Esto es un fichero XML de noticias para lector RSS. La página principal HMTL para navegador está en: http://WWW.ISO27000.ES http://www.iso27000.es es-es consultas@iso27000.es http://www.iso27000.es/ISO27000/rsslogo.jpg http://www.iso27000.es Información sobre ISO 27001 en Español BSI (British Standards Institution) España ha abierto el plazo de inscripción a los siguientes cursos que se celebrarán en Madrid:<br> <br> Curso de auditor líder de ISO 27001. Del 12 al 16 de Febrero 2007.<br> <br> Curso de implantación de ISO 27001. Del 20 al 22 de Febrero 2007.<br> <br> Curso de implantación de ISO 20000. 7 y 8 de Marzo 2007.<br> <br> Para más información e inscripciones:<br> <br> Telf: + 34 91 4008 620<br> Email: marketing.spain@bsi-global.com<br> <br> 28 Dec 2006 19:26:31 +0100 http://www.iso27000.es <a href="http://www.twit.tv/SN">Security Now</a> ofrece una serie muy interesante de podcasts en inglés dedicados a diferentes temas de seguridad de la información.<br> <br> Desde el 1 de Agosto de 2005, Steve Gibson y Leo Laporte, con larga experiencia en el mundo de la comunicación, abordan semanalmente con otros invitados un tema técnico de seguridad con un estilo muy fluido y radiofónico. Materias como spyware, contraseñas, ataques DDoS, encriptación, VPNs, wireless, IPSEC, virtualización, proxies, etc. han sido tratadas a lo largo de los 71 podcasts publicados hasta ahora. Mensualmente, también dedican uno a contestar preguntas recibidas de los oyentes.<br> <br> 28 Dec 2006 19:05:06 +0100 http://www.iso27000.es La empresa GET (Grupo Estudios Técnicos. Publicaciones, Información, Consultoría y Formación Especializada en Seguridad) ofrece en Madrid los siguientes cursos:<br> <br> <a href="http://www.seguridad-formacion.com/default.asp?pag=busqueda&id=972">Planes de Contingencia y Continuidad de Negocio</a>, 30-31 de Enero de 2007. 16 horas, 850 euros.<br> <br> <a href="http://www.seguridad-formacion.com/default.asp?pag=busqueda&id=973">Gestión de Sistemas de Control de Accesos e Intrusión</a>, 14-15 de Febrero de 2007. 16 horas, 690 euros.<br> <br> 28 Dec 2006 17:38:58 +0100 http://www.iso27000.es El Institute for International Research ofrece en Madrid en próximas fechas los siguientes cursos y seminarios:<br> <br> <a href="http://www.iir.es/Evento/EventoNew.asp?idConvocatoria=3020&idEvento=3057&doc=1">Disaster Recovery</a>, 30-31 de Enero.<br> <a href="http://www.iir.es/Evento/eventonew.asp?idConvocatoria=3021&idEvento=3058">Aplicación técnico-legal del Reglamento LOPD</a>, 30-31 de Enero.<br> <a href="http://www.iir.es/Evento/eventonew.asp?idConvocatoria=3017&idEvento=3054">WebSecurity2007</a>, 13-14 de Febrero.<br> <a href="http://www.iir.es/Evento/eventonew.asp?idConvocatoria=3061&idEvento=3098">Seguridad y Optimización de VNPs</a>, 21-22 de Febrero.<br> <a href="http://www.iir.es/Evento/eventonew.asp?idConvocatoria=3086&idEvento=3122">Seguridad en Wi-Fi</a>, 28 de Febrero.<br> <a href="http://www.iir.es/Evento/eventonew.asp?idConvocatoria=3071&idEvento=3108">Indicadores y Métricas de Seguridad Informática</a>, 27-28 de Marzo.<br> <br> 27 Dec 2006 22:36:08 +0100 http://www.iso27000.es El 24 de Enero próximo comenzará a impartirse en Majadahonda (Madrid) el primer módulo de los tres que conforman el Curso de Seguridad Informática (CSI) de Belt Ibérica.<br> <br> El temario de los tres módulos es:<br> <br> MÓDULO 7G: Seguridad de Sistemas, Redes e Internet. (24 horas lectivas)<br> <br> * Seguridad en Sistemas Operativos.<br> * Seguridad en redes inalámbricas.<br> * Herramientas de Seguridad (Firewalls, VPNs, IDS, etc).<br> * Firma Electrónica/Criptografía/ Infraestructura de Clave Pública (PKI).<br> * Fases de un Proyecto PKI / Configuración de Servidores Seguros.<br> <br> MÓDULO 8G: Auditoría y Análisis de Riesgos de Sistemas de la Información. (24 horas lectivas)<br> <br> * Análisis de Riesgos Informáticos<br> * Seguridad en las aplicaciones informáticas y en bases de datos.<br> * Detección y eliminación de vulnerabilidades: Obtención de información.<br> * Detección y eliminación de vulnerabilidades: Técnicas activas.<br> * Auditoría Informática.<br> * Casos prácticos de Auditoría Informática.<br> * Normas y Procedimientos de Seguridad Informática.<br> * Seguridad de la documentación.<br> <br> MÓDULO 9G: Casos Prácticos de Seguridad de la Información. (24 horas lectivas)<br> <br> * La experiencia de la Comunidad de Madrid en la protección de datos de carácter personal.<br> * La experiencia del BBVA en la Seguridad de la Información.<br> * La Protección de Datos en un Servicio de Emergencias.<br> * La protección de la información en la Guardia Civil.<br> * Unidad de delitos informáticos de la DGP.<br> <br> Más información en <a href="http://www.belt.es/servicios/formacion/directivos/CSDSISyR/index.asp">BELT</a>.<br> <br> 27 Dec 2006 22:29:42 +0100 http://www.iso27000.es <a href="http://www.noticebored.com/blog/2006/06/economic-espionage-clear-and-present.html">NoticeBored</a> hace referencia a un artículo de <a href="http://www.csoonline.com/read/exclusives/secrets_fortunes.html?source=csoupdate">CSO Online</a> en el que se aborda el espionaje industrial y el robo de propiedad intelectual.<br> <br> En él, se parte de dos ideas equivocadas que tienen una gran parte de los altos directivos de las empresas: que el espionaje industrial sólo afecta a las empresas que poseen fórmulas o diseños secretos (p. ej., Coca-Cola) y que sus empresas afrontan este problema eficazmente (cuando, generalmente, no han adaptado su estrategia al nuevo escenario de globalización económica y de desarrollo de las TI).<br> <br> A lo largo del artículo se mencionan muchos casos que se han producido en los últimos años, cuando la propiedad intelectual de las empresas pasa a estar en el punto de mira de tres diferentes grupos: personal interno y competidores, gobiernos y organizaciones criminales.<br> <br> 27 Dec 2006 18:24:08 +0100 http://www.iso27000.es Realtime Publishers publica regularmente guías gratuitas en inglés sobre distintos aspectos de seguridad de la información.<br> <br> En esta ocasión, se trata de un documento de 75 páginas dedicado a la protección del uso de Internet en la empresa, que aborda en 4 amplios capítulos cómo preservar la integridad del negocio, la protección del acceso a Internet, el ciclo de vida de los sistemas de protección de acceso a Internet y las tendencias en sistemas de protección de acceso a Internet.<br> <br> El documento, previa inscripción, puede descargarse de <a href="http://nexus.realtimepublishers.com/sgpbiu.htm">Realtime Nexus</a>.<br> <br> 27 Dec 2006 17:36:08 +0100 http://www.iso27000.es El 14 de Febrero próximo finaliza el plazo de inscripción temprana (con descuentos en el coste del examen) para los exámenes de ISACA para la obtención de las certificaciones de Certified Information Systems Auditor y Certified Information Security Manager que tendrán lugar el 9 de Junio de 2007.<br> <br> La fecha límite de inscripción final (sin descuentos) es el 11 de Abril.<br> <br> Para más detalles e inscripciones: <a href="http://www.isaca.org/Template.cfm?Section=Certification&Template=/ContentManagement/ContentDisplay.cfm&ContentID=19934">ISACA</a>.<br> <br> 27 Dec 2006 17:13:32 +0100 http://www.iso27000.es Con la reciente publicación del código de buenas prácticas <a href="http://www.bsi-global.com/Risk/BusinessContinuity/bs25999.xalter">BS 25999-1:2006</a> para la gestión de continuidad de negocio (que tendrá una segunda parte certificable: BS 25999-2:2007), BSI (British Standards Institution) pone a disposición de los interesados un <a href="http://www.bsi-global.com/Risk/BusinessContinuity/bip5001.xalter">software online</a> de análisis de continuidad de negocio y un <a href="http://www.bsi-global.com/Risk/BusinessContinuity/bip2121.xalter">libro</a> que enfoca la continuidad de negocio desde el punto de vista de la gestión del riesgo.<br> <br> 27 Dec 2006 13:28:40 +0100 http://www.iso27000.es IFAC (International Federation of Accountants) es una asociación internacional que tiene entre otros objetivos el desarrollo de estándares en las áreas de contabilidad, auditoría e información financiera.<br> <br> Hace unos meses, ha publicado un borrador de estándar que ayude a determinar los conocimientos y técnicas en cuanto a tecnologías de la información que deben poseer los profesionales de la contabilidad en sus diferentes facetas (contable, controller, director financiero, auditor de cuentas, diseñador de sistemas de información financieros, consultor, etc.). Para cada uno de los distintos roles, se proponen los conocimientos que debieran poseerse.<br> <br> El draft puede descargarse de <a href="http://www.ifac.org/Guidance/EXD-Details.php?EDID=0056">IFAC</a>.<br> <br> 26 Dec 2006 12:11:37 +0100 http://www.iso27000.es En Diciembre, se ha llegado a 3.233 empresas certificadas en ISO 27001 y BS 7799-2 en el mundo.<br> <br> En ISO 27001 son concretamente 638, cifra que incluye 259 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 379 nuevas certificaciones.<br> <br> Encabeza la lista Japón, con 1.850 certificaciones, y le siguen el Reino Unido, con 333, y la India con 255.<br> <br> Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.<br> <br> Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:<br> <br> México, 11.<br> España, 9.<br> Argentina, 3.<br> Colombia, 2.<br> Chile, 1.<br> Perú, 1.<br> Uruguay, 1.<br> <br> Esta información puede obtenerse mes a mes de forma detallada por países y empresas en <a href="http://www.iso27001certificates.com/">International Register of ISMS Certificates</a>.<br> <br> 22 Dec 2006 23:49:43 +0100 http://www.iso27000.es Nuevos podcasts de Symantec:<br> <br> <a href="http://www.symantec.com/about/news/podcasts/detail.jsp?podid=ent_1207_patch">Gestión de parches</a><br> <br> <a href="http://www.symantec.com/about/news/podcasts/detail.jsp?podid=ent_1130_loi">Data Lifecycle Management</a><br> <br> 22 Dec 2006 23:21:39 +0100 http://www.iso27000.es <a href="http://www.darkreading.com">Dark Reading</a> publica un <a href="http://www.darkreading.com/document.asp?doc_id=111503&WT.svl=column1_1">artículo</a> en el que Steve Stasiukonis, de Secure Network Technologies Inc., relata nuevamente un caso de ingeniería social.<br> <br> Su empresa fue contratada por un banco para evaluar su seguridad. Además de un test de intrusión, se les encargó también una comprobación de la concienciación del personal.<br> <br> Steve relata en su artículo con todo lujo de detalles cómo, disfrazados de técnicos de fotocopiadoras, consiguieron acceder al edificio, conectar su portátil en la toma de red de una fotocopiadora, escanear el tráfico y hacerse con la contraseña de la persona que les había contratado, que pegaron en un papel bajo la fotocopiadora como prueba de su éxito en la intrusión.<br> <br> 22 Dec 2006 23:05:27 +0100 http://www.iso27000.es Recientemente, el Observatorio de la Seguridad de la Información, adscrito a INTECO (Instituto Nacional de Tecnologías de la Comunicación), publicó un documento sobre la reutilización y sustitución segura de dispositivos de almacenamiento.<BR> <BR> En él se describe de forma resumida y sencilla la necesidad de realizar un borrado seguro o destrucción de la información contenida en soportes informáticos y se indican una serie de direcciones de Internet relacionadas con la materia.<BR> <BR> El documento está disponible en <A href="http://inteco.red.es/observatorio/descargas/Reutilizacion_Segura.pdf">INTECO</A><BR> <BR> 22 Dec 2006 22:27:10 +0100 http://www.iso27000.es <A href="http://seguridad-de-la-informacion.blogspot.com/2006/12/kit-de-herramientas-para-revisiones-de.html">Javier Cao</A> informa sobre un documento de InfosecWriters que ofrece un listado de herramientas de evaluación de la seguridad, y sus correspondientes páginas web, clasificadas según la fase del test de intrusión en donde se utilizan.<BR> <BR> La lista está disponible en <A href="http://www.infosecwriters.com/text_resources/pdf/SNair_Tools.pdf">InfosecWriters</A><BR> <BR> 22 Dec 2006 21:41:32 +0100 http://www.iso27000.es Gary McGraw, en <A href="http://www.cigital.com/silverbullet/show-009/">"The Silver Bullet Security Podcast"</A>, entrevista a Bruce Schneier, el famoso gurú de la seguridad informática.