándar. Este sistema versátil se puede usar en diversas aplicaciones para el uso en áreas públicas, como escuelas, tiendas y áreas de espera.

También es una solución sencilla para proteger redes de cometido fundamental, como centros de proceso de datos, entornos de atención sanitaria y sistemas gubernamentales.

Más información en la página corporativa de Siemon.

Javier Cao referencia en su blog tres interesantes documentos sobre la seguridad de la información:

Informe Deloitte:The 6th Annual Global Security Survey, Febrero 2009. .

Informe Ernst & Young: 2008 Global Information Security Survey.

Informe PricewaterhouseCoopers: The Global State of Information Security.

Otro Informe de interés (requiere registro): Unsecured Economies/Protecting Vital Information .

Esta guía de introducción, con casos de estudio, es el primer documento de una serie prevista en torno al Modelo de Negocio para la Seguridad de la Información. Basándose en el Libro Blanco "sistémica Gestión de la Seguridad ", desarrollado por la USC Marshall School of Business Institute para la protección de infraestructuras críticas de información, esta guía proporciona un punto de partida para la discusión y el desarrollo futuro.

Descarga abierta en ISACA

Anubis es una iniciativa de International Secure Systems Lab.

Noticia ampliada en CRIPTEX

Entre los temas a desarrollar en el Congreso organizado por Usuaria para el 19 de Marzo en el Hotel Sheraton de Buenos Aires, estarán incluidas las siguientes áreas:

* Unified communications
* Fraude y privacidad
* Governance, Risk & Compliance
* Integración de seguridad en el SDLC
* Administración de la Seguridad de la Información
* Seguridad de la Información en la Administración Pública
* Tecnologías Emergentes

Información completa en la web del evento

Recopilación de tendencias en seguridad de la información realizada por el SANS Institute

El objetivo de este documento es localizar las vulnerabilidades habituales de la oficina en el hogar y sugerir métodos para la Seguridad en el puesto de trabajo de casa