<BR> <BR> Durante la entrevista, se tratan temas como la conexión entre seguridad física y tecnológica, derechos de autor, gestión del riesgo, vigilancia global, economía y seguridad, "teatro de la seguridad" (seguridad ficticia), el enfoque de Microsoft en cuanto a seguridad del software e, incluso, vinos (Bruce es también crítico gastronómico).<BR> <BR> 22 Dec 2006 21:17:59 +0100 http://www.iso27000.es El pasado mes de Noviembre, Ken Biery publicó en el SANS Institute un whitepaper donde propone un enfoque de gestión de riesgos alineado con el estándar BS7799-3.<BR> <BR> A lo largo de 69 páginas, va proponiendo un método práctico de abordar la evaluación de riesgos a través de las fases de identificación de activos, valoración de los mismos, evaluación de amenazas y vulnerabilidades, clasificación de riesgos, tratamiento, métricas, etc.<BR> <BR> El documento puede descargarse en: <A href="http://www.sans.org/reading_room/whitepapers/auditing/1664.php">SANS</A><BR> <BR> 22 Dec 2006 18:36:49 +0100 http://www.iso27000.es Del 12 al 16 de Febrero de 2007, tendrá lugar en La Habana (Cuba) el VIII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones.<BR> <BR> Los temas a tratar serán:<BR> <BR> Seguridad en Servidores y Servicios de Redes.<BR> Software Antivirus y de Seguridad.<BR> Seguridad en Aplicaciones.<BR> Informática Forense.<BR> Criptografía.<BR> Ataques.<BR> Auditoria a la Seguridad Informática.<BR> Criterios de Evaluación de la Seguridad.<BR> Mecanismos de Control y Autenticación.<BR> Políticas y Estándares de Seguridad.<BR> Planes de Contingencia y Recuperación de Desastres.<BR> Aspectos Éticos y Legales de la Seguridad Informática.<BR> Delitos Informáticos.<BR> Experiencias de especialistas y entidades.<BR> <BR> Información e inscripciones en: <A href="http://www.segurmatica.com/descargas12_1/informatica2007.doc">Segurmatica</A><BR> <BR> 22 Dec 2006 18:18:01 +0100 http://www.iso27000.es <A href="http://www.sahw.com/wp/">Sergio Hernando</A> ha comenzado a publicar hace unos días en su blog una serie de artículos dedicados a explicar diferentes temas relacionados con la auditoría de sistemas UNIX.<BR> <BR> 22 Dec 2006 15:03:28 +0100 http://www.iso27000.es Tal y como hemos ido informando a lo largo del año, el NIST (National Institute of Standards and Technology; EEUU) ha publicado o revisado durante 2006 las siguientes guías relacionadas con seguridad de la información (disponibles gratuitamente <A href="http://csrc.nist.gov/publications/nistpubs/index.html">aquí</A>):<BR> <BR> SP 800-100 Information Security Handbook: A Guide for Managers<BR> SP 800-96 PIV Card / Reader Interoperability Guidelines<BR> SP 800-92 Guide to Computer Security Log Management<BR> SP 800-90 Recommendation for Random Number Generation Using Deterministic Random Bit Generators<BR> SP 800-89 Recommendation for Obtaining Assurances for Digital Signature Applications<BR> SP 800-88 Guidelines for Media Sanitization<BR> SP 800-87 Codes for the Identification of Federal and Federally-Assisted Organizations<BR> SP 800-86 Guide to Integrating Forensic Techniques into Incident Response<BR> SP 800-85B PIV Data Model Conformance Test Guidelines<BR> SP 800-85A PIV Card Application and Middleware Interface Test Guidelines<BR> SP 800-84 Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities<BR> SP 800-81 Secure Domain Name System (DNS) Deployment Guide<BR> SP 800-76 Biometric Data Specification for Personal Identity Verification<BR> SP 800-73 Interfaces for Personal Identity Verification<BR> SP 800-69 Guidance for Securing Microsoft Windows XP Home Edition: A NIST Security Configuration Checklist<BR> SP 800-63 Electronic Authentication Guideline: Recommendations of the National Institute of Standards and Technology<BR> SP 800-56A Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography<BR> SP 800-53 Recommended Security Controls for Federal Information Systems<BR> SP 800-18 Guide for Developing Security Plans for Federal Information Systems<BR> <BR> 22 Dec 2006 14:09:16 +0100 http://www.iso27000.es <A href="http://www.iseb.org.uk/">ISEB</A> (Information Systems Examinations Board) forma parte de la prestigiosa British Computer Society y ofrece una serie de certificaciones personales en tecnologías de la información, incluida también seguridad de la información.<BR> <BR> Una de las certificaciones disponibles es la de "Practitioner Certificate in Information Risk Management (PCiIRM)".<BR> <BR> BSI (British Standards Institution) va a ofrecer por primera vez un curso de preparación al examen correspondiente, del 12 al 16 de Febrero en Londres.<BR> <BR> Más información en: <A href="http://www.bsi-global.com/Seminars/ISEB/RiskManagement.xalter">BSI</A><BR><BR> 22 Dec 2006 11:27:09 +0100 http://www.iso27000.es <IMG style="WIDTH: 152px; HEIGHT: 55px" height=49 alt="" hspace=3 src="http://www.infosecwriters.com/images/grad.gif" width=144 align=left vspace=3 border=1>Este artículo trata del papel que juega la seguridad de la información en las organizaciones. <BR><BR> Históricamente, las organizaciones han delegado la seguridad de la información en aspectos tecnologicos y que el negocio en sí no necesitaba tratar. Las organizaciones también han tratado seguridad de la información como característica adicional y a posteriori. La seguridad de la información debe llegar a ser inculcada en la cultura de la organización para asegurar la coformidad en todas las facetas de la compañía. <BR><BR> Las organizaciones que están comenzando a madurar en seguridad de la información pueden elegir entre investigar e implantar sistemas establecidos y de soporte de los sistemas de información. Sistemas como ITIL e ISO/IEC 17799 se pueden utilizar como fundamento para el desarrollo de procesos de la seguridad de la información. <BR><BR> Independientemente de cómo las organizaciones acercan a seguridad de la información, deben comenzar a prever seguridad de la información como problema global de negocio. Si las organizaciones pueden abarcar el cambio cultural y extender la seguridad de la información a todos los aspectos de un negocio, la seguridad de la información se convertirá en una práctica establecida seguida por todos.<BR><BR> Artículo en PDF en <A href="http://www.infosecwriters.com/text_resources/pdf/JEnamait_IS_Business_Practice.pdf">infosecwriters</A><BR><BR> 12 Dec 2006 23:35:36 +0100 http://www.iso27000.es Fellowes Ibérica, filial en España del principal fabricante mundial de destructoras de documentos en formato papel y CD, advierte sobre los riesgos que representa la inadecuada gestión y destrucción de información confidencial en las Pymes.<BR><BR> Se puede decir que, en general, las empresas están fallando a la hora de establecer medidas que les protejan a sí mismos y a sus clientes del robo de identidades. Esa es la principal conclusión que se extrae del estudio llevado a cabo en el Reino Unido y dado a conocer por Fellowes, con motivo de la celebración de la National Identity Fraud Prevention Week 2006, un evento sin precedentes celebrado en este país y dirigido a concienciar a la sociedad sobre este grave problema.<BR><BR> Artículo e Información completa en <A href="http://www.cibersur.com/modules.php?name=News&file=article&sid=7375">Cibersur</A><BR><BR> 12 Dec 2006 23:35:38 +0100 http://www.iso27000.es <IMG style="WIDTH: 152px; HEIGHT: 55px" height=49 alt="" hspace=3 src="http://files.messe.de/www.cebit.de/img/logo-dmag.gif" width=144 align=left vspace=3 border=1>CefIS, el centro para la seguridad de la información, es la principal atracción del área dedicada a la seguridad de CeBit 2007, que se celebra entre el 15 y el 21 de marzo en la feria de Hanover (Alemania). <BR><BR> El enfoque multiaplicación será una de las características de este espacio, que se situará en un área del pabellón 7 que ocupará casi 1.000 metros cuadrados. CefIS se centrará en todos los aspectos de disponibilidad corporativa, integridad y continuidad de los recursos y datos de tecnologías de la información, independientemente de si están en riesgo como consecuencia de la manipulación de información o redes o por fallos relativos a la infraestructura técnica, al fuego o al sabotaje.<BR><BR> Información completa en <A href="http://www.cebit.de/homepage_d?x=1">CeBit</A><BR><BR> 12 Dec 2006 23:35:39 +0100 http://www.iso27000.es <IMG style="WIDTH: 55px; HEIGHT: 75px" height=49 alt="" hspace=3 src="http://www.borrmart.es/pix/redseguridad/borrmart1236571130182109.jpg" width=144 align=left vspace=3 border=1>La experiencia obtenida en los años transcurridos desde la entrada en vigor de la LOPD, la doctrina, tanto jurisdiccional como la que ha ido sentando la propia Agencia, así como la propia evolución de la sociedad y del estado de las tecnologías, han sido elementos esenciales que al ser tomados en consideración y analizados con la profundidad con que se ha hecho, han contribuido a elevar el nivel del trabajo realizado y de los resultados alcanzados. <BR><BR> Confiemos en que, tras la aprobación de este Proyecto, prevista para este año, su aplicación y la práctica futura consiga realmente una mayor clarificación de la normativa reguladora de este derecho fundamental y que la AEPD sea verdaderamente capaz de hacer frente, con la eficacia que se espera de ella, a los retos que se plantean de cara al próximo futuro. <BR><BR> Artículo de José Luis Piñar Mañas, Director de la Agencia Española de Protección de Datos en <A href="http://www.borrmart.es/articulo_redseguridad.php?id=1236">Red Seguridad</A><BR><BR> 12 Dec 2006 23:35:40 +0100 http://www.iso27000.es <IMG style="WIDTH: 65px; HEIGHT: 75px" height=49 alt="" hspace=3 src="http://www.virusprot.com/Graficos/Jeimy_Cano2.jpg" width=144 align=left vspace=3 border=1>De acuerdo con investigaciones recientes (<A href="http://www.acis.org.co/fileadmin/Revista_96/investigacion.pdf"> Análisis de tendencias en seguridad informática. Algunos referentes internacionales para revisar, 2006</A>), la seguridad de la información es un reto cada vez más complejo para las organizaciones. <BR><BR> Grandes inversiones, largas horas de ajustes y monitoreo permanente son las características más sobresalientes de las empresas que gestionan, día a día, la seguridad informática. Sin embargo, el crecimiento de los fallos de seguridad, intrusiones y vulnerabilidades superan las expectativas de los encargados de la seguridad informática en las organizaciones.<BR><BR> Ante esta realidad, las organizaciones deben procurar la administración de la <A href="http://www.virusprot.com/Art47.html">inseguridad de la información</A> formulando umbrales de confianza que conforme a los recursos, características y negocios de las organizaciones, puedan estructurarse alrededor de la administración de riesgos establecida por la empresa. En este sentido, no es posible tener seguridad total, pues riesgo cero no existe.<BR><BR> Artículo de Jeimy J. Cano para el especial seguridad en el sector financiero en <A href="http://www.borrmart.es/articulo_redseguridad.php?id=1234">Red Seguridad</A><BR><BR> 12 Dec 2006 23:35:40 +0100 http://www.iso27000.es <IMG style="WIDTH: 100px; HEIGHT: 70px" height=49 alt="" hspace=3 src="http://www.borrmart.es/pix/redseguridad/borrmart1233571130172355.jpg" width=144 align=left vspace=3 border=1>Cada día son más las personas que utilizan la banca ‘on-line’. Sin duda, la comodidad, rapidez y facilidad de realizar movimientos y operaciones, pagos y consultas de nuestras cuentas bancarias mediante Internet, son algunas de las ventajas que ofrece este servicio. <BR><BR> Pero hechos delictivos ya conocidos como ‘phishing’, ‘pharming’ o ‘spam’, añadidos a otros problemas como los de auteticación del usuario, timos varios, chantajes, ataques corporativos, inseguridad de los medios de pago..., obligan a que usuarios y entidades financieras estén alerta y apliquen no sólo los conocimientos y las medidas de seguridad oportunas -que son necesarios-, sino recordar siempre el sentido común.<BR><BR> Especial seguridad en el sector financiero en <A href="http://www.borrmart.es/articulo_redseguridad.php?id=1233">Red Seguridad</A><BR><BR> 12 Dec 2006 23:35:41 +0100 http://www.iso27000.es <IMG style="WIDTH: 87px; HEIGHT: 113px" height=49 alt="" hspace=3 src="http://www.isaca.org/Images/journal/05v6cover.jpg" width=144 align=left vspace=3 border=1>El documento publicado por ISACA en 2005 y liberado recientemente para su libre consulta plantea una propuesta inicial sobre la trazabilidad de las operaciones en las aplicaciones corporativas.<BR><BR> Es un marco de discusión básico para mejorar y desarrollar el concepto en profundidad, fundamentado en características técnicas y administrativas requeridas en arquitecturas de cómputo. El constante avance de la tecnología y los procedimientos internos de las organizaciones, sugieren elementos nuevos que deben ser revisados para enriquecer la temática de la trazabilidad. <BR><BR> Acceso al documento de Jeimy J. Cano en <A href="http://www.isaca.org/Template.cfm?Section=JOnline&CONTENTID=24655&TEMPLATE=/ContentManagement/ContentDisplay.cfm">ISACA</A><BR><BR> 12 Dec 2006 23:35:42 +0100 http://www.iso27000.es <IMG style="WIDTH: 132px; HEIGHT: 60px" height=49 alt="" hspace=3 src="http://www.iso27000.es/ISO27000/enisa_logo.JPG" width=144 align=left vspace=3 border=1>Segunda versión ampliada y puesta al día del "directorio 2006 Quien es Quien en tema de Redes y seguridad de la Información". Esta versión ha sido ampliada y todos los 25 Estados Miembro de la Unión Europea y todos los Miembros del EEA (Islandia, Liechtenstein y Noruega) han proporcionado información.<BR><BR> Este Directorio actúa a modo de "páginas Amarillas" sobre Redes y seguridad de la información en Europa. Es un instrumento útil de contactos y el Directorio ahora incluye una sección que proporciona información sobre instituciones y cuerpos de la Unión Europea y cuerpos que actúan en estos campos.<BR><BR> Documento PDF completo en <A href="http://www.enisa.eu.int/doc/pdf/deliverables/wiw_v2_2006.pdf">ENISA</A><BR><BR> 12 Dec 2006 23:35:43 +0100 http://www.iso27000.es <IMG style="WIDTH: 85px; HEIGHT: 57px" height=49 alt="" hspace=3 src="http://www.madrid.org/staticFiles/site_457237/cit_457332/Schleswig.JPG" width=144 align=left vspace=3 border=1>Este documento explica por qué el SPIT (Spam sobre telefonía IP) es más difícil de filtrar que el spam convencional mediante correos electrónicos, indica panoramas y posibles medidas para evitarlo y presenta un prototipo para un sistema de gestión de disponibilidad para filtrar SPIT que se está desarrollando actualmente en el proyecto SPIT-AL.<BR><BR> Artículo en español del Independent Centre for Data Protection en <A href="http://www.madrid.org/comun/datospersonales/0,3126,457237_458340_127535941_12489900_12489303,00.html">Madrid.org</A><BR><BR> 12 Dec 2006 23:35:43 +0100 http://www.iso27000.es <IMG style="WIDTH: 85px; HEIGHT: 101px" height=49 alt="" hspace=3 src="http://www.madrid.org/staticFiles/site_457237/cit_457332/MarMartinez.jpg" width=144 align=left vspace=3 border=1>"Un sistema basado en normativas y estándares reconocidos, que sea aplicable, que se pueda mantener, evaluar en la operación del día a día y que al final de proceso, permita obtener la certificación, es una garantía del cumplimiento de los principios de seguridad en el tratamiento de datos personales. Dicho sistema refuerza a su vez, la confianza del responsable del tratamiento en sus obligaciones del cumplimiento del resto de los principios de protección de datos."<BR><BR> "... Por este motivo, el sector de las tecnologías están potenciando y fomentando, junto con la implantación de medidas tecnológicas de seguridad, el desarrollo de nuevos servicios de seguridad, entre los que se encuentran : Planes Directores de Seguridad, Sistemas de Gestión de la Seguridad de la Información (SGSI), Oficinas de Seguridad, Herramientas Automatizadas de cumplimiento, que permitan garantizar a todos los sujetos que interactúan con sistemas de información (servicios públicos, empresas, profesionales, ciudadanos) los principios de seguridad en términos de confidencialidad, disponibilidad, exactitud y auditabilidad requeridos por el marco jurídico, y a su vez, faciliten el acceso autorizado de éstos sujetos a la información y a los servicios interactivos a través de Internet."<BR><BR> Artículo completo de Mar Martínez. en <A href="http://www.madrid.org/comun/datospersonales/0,3126,457237_458340_127535941_12489813_12489303,00.html">Madrid.org</A><BR><BR> 12 Dec 2006 23:35:44 +0100 http://www.iso27000.es <IMG style="WIDTH: 85px; HEIGHT: 91px" height=49 alt="" hspace=3 src="http://www.madrid.org/staticFiles/site_457237/cit_457332/LinaOrnelas_modif.jpg" width=144 align=left vspace=3 border=1>El presente trabajo tiene como propósito presentar y analizar, de manera sucinta, la actualidad legislativa en México en torno al derecho a la protección de datos personales.<BR><BR> En ese sentido, se llevará a cabo una breve descripción de los antecedentes del derecho de referencia en México, a partir de la entrada en vigor de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y de su consecuente aplicación.<BR><BR> Hecho lo anterior, se analizarán aspectos relevantes de las dos iniciativas de reforma constitucional, presentadas y/o aprobadas en alguna de las Cámaras del Poder Legislativo a nivel federal hasta el momento.<BR><BR> Artículo completo en <A href="http://www.madrid.org/comun/datospersonales/0,3126,457237_0_127535941_12490604_12489303,00.html">Madrid.org</A><BR><BR> 12 Dec 2006 23:35:45 +0100 http://www.iso27000.es <IMG style="WIDTH: 100px; HEIGHT: 145px" height=49 alt="" hspace=3 src="http://www.insecuremag.com/issue9.jpg" width=144 align=left vspace=3 border=1>Entre los temas de este número se incluyen: <BR><BR> - Effectiveness of security by admonition: a case study of security warnings in a web browser setting <BR><BR> - Interview with Kurt Sauer, CSO at Skype <BR><BR> - Web 2.0 defense with AJAX fingerprinting and filtering <BR><BR> - Hack In The Box Security Conference 2006 <BR><BR> - Where iSCSI fits in enterprise storage networking <BR><BR> - Recovering user passwords from cached domain records <BR><BR> - Do portable storage solutions compromise business security? <BR><BR> - Enterprise data security - a case study <BR><BR> - Creating business through virtual trust: how to gain and sustain a competitive advantage using information security <BR><BR> Descarga del número disponible en <A href="http://www.insecuremagazine.com/INSECURE-Mag-9.pdf">INSECURE 1.9</A><BR><BR> 12 Dec 2006 23:35:46 +0100 http://www.iso27000.es <IMG style="WIDTH: 152px; HEIGHT: 55px" height=49 alt="" hspace=3 src="http://www.computerweekly.com/assets/getasset.aspx?itemid=37962" width=144 align=left vspace=3 border=1>Las certificaciones en el nuevo estándar ISO 27001 rompieron la barrera del 3000 en el pasado Agosto. <BR><BR> El estándar, que ha substituido eficazmente al viejo BS 7799, ha convencido a muchas organizaciones que la certificación puede tener sentido para ellas. Según el grupo BSI, casi las dos terceras partes de las certificaciones eran nuevas organizaciones en vez de simples actualizaciones de BS 7799.<BR><BR> Según BSI, uno de los motivos para el fuerte aumento de en la actividad de certificaciones en ISO 27001 se debe a que cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el sector privado, estipulan ya que el proveedor apropiado debería tener la certificación en ISO 27001 de Seguridad de la Información. <BR><BR> URM, especialista en certificación ISO 27001 y en la gestión de riesgos, cree que el aumento del interés es porque el estándar se ha convertido en una obligación más que una opción accesoria para cualquier organización que opere en el sector público o en el sector de los grandes mercados privados. <BR><BR> Con el aumento en los niveles de gobierno, URM cree que la certificación ISO 27001 también está siendo vista como un ejercicio de 'impermeabilización de cara al futuro ' para muchas empresas. Si ellos no lo hacen ahora, saben que probablemente tendrán que hacerlo en el futuro. De hecho, algunas empresas que ya tienen la certificación ISO 27001 harán de lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga. <BR><BR> Por tanto, si usted no quiere perder mercado de negocio, certifíquese.<BR><BR> Artículo completo de CWSecurity Professionals en <A href="http://www.computerweekly.com/Articles/2006/09/07/219522/tender-conditions-drive-iso-27001-update.htm">ComputerWeekly</A><BR><BR> 4 Dec 2006 23:35:25 +0100 http://www.iso27000.es Los requisitos reguladores y el aumento de las preocupaciones del consumidor por las brechas en seguridad de la información están convirtiendo en prioridad los controles de la seguridad a nivel de datos, según managers TI del Computer Security Institute .<br><br> Tras años de implantar tecnologías como cortafuegos y sistemas de la intrusión-detección para mantener los perímetros a salvo, las compañías ahora deben incorporar controles similares en niveles inferiores y a nivel de datos, indicaron. <br><br> "los datos son importantes por encima de todo," dijo a Juan Ceraolo, director de la seguridad de la información en JM Family Enterprises Inc.<br><br> Artículo de Jaikumar Vijayan en <a href="http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9004914&source=rss_topic84">Computerworld</a>.<br><br> 4 Dec 2006 23:35:18 +0100 http://www.iso27000.es http://www.iso27000.es Crece el reconocimiento de la seguridad de información por parte de las organizaciones como conductor de la mejora en el negocio<br><br> El noveno estudio anual sobre seguridad de la información de Ernst & Young recoge las opiniones de 1200 profesionales de la seguridad de la información tanto en organizaciones públicas como privadas en 48 países. <br><br> Según el estudio, sobre tres cuartos de los encuestados citó la protección de la privacidad y de los datos como un punto significativo que requiere una inversión adicional - por primera vez en los nueve años de historia del estudio. Esos encuestados dijeron que continuarían invirtiendo la mayoría de su tiempo, dinero y recursos en procedimientos formales para capturar, almacenar y compartir datos. <br><br> Richard Brown, Jefe de tecnología y servicios de riesgos en seguridad de Ernst & Young declara: "los negocios están solamente despertando frente a los peligros de tener pocas o ninguna política de privacidad para manejar datos sensibles. El punto clave parece ser el crecimiento de la preocupación y concienciación del consumidor - el hurto de la identidad, la pérdida de datos personales, los ataques phishing y otras infracciones relativas a los datos no son asuntos que únicamente se oyen, sino que han sucedido probablemente a alguien a quién conoces."<br><br> "Esta presión que se intensifica por parte del consumidor en el tratamiento de la privacidad ha forzado a las compañías a reevaluar sus prácticas y procedimientos del riesgo en los datos, particularmente en el sector de los servicios financieros." <br><br> Artículo completo en <a href="http://www.scmagazine.com/uk/news/article/604509/ernst-young-companies-wake-privacy-data-protection/">SCMagazine</a>.<br><br> Estudio disponible en PDF en <a href="http://www.ey.com/Global/download.nsf/International/TSRS_-_GISS_2006/$file/EY_GISS2006.pdf">2006 Global Information Security Survey</a>.<br><br> 4 Dec 2006 23:35:14 +0100 http://www.iso27000.es http://www.iso27000.es McAfee resalta que los creadores de virus, programas espías y spam se están convirtiendo en profesionales, con mayores recompensas económicas. Por ello vislumbra técnicas más sofisticadas. Qué se espera para el 2007<br><br> De acuerdo con los datos de McAfee Avert Labs, con más de 217.000 tipos diferentes de amenazas conocidas y miles más que aún no se han identificado, está claro que el malware está siendo distribuido cada vez más por profesionales y criminales organizados.<br><br> En julio de 2006, McAfee anunció oficialmente el lanzamiento de su protección para la amenaza Nº 200.000 en su base de datos. Desde el 1 de enero de 2006, McAfee ha agregado aproximadamente 50.000 nuevas amenazas a su base de datos y avanza a superar 225.000 nuevas amenazas a fines del año. Dadas las tendencias actuales, McAfee espera que se identifique la amenaza Nº 300.000 hacia fines de 2007, con lo que se demuestra su potencial de crecimiento.<br><br> A continuación se presentan las diez principales amenazas de seguridad informadas por McAfee Avert Labs para el año 2007 (sin orden en particular): <br><br> 1- Aumentará la cantidad de sitios Web para robar contraseñas mediante el uso de páginas de inicio falsas para servicios en línea populares como eBay<br><br> 2- El volumen del spam, en particular del spam con imágenes que consume gran ancho de banda, seguirá aumentando<br><br> 3- La popularidad del uso compartido del video en la Web hace inevitable que los hackers comiencen a usar archivos MPEG como un medio de distribuir código malicioso<br><br> 4- Los ataques a teléfonos móviles se harán más frecuentes a medida que los dispositivos móviles se hagan más "inteligentes" y con mayor conexión<br><br> 5- Los programas publicitarios fortalecerán su dominio siguiendo el aumento de los Posibles programas no deseados (PUP, Potentially Unwanted Programs) comerciales<br><br> 6- Los robos de identidad y la pérdida de datos seguirán siendo un problema público: el origen de estos crímenes a menudo se encuentra en el robo de computadores, la pérdida de respaldos y el compromiso de sistemas de información<br><br> 7- Se incrementará el uso de bots, programas computacionales que realizan tareas automatizadas, como una herramienta favorita para los hackers<br><br> 8- Reaparecerá el malware parasitario, o virus que modifican los archivos existentes en un disco<br><br> 9- Se registrará un aumento en la cantidad de rootkits en plataformas de 32 bits; sin embargo, las capacidades de protección y reparación también se potenciarán<br><br> 10- Las vulnerabilidades seguirán causando preocupaciones fomentadas por el mercado clandestino de las vulnerabilidades<br><br> Información completa en <a href="http://www.infobae.com/notas/nota.php?IdxSeccion=1&Idx=289096">Infobae</a>.<br><br> 4 Dec 2006 23:35:17 +0100 http://www.iso27000.es http://www.iso27000.es FinancialTech Magazine es una publicación de Prensa Internet S.L., empresa especializada en creación de contenidos tecnológicos y consultoría en temas de comunicación, marketing y desarrollo de negocios para empresas e instituciones relacionadas con las Tecnologías de la Información e Internet.<br> <br> El director de FinancialTech Magazine es Oski Goldfryd, destacado periodista especializado en Tecnologías de la Información e Internet, con más de veinte años de experiencia en la dirección y colaboración en publicaciones técnicas, especializadas y de divulgación en España.<br> <br> Tal como indica <A href="http://inza.wordpress.com/2006/12/02/financial-tech-magazine-cumple-100-ediciones/">Inza</A> Financial Tech Magazine cumple 100 ediciones: <a href="http://www.financialtech-mag.com">Financial Tech</a>.<br> <br> Visite nuestra sección de <A href="http://www.iso27000.es/boletines.html">Boletines</A> o habilite el canal correspondiente vía <a href="http://www.iso27000.es/rssinfo.html">RSS info</a>. 4 Dec 2006 23:35:19 +0100 http://www.iso27000.es <IMG style="WIDTH: 90px; HEIGHT: 40px" height=49 alt="" hspace=3 src="http://www.financialtech-mag.com/_img_ed/Ntt-communications.gif" width=144 align=left vspace=3 border=1>NTT Europe Online, especializada en soluciones y servicios gestionados online, ha anunciado que ha logrado el estándar de gestión de la información ISO 27001, el certificado de seguridad más avanzado.<BR><BR> Esta certificación, con la que sólo cuentan dos compañías del sector de las telecomunicaciones, asegura que NTT Europe Online cumple los más avanzados requerimientos de seguridad en cuanto al tratamiento de los datos y la información, y garantiza que trata de la manera más segura posible los datos de todos sus clientes.<BR><BR> Para Gonzalo Salsas, director general de NTT Europe Online &ldquo;contar con esta certificación será una obligación para cualquier empresa que quiera competir en el mercado”, y apunta que &ldquo;se deben exigir mutuamente niveles concretos y adecuados de seguridad informática. Además son necesarios si se desean interrelacionar sistemas entre diferentes organizaciones, o se abrirían brechas de seguridad entre sí”.<BR><BR> Como parte de la acreditación ISO27001, NTT Europe Online mantiene su propio plan de continuidad y equipo de gestión de seguridad de la información, así como un conjunto de procedimientos internos sometidos a auditoría externa cada seis meses por parte del departamento de Aseguramiento de la Calidad de Lloyd’s Register.<BR><BR> Artículo completo en <A href="http://www.financialtech-mag.com/000_estructura/index.php?id=24&idb=101&ntt=6703&sec=14&vn=1">Finantial Tech magazine</A><BR><BR> 4 Dec 2006 23:35:20 +0100 http://www.iso27000.es Se celebrará del 20 al 23 de Mayo en el Palu de Congressos de Catalunya.<br><br> Confirmación del programa y asistentes en próximas fechas en <a href="http://gartner.com/it/sym/2007/spr8/spr8_home.jsp">Gartner.com</a>.<br><br> 4 Dec 2006 23:35:20 +0100 http://www.iso27000.es http://www.iso27000.es Los contenidos de este número, entre otros, son:<br><br> - <a href="http://informationsecurity.techtarget.com/magItem/0,291266,sid42_gci1232273,00.html">Protect What's Precious</a> by Marcia Savage<br> We asked and you answered: Insiders, information leaks, compliance and the bottom line are your front-and-center priorities for 2007. <br><br> - <a href="http://informationsecurity.techtarget.com/magItem/0,291266,sid42_gci1232274,00.html">Don't Just Kick the Tires</a> by Ed Skoudis<br> Powerful new security tools examine your security investments to ensure you won't be stuck with a lemon. <br><br> - <a href="http://informationsecurity.techtarget.com/magItem/0,291266,sid42_gci1232275,00.html">Don't Wait for Disaster</a> by Marcia Savage<br> Security managers are covering their bases to curb the effects of an avian flu pandemic. We look at what some are doing. <br><br> - <a href="http://informationsecurity.techtarget.com/magItem/0,291266,sid42_gci1232276,00.html">Judgment Day</a> by Bill Brenner<br> PCI auditors are coming: They lay out the missteps of others so you can be spared a similar fate. <br><br> La revista está disponible online en <a href="http://informationsecurity.techtarget.com/magIssue/0,291265,sid42_iss1232272,00.html">Informartionsecurity</a> <br><br> Visite nuestra sección de <a href="http://www.iso27000.es/boletines.html">Boletines</a>.<br><br> 4 Dec 2006 23:35:22 +0100 http://www.iso27000.es http://www.iso27000.es "Evento importante sin duda. Motivos, múltiples: tema, número de asistentes, nivel de los mismos, ponentes, … Me refiero al I Congreso de itSMF España que tuvo lugar el pasado jueves en la capital. Estimé que no podía faltar al evento por lo interesante de las ponencias y por los contactos e intercambios de información que en el mismo podría hacer referentes a ITIL e ISO 20000. Aun cuando hace casi una semana desde el mismo, no puedo dejar la ocasión de dejar esta referencia al mismo.<br><br> Para los que no conozcan itSMF España, comentar que es un foro creado en nuestro país en octubre de 2005 de cara a facilitar el desarrollo de una comunidad de habla hispana en torno a la Gestión de Servicios IT (GSIT), proporcionar información y orientación sobre los estándares, mejores prácticas y metodologías referentes a GSIT, promover el intercambio de casos prácticos españoles sobre la aplicación de estos/as y realizar un seguimiento del estado de madurez de la GSIT en España frente a otros países europeos y del resto del mundo."<br><br> Evento comentado por José Manuel Fernández en blog personal <a href="http://iso9001-iso27001-gestion.blogspot.com/2006/11/i-congreso-itsmf-espaa.html">iso9001-iso27001-gestion.blogspot.com</a>.<br><br> 4 Dec 2006 23:35:21 +0100 http://www.iso27000.es http://www.iso27000.es Tras el artículo de "Introducción a la norma ISO 27001" del pasado Abril, Alfonso Calvo Orra, Licenciado en Informática (UPM) y Auditor Informático Certificado CISM, CISA y Auditor Jefe SGSI publica en la revista "Auditoría y Seguridad" (ver Boletines www.iso27000.es) este segundo artículo de la serie sobre la norma en el que se identifican los requisitos más significativos que debe cumplir un SGSI (Sistema para la Gestión de la Seguridad de la Información).<br><br> Fuente e información completa: <A href="http://www.revista-ays.com/DocsNum06/Normas/Alfonso.pdf">Auditoría y Seguridad </A> 4 Dec 2006 23:35:22 +0100 http://www.iso27000.es http://www.iso27000.es <IMG style="WIDTH: 100px; HEIGHT: 60px" height=49 alt="" hspace=3 src="http://www.bitsinfo.org/GRAPHICS/logo-main.gif" width=144 align=left vspace=3 border=1>BITS es un consorcio sin ánimo de lucro formado por CEOs, cuyos miembros pertenecen a 100 de las mayores instituciones de EEUU. <BR><BR> BITS se fundó por CEOs de estas instituciones como un espacio estratégico de pensamiento para la industria de servicios financieros en áreas como el comercio electrónico, gestión del riesgo, retribuciones y tecnología. <BR><BR> Entre las publicaciones que BITS ofrece en libre acceso desde su página Web destacamos:<BR><BR> - <A href="http://www.bitsinfo.org/downloads/Publications%20Page/bitstoolfeb06.pdf">Toolkit de protección contra el Fraude</A><BR><BR> - <A href="http://www.bitsinfo.org/downloads/Publications%20Page/BITSConsumerConfidenceToolkitPublicOCTOBER2006FINAL.pdf">Toolkit de confidencialidad del consumidor: seguridad de los datos y servicios financieros</A><BR><BR> - <A href="http://www.bitsinfo.org/downloads/Publications%20Page/bitsdatatrans.pdf">Consideraciones clave para la seguridad de los datos en su almacenamiento y transporte.</A><BR><BR> - <A href="http://www.bitsinfo.org/downloads/Publications%20Page/BITS%20Kalculator/bitskalculatorspreadsht.xls">Calculadora BITS(hoja de cálculo): Herramienta de evaluación del riesgo operacional de la seguridad de la información.</A><BR><BR> - <A href="http://www.bitsinfo.org/downloads/Publications%20Page/BITS%20Kalculator/bitskalculatorsample.zip">Calculadora BITS(ejemplo hoja de cálculo): Herramienta de evaluación del riesgo operacional de la seguridad de la información.</A><BR><BR> Enlace BITS <A href="http://www.bitsinfo.org/p_publications.html#FR">BITS</A><BR><BR> 4 Dec 2006 23:35:23 +0100 http://www.iso27000.es <IMG style="WIDTH: 90px; HEIGHT: 40px" height=49 alt="" hspace=3 src="http://www.valtech.com/img/logos/v_valtech.gif" width=144 align=left vspace=3 border=1>Valtech India Systems Pvt Ltd. ha sido certificada por TUV Rheinland Industries Services en la norma ISO/IEC 27001:2005.<BR><BR> El principal énfasis de un Sistema de Gestión de la Seguridad de la Información es la prevención.<BR><BR> El ámbito de la certificación es el estudio, análisis, diseño, programación y pruebas en las áreas de desarrollo de productos software, servicios de desarrollo de proyectos utilizando el modelo Agile, proyectos de Mantenimiento y Reingeniería en el área de servicios financieros, aeroespacial, producción, venta, viajes y telecomunicaciones.<BR><BR> "Hemos integrado el SGSI con el Sistema de Gestión de la Calidad que cubría las mejores prácticas de ISO 9001/ Agile /CMM Level 5. La seguridad de la información es vital para nosotros y para todos nuestros clientes. Esta certificación ayuda a mejorar nuestras prácticas en seguridad y también nuestros procesos de desarrollo del software. Estas prácticas nos ayudan a ganar un mayor crédito y nivel de confianza por parte de nuestros clientes y del Gobierno.", declaró Sujatha Balakrishman, CISO y Vicepresidente de Calidad y Pruebas de Valtech.<BR><BR> "Estamos encantados de haber logrado esta certificación, la cual prueba nuestro compromiso en la toma de medidas proactivas para la prevención de brechas de seguridad. Es absolutamente necesario proporcionar a nuestros clientes los más altos niveles de competencia en la gestión de la seguridad de la información", concluye Oliver Cavrel, CEO de Valtech India.<BR><BR> Fundada en 1993, Valtech Corporation es una importante compañía dedicada a servicios de consultoría de negocio y tecnología. Dispone de unos 1100 empleados y opera en 16 oficinas localizadas en EEUU, Europa y Asia.<BR><BR> Artículo completo en <A href="http://www.valtech.co.uk/etc/medialib/pdf/mc/uk/uk_news___pr/india_iso_certificate.Par.33621.File.tmp/ISO%20IEC27001%20-%20ENG.pdf">Valtech.co.uk</A><BR><BR> 4 Dec 2006 23:35:24 +0100 http://www.iso27000.es <IMG style="WIDTH: 152px; HEIGHT: 55px" height=49 alt="" hspace=3 src="http://www.e-dialog.com/images/logo_hm.jpg" width=144 align=left vspace=3 border=1>e-Dialog se convirtió recientemente en el primer proveedor de servicios de Correo Electrónico en lograr la certificación ISO 27001.<BR><BR> La compañía anunció el pasado mes de Septiembre el logro de la certificación y la fuerte protección que supone para la confidencialidad, integridad y disponibilidad de más de 10 Terabytes de información que e-Dialog maneja de sus clientes.<BR><BR> Forrester Research, en su informe de noviembre de 2005, "ISO 27001: Los Negocios ya pueden lograr una certificación ISO en seguridad" escribió que " las organizaciones que procuren ligar los controles de seguridad de la información dentro de su cultura y utilicen la certificación para manejar sus riesgos de seguridad, obtendrán el mayor beneficio de este esfuerzo."<BR><BR> Una de las muchas ventajas que el informe cita es que "las organizaciones adoptarán este estándar para validar la seguridad de un cliente, de los socios de negocio, servicios externalizados o cualquier tercero asociado con la organización. Las empresas que se decidan a lograr esta certificación rápidamente pueden perder rápidamente terreno dentro de la economía global en favor de competidores dispuestos a estar certificados."<BR><BR> Artículo completo en: <A href="http://www.e-dialog.com/press/060920_e_Dialog_Release_ISO27001_FINAL.pdf">E-Dialog</A><BR><BR> 4 Dec 2006 23:35:25 +0100 http://www.iso27000.es Ampliamos nuestra sección de podcasts con una entrevista a Vicente Aceituno.<br> <br> <A href="http://www.seguridaddelainformacion.com/" >Vicente</A> es el autor principal de <A href="http://www.ism3.com/index.php" >ISM3</A> (pronúnciese ISM cubo), que es un modelo de madurez de gestión de seguridad de la información. Este modelo persigue facilitar la creación de SGSIs alineados con el negocio, ser aplicable a cualquier tipo de organización, permitir a las organizaciones priorizar y optimizar sus inversiones en seguridad de la información, apoyar la mejora continua de los SGSIs y dar soporte al externalización de procesos de seguridad. ISM3 es compatible con ITIL, ISO 27001, ISO 9001 y CobiT. En este <A href="http://www.iso27000.es/download/ISM3-VicenteAceituno.mp3" >podcast</A>, Vicente Aceituno comentará todos estos aspectos.<br> <br> Recordamos que dentro de esta serie de entrevistas, ya se han publicado:<br> <br> Podcast <A href="http://www.iso27000.es/download/Applus_LauraPrats.mp3" >Laura Prats, Applus+</A>. Certificaciones ISO 27001 y UNE 71502, acreditación de entidades de certificación. <br> Podcast <A href="http://www.iso27000.es/download/Camersec-Malaga.mp3" >promotores CAMERSEC</A>. Certificación SGSIs en pymes andaluzas. <br> Podcast <A href="http://www.iso27000.es/download/Telefonica_MiguelBanegas.mp3" >Miguel Banegas, Telefónica Empresas</A>. Implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid). <br> Podcast <A href="http://www.iso27000.es/download/Everis_MiguelAngelThomas.mp3" >Miguel Ángel Thomas, Everis (DMR Consulting)</A>. Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002). <br> Podcast <A href="http://www.iso27000.es/download/BSI_AlejandroGarcia.mp3" >Alejandro García, BSI</A>. Estado actual y evolución en la certificación ISO 27001. <br> Podcast <A href="http://www.iso27000.es/download/SGS-AlvaroRodriguezDeRoa.mp3" >Álvaro Rodríguez de Roa, SGS ICS</A>. Proceso de certificación de un SGSI. <br> Podcast <A href="http://www.iso27000.es/download/Nextel_AgustinLerma.mp3" >Agustín Lerma, Nextel</A>. Gestión de riesgos. <br> Podcast <A href="http://www.iso27000.es/download/Nexus_JoseManuelFernandez.mp3" >José Manuel Fernández, Nexus</A>. Implantación de un SGSI. <br> Podcast <A href="http://www.iso27000.es/download/Aenor-CarlosMFernandez.mp3" >Carlos Manuel Fernández, Aenor</A>. SGSI, ISO 27001, UNE 71502 y certificación. <br> Podcast <A href="http://www.iso27000.es/download/HistoriaISO27001.pps" >Historia de ISO 27001, www.ISO27000.es</A>.<br> <br> 28 Nov 2006 22:50:22 +0100 http://www.iso27000.es El viernes 1 de Diciembre, a partir de las 18:00, se celebrará una nueva edición de las conferencias F.I.S.T. en Barcelona.<br> <br> Es un evento gratuito y abierto al público en el que voluntarios realizan una serie de presentaciones y coloquios sobre diversos aspectos relacionados con los Test de Intrusión y la Seguridad de la Información.<br> <br> El evento tendrá lugar en la sala Paranimf de la Universitat Ramon Lull - La Salle<br> <br> Más información e inscripciones en: <a href="http://www.fistconference.org/barna.php">FIST Conference</a><br> <br> <a href="http://www.fistconference.org/archivos.php">Aquí</a> están disponibles las presentaciones de las anteriores ediciones de las conferencias.<br> <br> 28 Nov 2006 17:08:48 +0100 http://www.iso27000.es Por tercer año consecutivo, tendrá lugar en San Juan (Puerto Rico) el evento InfoSecurity organizado por la empresa <A href="http://www.i-sec.org" >I-SEC Information Security</A>.<br><br> Se celebrará los próximos 6 y 7 de Diciembre en el San Juan Hotel & Casino y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.<br><br> Más información e inscripciones, en <A href="http://www.infosecurityonline.org/infosecurity/eventos/prico/sanjuan2006.php" >www.infosecurityonline.org</A>.<br> <br> 28 Nov 2006 16:56:29 +0100 http://www.iso27000.es Bruce Schneier <a href="http://www.schneier.com/blog/archives/2006/11/why_management.html">comenta</a> en su blog un reciente informe sobre la poca importancia que dan los directivos de las empresas a la seguridad de la información.<br> <br> En una larga lista de comentarios, muchos lectores de su blog expresan interesantes opiniones acerca de lo que piensan pueden ser los motivos de este desinterés, sus experiencias personales y posibles formas de abordar el problema.<br> <br> 28 Nov 2006 13:03:44 +0100 http://www.iso27000.es Está disponible para su <a href="http://www.insecuremag.com/">descarga</a> el último número de la revista (In)Secure.<br> <br> A lo largo de 78 páginas, se tratan temas como:<br> <br> * Effectiveness of security by admonition: a case study of security warnings in a web browser setting<br> <br> * Interview with Kurt Sauer, CSO at Skype<br> <br> * Web 2.0 defense with AJAX fingerprinting and filtering<br> <br> * Hack In The Box Security Conference 2006<br> <br> * Where iSCSI fits in enterprise storage networking<br> <br> * Recovering user passwords from cached domain records<br> <br> * Do portable storage solutions compromise business security?<br> <br> * Enterprise data security - a case study<br> <br> * Creating business through virtual trust: how to gain and sustain a competitive advantage using information security<br> <br> 28 Nov 2006 12:36:24 +0100 http://www.iso27000.es Build Security In Software Assurance Initiative (BSI) es un proyecto de la National Cyber Security Division (NCSD) del Department of Homeland Security de EEUU.<br> <br> Su objetivo principal es la reducción de vulnerabilidades en el software a través de la concienciación de la necesidad de implementar la seguridad en los desarrollos de software desde las fases iniciales de diseño.<br> <br> Su <a href="https://buildsecurityin.us-cert.gov/daisy/bsi/home.html">página web</a> ofrece información, artículos, noticias, eventos, enlaces, etc., muy útiles para desarrolladores de software que quieran diseñar sistemas seguros y fiables.<br> <br> 28 Nov 2006 12:12:21 +0100 http://www.iso27000.es El NIST (National Institute of Standards and Technology) ha publicado el pasado mes de Octubre un manual de seguridad de la información.<br> <br> En la habitual línea de rigor del NIST, se abordan a lo largo de 176 páginas temas como el buen gobierno de la seguridad de la información, el ciclo de vida de desarrollo de sistemas, formación y concienciación, control de inversiones, interconexión de sistemas, mediciones de rendimiento, planificación de la seguridad, planificación de contingencias, gestión de riesgos, certificación y evaluación de la seguridad, compra de productos y servicios de seguridad, respuesta ante incidentes y gestión de configuraciones.<br> <br> El manual es de descarga gratuita. Vea nuestra sección de <a href="http://www.iso27000.es/publicaciones.html">Guías y publicaciones</a><br> <br> 28 Nov 2006 11:19:41 +0100 http://www.iso27000.es El pasado mes de Septiembre, el Software Engineering Institute de la Universidad Carnegie Mellon publicó en CERT un libro de 368 páginas dedicado a la defensa en profundidad de sistemas de información.<br> <br> Se trata de un manual en inglés de introducción a la materia, escrito en un lenguaje claro, y que trata temas como fundamentos del aseguramiento de la información, gestión de conformidad, gestión de riesgos, gestión de identidades, gestión de autorizaciones, monitorización, gestión de la disponibilidad, gestión de configuraciones y gestión de incidencias.<br> <br> El manual es de descarga gratuita. Vea nuestra sección de <a href="http://www.iso27000.es/publicaciones.html">Guías y publicaciones</a><br> <br> 28 Nov 2006 09:36:53 +0100 http://www.iso27000.es Los pasados 21 y 22 de noviembre se celebró en el Palacio de la Misión de la Casa de Campo de Madrid el VIII Congreso Internacional de Profesionales IT, organizado por la Fundación Dintel.<br> <br> Asistieron más de trescientas personas a 8 sesiones técnicas y una sesión de clausura, con un total de 37 ponentes.<br> <br> Entre otros muchos temas relacionados con las TIC, también se habló de seguridad de la información, auditoría, gestión de riesgos, normativas, etc.<br> <br> En la página web de Dintel pueden <a href="http://www.dintel.org/VIICongreso/DescargaPonencias.htm">descargarse</a> ponencias como las siguientes:<br> <br> "BSM, ITIL y la ISO 20000: Evolución en la Gestiónde Servicios de TI"<br> "Tendencias en Certificación y Firma Electrónica - Experiencias del Gobierno de Aragón"<br> "Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda - CERES Entidad Pública de Certificación electrónica"<br> "Tendencias en Certificación y Firma Electrónica"<br> "Tendencias en Auditoría y Seguridad de la Información"<br> "Cumplimiento Legal y Gestión de la Seguridad"<br> "La gestión de riesgos TI como factor estratégico: una visión del futuro"<br> "Evolución del fraude digital"<br> "Cumplimientode Normativas: una realidad para las TI"<br> "Tendencias tecnológicas en disponibilidad de sistemas TIC"<br> "Seguridad más allá de los estándares"<br><br> 27 Nov 2006 18:34:55 +0100 http://www.iso27000.es Según una nota informativa de AENOR, a finales de Diciembre se dispondrá de las dos partes de ISO 20000 (Gestión de Servicios TI) en español.<br> <br> A partir del primer trimestre de 2007, AENOR comenzará a certificar en base a esta norma.<br> <br> Para más información:<br> <br> División de Desarrollo Estratégico y Corporativo de AENOR<br> c/Génova 6<br> 28004 Madrid<br> Tel. +34 91 432.60.04<br> <br><br> 27 Nov 2006 17:16:27 +0100 http://www.iso27000.es La revista <a href="http://www.revista-ays.com">Auditoría y Seguridad</a>, de la Fundación Dintel, pasará a publicarse mensualmente, en lugar de bimensualmente como hasta ahora.<br> <br> Asimismo, en los primeros meses de 2007, comenzará a publicarse la edición Iberoamericana de la revista. La impresión de la revista de realizará en Ecuador y desde allí se distribuirá a toda Iberoamérica. Los contenidos reflejarán la realidad tanto americana como española y europea.<br> <br> 27 Nov 2006 16:33:29 +0100 http://www.iso27000.es El Cluster TIC Asturias organiza el Seminario "La Seguridad de la Información" que tendrá lugar el miércoles 29 de Noviembre en el Parque Científico y Tecnológico de Gijón. En este seminario participarán dos empresas del Grupo SIGEA: LEGAL PROTECT y CONTEIN XXI que expondrán el caso de éxito del proyecto y harán una demo del software de Análisis de Riesgos de Seguridad GxSGSI.<br> <br> Más información e inscripciones en: <a href="http://www.legal-protect.com/index.php?option=com_content&task=view&id=251&Itemid=2">Legal Protect</a><br> <br> 27 Nov 2006 16:00:45 +0100 http://www.iso27000.es <IMG style="WIDTH: 357px; HEIGHT: 92px" alt="" hspace=0 src="http://www.capsdesi.upm.es/theme/standardwhite-aaplus/logo.jpg" align=baseline border=1> Como anunciamos ya hace unas semanas, los días 29 y 30 de noviembre se celebrará en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT de la Universidad Politécnica de Madrid, el Primer Congreso de la Cátedra UPM-Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI y el Día Internacional de la Seguridad de la Información DISI. <br><br> Lo organizan la EUITT, Applus+ y la UPM, bajo el patrocinio de la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones ASIMELEC, AFINA, el Centro Criptológico Nacional CCN y Red Seguridad, y con la colaboración de la Asociación de Técnicos de Informática ATI, la Information Systems Security Association ISSA, la Asociación de Ingenieros en Informática AI2, Hispasec Sistemas y Hakin9. <br><br> El miércoles 29 y la mañana del jueves 30, se celebrará el congreso CAPSDESI. El jueves 30 por la tarde, el Día Internacional de la Seguridad de la Información DISI. <br><br> El costo de la inscripción a todo el evento es de 350 Euros, vía <A href="http://www.asimelec" target=_blank>Asimelec</A>.<br><br> La inscripción a DISI, totalmente gratuita, se deberá realizar a través de la cátedra <A href="http://www.capsdesi.upm.es" target=_blank>Capsdesi</A>.<br><br> Programa completo disponible en formato PDF:&nbsp;<A href="http://www.capsdesi.upm.es/file.php/1/descargas/ProgramaFinal_Congreso_CAPSDESI_2006.pdf" target=_blank>Capsdesi</A><br> <br> 27 Nov 2006 15:55:31 +0100 http://www.iso27000.es Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una nueva entrevista a Laura Prats Abadía, Auditor jefe de Sistemas de Gestión de Seguridad de la Información y responsable de producto de certificación de Applus+.<br> <br> En el podcast se tratan, entre otros:<br> - aportaciones de la norma UNE 71502<br> - estado actual de la seguridad de la información en España<br> - el paso de las certificaciones UNE 71502 a ISO 27001<br> - ventajas de la certificación en las empresas<br> - la expectativa de crecimiento en el número de certificaciones<br> - el perfil profesional de un auditor de SGSI<br> - el proceso de acreditación por ENAC de entidades certificadoras de SGSI para España<br> <br> La entrevista está disponible en: <A href="http://www.iso27000.es/download/Applus_LauraPrats.mp3" >Artículos y Podcast</A><br> <br> Esta sección seguirá recibiendo nuevos podcasts y ampliando las aportaciones en relación a los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:<br> <br> <A href="http://www.iso27000.es/download/Camersec-Malaga.mp3" >Podcast promotores CAMERSEC</A>. Certificación SGSIs en pymes andaluzas<br> <A href="http://www.iso27000.es/download/Everis_MiguelAngelThomas.mp3" >Podcast Miguel Ángel Thomas, Gerente de Everis (antes DMR Consulting)</A>. Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002)<br> <A href="http://www.iso27000.es/download/BSI_AlejandroGarcia.mp3" >Podcast Alejandro García de BSI</A>.Estado actual y evolución en la certificación ISO 27001<br> <A href="http://www.iso27000.es/download/SGS-AlvaroRodriguezDeRoa.mp3" >Podcast Alvaro Rodríguez de Roa.</A>Certificación de un SGSI.<br> <A href="http://www.iso27000.es/download/Nextel_AgustinLerma.mp3" >Podcast Agustín Lerma</A>. Gestión de riesgos. <br> <A href="http://www.iso27000.es/download/Nexus_JoseManuelFernandez.mp3" >Podcast José Manuel Fernández. Nexus</A>. Implantación de un SGSI. <br><A href="http://www.iso27000.es/download/Aenor-CarlosMFernandez.mp3" >Podcast Carlos Manuel Fernández. Aenor</A>. SGSI, ISO 27001, UNE 71502 y certificación. <br> <A href="http://www.iso27000.es/download/HistoriaISO27001.pps" >Podcast Historia de ISO 27001. www.ISO27000.es</A><br> <br> 20 Nov 2006 23:26:19 +0100 http://www.iso27000.es <IMG style="WIDTH: 152px; HEIGHT: 55px" height=49 alt="" hspace=3 src="http://www.bleum.com/images/logo.gif" width=144 align=left vspace=3 border=1>Bleum, uno de los proveedores líder en el desarrollo de servicios de software a medida, anunció el pasado 24 de Octubre que su centro de desarrollo de Shanghai había sido examinado en la norma ISO 27001 por BSI. La certificación en ISO 27001 demuestra que la compañía dispone de un sistema de gestión de seguridad con los controles adecuados y apropiados implantados. <BR><BR>China está incrementando su importancia como destino estratégico de outsourcing para muchas de las compañías Fortune 1000 pero algunos de los obstáculos para crecer en este sector están relacionados con los derechos de propiedad intelectual y de capacidad, por este motivo, es importante que las compañías Chinas que prestan servicios de externalización de software demuestren su fortaleza en estas áreas.<BR><BR><IMG alt="" hspace=3 src="http://www.bleum.com/images/cmm5.gif" align=left vspace=3 border=1>En relación a la certificación, Eric Rongley, fundador de Bleum y CEO comenta, "Convertirse en una de las primeras compañías de software de China en obtener la certificación ISO 27001, junto a la certificación del nivel 5 en CMM que recibimos el año pasado, realmente prueba nuestra posición número uno dentro de los proveedores de servicios outsourcing de China en cuanto a calidad, excelencia y capacidad. Adicionalmente, este tipo de acreditación internacional hace posible que los usuarios finales dispongan de un mayor conciencia y referencia de la calidad y estándares que pueden esperar de nosotros".<BR><BR><IMG style="WIDTH: 99px; HEIGHT: 59px" height=57 alt="" hspace=3 src="http://www.bleum.com/images/iso_logo_small.jpg" width=101 align=left vspace=3 border=1>Excepcionalmente, Bleum ha prescindido de la ayuda de consultores externos y desde el inicio del diseño de la implantación hasta la visita de certificación han transcurrido 9 meses, con dos visitas previas de auditores de BSI. Para el mantenimiento, Bleum recibirá dos visitas de seguimiento al año. <BR><BR>Artículo completo en: <A href="http://www.sys-con.com/read/290063.htm">Sys-Con Media</A><BR><BR> 20 Nov 2006 23:26:18 +0100 http://www.iso27000.es <IMG height=38 alt="" hspace=3 src="http://www.firstdata.com/images/fd_logo.gif" width=90 align=left vspace=3 border=1>First Data International es una compañía independiente líder en el procesamiento de transacciones en Europa, Oriente Medio y África con más de 20 años de experiencia en procesos de pago en Europa, unos 100 clientes en 27 países y 5000 empleados. La compañía presta servicios a otras instituciones financieras y actualmente líder en servicios de pago y comercio electrónico.<BR><BR>Olivier Burrows, Director para el aseguramiento de la calidad de First Data comenta: "Estamos en el negocio de servicios financieros y a veces tenemos que suministrar cheques para clientes. Requerimos del estándar ISO 27001 para poder ofrecer este servicio a nuestros actuales clientes potenciales. Disponer del estándar 9001 es un añadido, por el que nuestros clientes pueden estar a salvo sabiendo que disponemos de un sistema fuerte y robusto." <BR><BR>Además, el mantenernos actualizados en los cambios que se producen en el negocio de servicios financieros, como las normativas de MasterCard y el Visa, es también un reto. Sin embargo, teniendo tanto la ISO 9001 como 27001 implantadas significa que su cumplimiento esta cubierto.<BR><BR>La implantación de ISO 27001 se facilitó con el apoyo de dirección y colaboración de gente clave dentro de cada departamento para tirar del proyecto hacia adelante. <BR><BR>Olivier Burrows comenta: "Teníamos 9001 implantado desde hacía unos años y el proceso comenzó con la adquisición de la gente clave de la parte alta del organigrama, para ayudar a conducir el proyecto por toda la empresa. Disponíamos por tanto de 'campeones' dentro de cada departamento que 'cogieron el toro por los cuernos' y lograron que cada sección estuviera dispuesta para la certificación, y así es como aún hoy desarrollamos el estándar. <BR><BR>27001 certifica únicamente el servicio postal y de impresión pero el estándar era utilizado por nuestro equipo de seguridad TI. Utilizamos el mismo proceso y, aunque debería haber requerido de 12 a 18 meses para conseguirlo, estamos contentos de decir que completamos el proyecto en 4 meses. Esto es el resultado de mucho trabajo duro por parte de todos los implicados."<BR><BR>La entidad de certificación en otorgar la certificación fue BSI y First Data se beneficia ahora de la producción de cheques para actuales y nuevos clientes atraídos por la certificación.<BR><BR>De cara al futuro Olivier Burrows comenta "ISO 27001 e ISO 9001 nos ayudarán a mantener nuestros clientes actuales, estimulándoles a mantener sus contratos. Es también nuestro punto de referencia para la mejora continua. Esperamos ganar más cuota de mercado en el futuro mediante clientes que no habían contratado los servicios de First Data anteriormente." <BR><BR>Información completa en: <A href="http://www.bsi-uk.com/Newsletter/July06/FirstData.pdf">BSI Newsletter</A><BR><BR> 20 Nov 2006 23:26:16 +0100 http://www.iso27000.es Número 6 y último del año 2006 correspondiente a Noviembre-Diciembre, de la revista Auditoría y Seguridad.<br><br> El jueves 25 de enero de 2007 a las 7 de la tarde (un año después del lanzamiento de la revista) tendrá lugar en el Palacio de la Misión la Gran Fiesta DINTEL´2007 en la que se anuncirán importantes novedades, entre otras:<br><br> - La frecuencia de publicación pasará a ser mensual.<br><br> - La publicación del Boletín &laquo;El Faro de la Seguridad&raquo; con periodicidad semanal, como complemento de actualidad permanente de la propia Revista.<br><br> - El inicio de la publicación en papel desde Ecuador y para toda Iberoamérica de la edición iberoamericana de la revista.<br><br> La revista está disponible online en <a href="http://www.revista-ays.com">www.revista-ays.com</a> <br><br> Visite nuestra sección de <a href="http://www.iso27000.es/boletines.html">Boletines</a>.<br><br> 20 Nov 2006 23:26:23 +0100 http://www.iso27000.es Adare ha alcanzado cuatro prestigiosas certificaciones y la convierten en una de las primeras empresas del Reino Unido en ser registrada por BSI en un sistema de gestión integrado (IMS).<BR><BR>El excepcional logro tiene como resultado una única política que cubre calidad, medioambiente, salud y seguridad laboral, además de seguridad de la información. A partir de ahora se asegura que el proceso de revisión requerido por parte de la dirección cubre el sistema completo en vez de partes individuales.<BR><BR>Adare Lexicon había recibido ya el certificado de calidad según ISO 9001, de gestión medioambiental según ISO 14001, así como de salud y seguridad laboral según OHSAS 18001. Esto, unido a la satisfacción de criterios adicionales específicos, provocó la recompensa con el registro del IMS. <BR><BR>No obstante, la compañía fue un paso más lejos y se acreditó en ISO 27001 para la gestión de la seguridad de la información, convirtiéndola en una de las contadas compañías que disponen de todas estas acreditaciones bajo un único sistema de gestión integrado. Además del logro, Adare obtuvo este impresionante nivel en acreditación en menos de 10 meses.<BR><BR>Glyn Tomkins, responsable de calidad de Adare Lexicon comenta que "Adare ha sido registrada por BSI como un Sistema de Gestión Integrado, por el que las compañías tienen que cumplir con ciertos criterios además de los requisitos de los tres estándares individuales (ISO 9001, ISO 14001 e ISO 18001). Además, hemos integrado los requisitos de ISO 27001 dentro de las políticas y procedimientos, proporcionando a Adare un sistema completamente integrado."<BR><BR>"Ante todo, perseguimos ofrecer a los clientes el más alto nivel de servicio en cada punto de nuestra relación. Las acreditaciones son la prueba de que estamos midiendo y mantenemos consecuentemente estos niveles."<BR><BR>El tipo de acreditaciones significa que Adare puede ofrecer un ambiente completamente seguro a los clientes quienes, por contra, pueden confiar en que su información se almacena, imprime y disponible de la confidencialidad bajo los más duros regímenes.<BR><BR>Las acreditaciones también cubren salud y seguridad laboral, que se están convirtiendo en cada vez más importantes para las compañías que esperan que los suministradores demuestren que están protegiendo a su personal y proporcionan un entorno de trabajo seguro. Asimismo, muchas compañías Británicas animan a sus suministradores a salvaguardar el ambiente y animan el reciclaje donde sea posible, tal y cómo se reconoce por ISO 14001.<BR><BR>Dos compañías más de Adare también han alcanzado la acreditación en el reciente estándar ISO 27001, demostrando la importancia que la compañía pone en alcanzar lo más alto en cuestión de estándares. Adare Halcyon y el especialista en seguridad y soluciones de impresión, Kalamazoo Security Print, agregaron ISO 27001 a sus credenciales que ya incluían la certificación APACS Bank Giro Credit y la acreditación CPAS para la producción de giros y cheques.<BR><BR>Barry Crich, director de operaciones de Adare agrega: &ldquo;que estas compañías ganen la acreditación en ISO 27001 tan rápidamente después de su introducción es un logro fantástico. Es muy positiva y un gratificación adicional el que también hayamos alcanzado el certificado en un Sistema de Gestión Integrado.<BR><BR>"Asegurar la impresión y los servicios de mensajería es una parte integral de las operaciones que realiza Adare y muchos de los sistemas y de los procedimientos requeridos para la certificación estaban ya establecidos con anterioridad. Muchos de los clientes de Adare son del sector de los servicios financieros, donde la seguridad de la información es extraordinaria. Los estándares cubren cada aspecto de la seguridad de la información, desde la contratación y uso del email, pasando por la producción y el almacenamiento de bienes y la seguridad física en el entorno." <BR><BR>"El proceso de aplicación implicó a todas las áreas del negocio y nuestro éxito refleja el duro trabajo y compromiso de cada uno para la mejora de los estándares y servicios en cada parte de la organización." <BR><BR>Más información en: <A href="http://www.adare.com/index.asp?locID=43&amp;docID=128" target=_blank>Adare</A><BR><BR> 20 Nov 2006 23:26:11 +0100 http://www.iso27000.es Alhambra-Eidos, empresa especializada en facilitar soluciones a las necesidades empresariales en el ámbito de las Tecnologías de la Información y las Comunicaciones, ha programado para la segunda semana de diciembre la primera certificación que ofrecerá la compañía en CHFI (Computer Hacking Forensic Investigator).<br><br> El curso, que comienza el 11 de diciembre, es una de las más innovadoras certificaciones ofrecidas en seguridad informática del mercado. Incluido dentro del programa de certificación de EC-Council trata de dar a conocer el proceso de detección de los ataques de los hackers y extraer las pruebas que llevarán al &ldquo;crimen cibernético” tanto para conocer la autoría, como para intentar que no se vuelva a repetir.<br><br> ALHAMBRA-EIDOS cuenta con una amplia experiencia ofreciendo soluciones DRP (Disaster Recovery Plan) a las organizaciones y se convirtió el pasado mes de Septiembre en <a href="http://www.alhambra-eidos.com/web2005/documentos/prensa/EC-Council.pdf">centro de certificación en seguridad</a> de la mano de EC-COUNCIL. <br><br> Las sesiones CHFI tienen una duración de cinco días, en jornada completa de lunes a jueves y el viernes en horario de mañana. Además se incluye el examen de certificación que hay que superar. <br><br> La inscripción al curso finaliza cinco días antes de la fecha de inicio y se impartirá en las aulas de Alhambra-Eidos (C/ Albasanz, 16).<br><br> Más información en el teléfono 902 313 505 o en la propia Web de <a href="http://www.alhambra-eidos.com">Alhambra-Eidos</a><br> <br><br> 20 Nov 2006 23:26:28 +0100 http://www.iso27000.es <IMG style="WIDTH: 195px; HEIGHT: 74px" height=61 alt="" hspace=3 src="https://www.pcisecuritystandards.org/images/logo_pcico.gif" width=180 align=left vspace=3 border=1>S21SEC ha recibido la homologación por parte de VISA como <A href="http://www.visaeurope.com/documents/ais/qualified_security_assessors.pdf">Qualified Security Assessors (QSA)</A>, convirtiéndose en la única empresa española homologada por VISA para llevar a cabo las auditorías in situ requeridas por el estándar de seguridad promovido por la industria, denominado, Payment Card Industry (PCI) - Data Security Standard.<BR><BR>Adicionalmente, S21sec ha conseguido en el presente año los tres certificados que reconoce la Asociación Española de Normalización y Certificación (AENOR) a la gestión de la Seguridad en base a la norma UNE 71502:2004, gestión de la Calidad según la norma UNE-EN ISO 9001:2000 y gestión de I+D+i en base a la norma UNE 166002: 2006.<BR><BR>Más información sobre el estándar y autorización de partners en: <A href="https://www.pcisecuritystandards.org/">PCI Security Standards</A><BR><BR> 20 Nov 2006 23:26:27 +0100 http://www.iso27000.es <IMG alt="" hspace=3 src="http://www.bsecure.com.mx/images/upload/awareness34.jpg" align=left vspace=3 border=1>Una de las bases sobre las que se sustentan las relaciones humanas es la confianza. Jamás se hace firmar a una persona un documento que la comprometa a ser buena amiga y manejar con mucha confidencialidad la información que se le revele. Ni siquiera a una pareja; en su caso, se limita más bien a la firma de un contrato matrimonial que nada tiene que ver con el uso correcto de la información.<BR><BR>En el plano laboral las cosas son muy distintas, o al menos deberían serlo. Las empresas no sólo están protegiendo sus activos intangibles –como datos, propiedad intelectual y secretos industriales– contra los ojos espías de hackers y rivales, están tomando también medidas para que sus propios empleados no divulguen éstos de forma intencional o accidental. <BR><BR>No pueden limitarse sólo a lo que venga de fuera. Pero implementar mecanismos de defensa contra ataques internos no basta: la educación de los empleados debe convertirse en una tarea permanente. De nada sirve hacerles leer un manual, una lista de políticas y firmar una carta responsiva si no se reafirma el mensaje constantemente. <BR><BR>Artículo completo de Norberto Gaona Vásquez en: <A href="http://www.bsecure.com.mx/articulos.php?id_sec=58&amp;id_art=6431&amp;id_ejemplar=367">Bsecure</A><BR><BR> 20 Nov 2006 23:26:26 +0100 http://www.iso27000.es <IMG alt="" hspace=3 src="http://www.bsecure.com.mx/images/upload/acceso34.jpg" align=left vspace=3 border=1>Una de las principales preocupaciones de la gente de seguridad informática es mantenerse al día. <BR><BR>Los libros son una opción pero tardan aproximadamente un año en estar disponibles. Es decir, el tiempo que transcurre entre el momento en que el autor lo escribió y que el libro se encuentra disponible para el lector, es de un año. No es necesario comentar todo lo que pudo cambiar en ese lapso.<BR><BR>Una opción para mantenerse al día es subscribirse a una lista de interés en seguridad informática. Sin embargo el área de seguridad informática abarca muchas tecnologías e intereses diferentes. En la página de insecure, donde se encuentra la lista de las 100 herramientas más populares, dan a conocer un listado sobre listas de seguridad informática. La mayor parte de ellas es manejada por la gente de la página de Security Focus... <BR><BR>Artículo completo de Roberto Gómez en: <A href="http://www.bsecure.com.mx/articulos.php?id_sec=60&amp;id_art=6423&amp;id_ejemplar=367">Bsecure</A><BR><BR> 20 Nov 2006 23:26:25 +0100 http://www.iso27000.es El presente manual tiene por objeto servir como una breve guía de las acciones y mecanismos mínimos a aplicar para el cateo o aseguramiento de los equipos electrónicos para que se pueda utilizar la evidencia digital durante la averiguación previa y descubrir o formar los elementos del delito o descubrir la identidad del sujeto activo, y luego, en su caso aportar la misma al proceso penal a fin de poder obtener la condena del mismo<br><br> Trabajo de Gabriel Andres Campoli disponible en: <a href="http://www.alfa-redi.org/rdi-articulo.shtml?x=7693">Alfa-Redi</a><br><br> 20 Nov 2006 23:26:24 +0100 http://www.iso27000.es <IMG alt="" hspace=3 src="http://www.ali.es/Masters/logpeqali2.gif" align=left vspace=3 border=1>El próximo 23 de Noviembre, a las 19:00, tendrá lugar en el Instituto de Ingeniería de España (c/ General Arrando, 38. Madrid) la sesión informativa correspondiente a la VI edición de los Masters en Seguridad Informática y en Auditoría Informática. <BR><BR>Estos masters están organizados por ALI (Asociación de Ingenieros e Ingenieros Técnicos en Informática) y su titulación está otorgada por la Universidad Politécnica de Madrid. <BR><BR>Es necesario confirmar la asistencia en secretec@ali.es o mediante contacto teléfono en +34 91 523 86 20 <BR><BR>Información e incripciones disponibles en: <A href="http://www.ali.es/Masters/">Masters ALI</A><BR><BR> 20 Nov 2006 23:26:21 +0100 http://www.iso27000.es Uno de los mejores aportes que nos brindan los estándares de gestión es el concepto de mejora continua. La mejora continua es el motor impulsor de cualquier sistema de gestión, incluyéndose, como no, los Sistemas de Gestión de Seguridad de la Información (SGSI).<BR> <BR> La mejora de nuestro SGSI viene recogida en todo el Capítulo 8 de ISO 27001:2005. Incluye como apartados: 8.1 ‘Mejora continua’, 8.2 ‘Acción correctiva’ y 8.3 ‘Acción preventiva’.<BR> <BR> José Manuel Fernández hace un detallado e interesante repaso en su blog a la <A href="http://iso9001-iso27001-gestion.blogspot.com/2006/11/mejora-continua-de-un-sgsi-segun-iso.html">mejora continua de un SGSI</A> según ISO 27001 y en línea con el recientemente publicado sobre <A href="http://iso9001-iso27001-gestion.blogspot.com/2006/11/auditoria-interna-de-un-sgsi-segun-iso.html">auditoría interna</A> de un SGSI según ISO 27001.<BR> <BR> 20 Nov 2006 23:26:20 +0100 http://www.iso27000.es <IMG style="WIDTH: 190px; HEIGHT: 72px" height=123 alt="" hspace=3 src="http://photos1.blogger.com/blogger/1580/2175/1600/GSE.1.jpg" width=285 align=left vspace=3 border=1>La estrategia de seguridad debe ser definida en función de la estrategia de negocio de la empresa y decidirse antes de la realización del análisis de riesgo o la implantación de cualquier contramedida (aparte de las reactivas, por supuesto). <BR><BR>Como reconoce el estándar internacional ISO 17799:2005, " la estrategia global de negocio de la organización y los objetivos están identificados como una de las fuentes para la definición de los requisitos de seguridad, junto a las exigencias legales y operacionales." <BR><BR>Desde el punto de vista del negocio, la seguridad es un coste y por tanto, debe ser añadido a aquellos costes incluidos en la cadena de valor de los productos o servicios suministrados por la organización. Cada dólar añadido a los costes de un producto o servicio debe ser percibido por el cliente como diferenciador, es decir, el cliente debe estar dispuesto a pagar el dinero extra por disponer de ese nivel de seguridad o sino la empresa perderá ventaja competitiva. <BR><BR>Artículo completo en: <A href="http://radajo.blogspot.com/">Blog Radajo (RAul, DAvid and JOrge Security Blog)</A><BR><BR> 20 Nov 2006 23:26:18 +0100 http://www.iso27000.es No existe bala de plata para garantizar la seguridad de la información, por tanto, debemos atacar el problema con munición de cartuchos.<br><br> Síntoma de este enfoque es la variedad de esquemas y certificaciones utilizadas para proporcionar garantías en puntos diferentes del sistema. <br><br> Este artículo habla de los distintos marcos disponibles y más frecuentemente utilizados en EE UU, que ofrecen certificación de alguna tipo y son relevantes para el sector comercial. Sin embargo, existen muchos otros excelentes esquemas aparte de los mencionados. Por favor tenga en cuenta, que la discusión es en general y los ejemplos específicos escogidos ilustran la taxonomía de la seguridad de la información en la actualidad. <br><br> Artículo publicado en: <a href="http://issj.sys-con.com/read/187541_p.htm">Information Storage+Security Journal</a><br> <br> 20 Nov 2006 23:26:17 +0100 http://www.iso27000.es Kenneth F. Belva y Sam H. DeKay reflexionan sobre cómo obtener y mantener ventajas competitivas mediante la seguridad de la información.<br><br> El documento que contiene el texto completo del trabajo está precedido de una entrevista (parte I) a modo de introducción y sumario de los conceptos utilizados en el trabajo y la "Confianza Virtual".<br><br> El documento desarrolla una perspectiva que actualmente existe pero que está en gran parte inactiva dentro del campo de la seguridad de la información. Los autores mantienen que la seguridad de la información puede estar activamente implicada en la creación de negocio y que las habilidades requeridas para crear actividad comercial deben añadirse al perfil de los profesionales en seguridad. <br><br> También presentan pruebas en base a casos reales (con el de la compañía Apple entre otros) para demostrar la capacidad de la seguridad para crear negocio, mediante lo que designan por el término "confianza virtual ", como paradigma dominante en el futuro en el que pensar en relación a la seguridad de la información. <br><br> Descarga del documento en PDF: <a href="http://www.infosecwriters.com/text_resources/pdf/Virtual_Trust.pdf">Infosecwriters</a><br> <br> 20 Nov 2006 23:26:15 +0100 http://www.iso27000.es <IMG style="WIDTH: 180px; HEIGHT: 79px" height=136 alt="" hspace=3 src="http://www.certconf.org/images/cert2006_logo.jpg" width=277 align=left vspace=3 border=1>El pasado mes de Agosto tuvo lugar en Nebraska la conferencia CERT del 2006 sobre la seguridad y protección de la información. Se trataron diversos temas como la auditoría Linux, el ataque y defensa de servicios Web, Cobit, técnicas forenses, Google Hacking, autorización y autenticación en Outsourcing, Seguridad en Windows Vista, entre otros.<BR><BR>De entre la abundante selección de presentaciones disponibles destacamos en relación a ISO 27001: <BR><BR>- Information Risk<BR>- The Information Security Management Process Based on ISO 27001<BR>- The Pursuit of ISO 27001 Certifications<BR>- How to perform a Security Risk Assessment Like a Professional<BR><BR>Acceso a todas las presentaciones en: <A href="http://www.certconf.org/presentations/2006/">Certconf Nebraska</A><BR><BR> 20 Nov 2006 23:26:14 +0100 http://www.iso27000.es En Asturias, se ha creado la empresa SIGEA (Sistemas de Gestión Avanzados), especializada en implantación y auditoría de SGSIs. Surge como alianza de tres empresas activas ya en diversos campos relacionados con los sistemas de gestión de seguridad de la información.<br> <br> Innova aporta a SIGEA su experiencia y metodología en el campo de la normativa y los sistemas de gestión y calidad.<br><br> Contein XXI, certificada en UNE 71502, se encarga de la división de Seguridad Informática y del desarrollo y soporte de la aplicación GxSGSI, una herramienta de gestión de Análisis de Riesgos.<br><br> Legal Protect, certificada en UNE 71502, aporta su experiencia en el campo de la protección de datos, propiedad intelectual e industrial y la adaptación al resto de la normativa legal vigente que caiga dentro del ámbito de la conformidad exigida por la norma. <br><br> Más información en: <a href="http://www.sigea.es/">SIGEA</a><br> <br> 15 Nov 2006 09:50:47 +0100 http://www.iso27000.es SIGEA, empresa formada por la alianza de Innova, Legal Protect y Contein XXI, ha presentado en la edición del SIMO recién celebrada, un software de análisis de riesgos de seguridad de la información llamado GxSGSI, orientado a ISO 27001 y UNE 71502, desarrollado a medida por su equipo de profesionales y utilizado para la implantación de sus propios sistemas de gestión de seguridad de la información.<br> <br> El programa, en su versión básica, incorpora módulos que permiten realizar de manera fácil e intuitiva cualquiera de las tareas incluidas en los siguientes módulos:<br> <br> - Inventario de Activos<br> - Árbol de Dependencias de Activos<br> - Definición y Valoración de Amenazas<br> - Establecimiento y Cuantificación de Vulnerabilidades<br> - Análisis de Impactos<br> - Cálculos de Riesgo Intrínseco<br> - Documento de Selección de Controles<br> - Establecimiento y medición de contramedidas<br> - Análisis de Riesgo Residual<br> - Inventario de Soportes<br> - Gestión de Incidencias<br> <br> Adicionalmente, incorpora una selección de informes que permiten dar cumplimiento a los requerimientos de las normas anteriormente citadas.<br> <br> En su versión avanzada, GxSGSI incluye además un componente de simulación de fallos, mediante el cual puede generar, de manera ficticia, un fallo en cualquiera de los equipos del sistema de información con el fin de analizar las amenazas y vulnerabilidades que lo afectan o podrían afectar y detectar el número y coste de las contramedidas necesarias.<br> <br> Más información y presentación del programa en: <a href="http://www.sigea.es/gxsgsi">SIGEA</a><br> <br> 15 Nov 2006 09:40:03 +0100 http://www.iso27000.es José Manuel Fernández hace un interesante repaso en su blog al tema de <A href="http://iso9001-iso27001-gestion.blogspot.com/2006/11/auditoria-interna-de-un-sgsi-segun-iso.html">auditoría interna</A> de un SGSI según ISO 27001.<BR> <BR> 15 Nov 2006 08:25:42 +0100 http://www.iso27000.es El pasado 6 de Noviembre, ISACA envió un e-mail a todos sus asociados anunciando la publicación de la segunda edición del documento "IT Control Objectives for Sarbanes-Oxley" del IT Governance Institute.<BR> <BR> Este documento de 128 páginas, escrito con el rigor habitual de ISACA y el IT Governance Institute, aporta información sobre el papel de las tecnologías de la información en el diseño e implantación de controles internos sobre el reporte financiero de las organizaciones.<BR> <BR> Con respecto a la versión anterior, de 2004 (que ha sido descargada más de 250.000 veces), introduce bastantes novedades, fruto de las lecciones aprendidas en estos años en la implantación de Sarbanes-Oxley. Uno de los aspectos que más ha evolucionado en este tiempo es la constatación de que es necesario un enfoque basado en el análisis de riesgos, para garantizar que se presta la suficiente atención a las áreas de mayor riesgo.<BR> <BR> El documento, en inglés, puede descargarse en PDF gratuitamente de: <A href="http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=27507&TEMPLATE=/ContentManagement/ContentDisplay.cfm">ISACA</A>.<BR> <BR> 15 Nov 2006 07:55:20 +0100 http://www.iso27000.es La empresa ETEK ofrece en colaboración con BSI (British Standards Institution) un curso de 36 horas de auditor de sistemas de gestión de seguridad de la información según ISO 27001 en Bogotá del 27 al 30 de Noviembre. <BR> <BR> Para más información e inscripciones: <A href="http://www.etek.com.co/">ETEK</A>.<BR> <BR> 15 Nov 2006 07:43:47 +0100 http://www.iso27000.es ENISA (European Network and Information Security Agency) ha publicado un extenso informe sobre las diferentes iniciativas de concienciación y sensibilización en seguridad de la información que hay en la Unión Europea, además de incluir recomendaciones de buenas prácticas, guías de cómo acometer campañas de concienciación e información sobre indicadores de gestión (KPI).<BR> <BR> Para más información y descarga del informe: <A href="http://www.enisa.eu.int/pages/02_01_press_2006_11_10_awareness_package.htm">ENISA</A>.<BR> <BR> 15 Nov 2006 07:07:25 +0100 http://www.iso27000.es En su boletín informativo de Octubre, la empresa peruana Eficiencia Gerencial publica un artículo con referencias de paquetes de software específicos para la gestión de continuidad de negocio.<BR> <BR> Además, incluye los artículos:<BR> <BR> Comité BASILEA publica el Lineamiento de Gobierno Corporativo para Organizaciones Bancarias.<BR> Principios de Alto Nivel para Business Continuity (Joint Forum - BASILEA II).<BR> <BR> Disponible en: <A href="http://eficienciagerencial.com/index.php?option=com_content&task=view&id=52&Itemid=65">eficienciagerencial.com</A>.<BR> <BR> 14 Nov 2006 22:50:26 +0100 http://www.iso27000.es La Universidad de Mondragón tiene programados para 2007 un curso avanzado en seguridad informática de 120 horas y una versión extendida de experto en seguridad informática de 250 horas.<BR> <BR> El primero se desarrolla del 30 de Enero al 17 de Abril, los martes y jueves de 8:00 a 14:00, con un coste de 1.950 euros y, el segundo, del 30 de Enero al 7 de Junio, los martes y jueves de 8:00 a 14:00, con un coste de 2.700 euros.<BR> <BR> Más información en: <a href="http://www.mondragon.edu/posgrado/master-y-experto/curso-avanzado-en-seguridad-informatica/copy_of_curso-avanzado-en-seguridad-informatica">Curso avanzado</a> y <a href="http://www.mondragon.edu/posgrado/master-y-experto/curso-experto-en-seguridad-informatica/seguridad-informatica">Curso experto</a><BR> <BR> 14 Nov 2006 21:32:02 +0100 http://www.iso27000.es <a href="http://www.noticebored.com/blog/2006/11/handbook-of-information-security.html">Gary Hinson</a> hace referencia a un manual publicado en tres tomos sobre seguridad de la información.<br> <br> El libro, de 3.366 páginas en total, publicado a finales de 2005 en la editorial Wiley por Hossein Bidgoli y disponible, p. ej., en <a href="http://www.amazon.com/Handbook-Information-Infrastructure-Standards-Protocols/dp/0471648302/sr=1-1/qid=1163579782/ref=sr_1_1/103-7914861-5214251?ie=UTF8&s=books">Amazon</a> o <a href="http://eu.wiley.com/WileyCDA/WileyTitle/productCd-0471648337.html">Wiley</a>, cubre los siguientes temas:<br> <br> Part 1: Key Concepts and Applications Related to Information Security<br> <br> * Internet Basics<br> * Digital Economy<br> * Online Retail Banking: Security Concerns, Breaches , and Controls<br> * E-Mail and Instant Messaging<br> * Internet Relay Chat<br> * Online Communities<br> * Groupware: Risks, Threats, and Vulnerabilities In The Internet Age<br> * Search Engines: Security, Privacy, and Ethical Issues<br> * Web Services<br> * Electronic Commerce<br> * EDI Security<br> * Electronic Payment Systems<br> * Intranets: Principles, Privacy, and Security Considerations<br> * Extranets: Applications. Development, Security, and Privacy<br> * Business-to-Business Electronic Commerce<br> * Click-and-Brick Electronic Commerce<br> * Mobile Commerce<br> * E-Education and Information Privacy and Security<br> * Security in E-Learning<br> * E-Government<br> * E-Government Security Issues and Measures<br> * International Security Issues of E-Government<br><br> Part 2: Infrastructure for the Internet, Computer Networks, and Secure Information Transfer<br><br> * Conducted Communication Media<br> * Routers and Switches<br> * Radio Frequency and Wireless Communications Security<br> * Wireless Channels<br> * Security in Circuit, Message, and Packet Switching<br> * Digital Communication<br> * Local Area Networks<br> * Wide Area and Metropolitan Area Networks<br> * Home Area Networking<br> * Public Network Technologies and Security<br> * Client/Server Computing: Principles and Security Considerations<br> * Peer-to-Peer Security<br> * Security Middleware<br> * Internet Architecture<br> * TCP/IP Suite<br> * Voice-over Internet Protocol (VoIP)<br> * Security and Web Quality of Service<br> * Mobile Devices and Protocols<br> * Bluetooth Technology<br> * Wireless Local Area Networks<br> * Security in Wireless Sensor Networks<br> * Cellular Networks<br> * Mobile IP<br> * IP Multicast and Its Security<br> * TCP over Wireless Networks<br> * Air Interface Requirements for Mobile Data Services<br> * Wireless Internet: A cellular Perspective<br> * Security of Satellite Networks<br> * Ad Hoc Network Security<br><br> Part 3: Standards and Protocols for Secure Information Transfer<br><br> * Standards for Product Security Assessment<br> * Digital Certificates<br> * Internet E-Mail Architecture<br> * PKI (Public Key Infrastructure)<br> * S/MIME (Secure MIME)<br> * PGP (Pretty Good Privacy)<br> * SMTP (Simple Mail Transfer Protocol)<br> * Internet Security Standards<br> * Kerberos<br> * IPsec: AH and ESP<br> * IPsec: IKE (Internet Key Exchange)<br> * Secure Sockets Layer (SSL)<br> * PKCS (Public Key Cryptography Standards<br> * Public Key Standards: Secure Shell<br> * Security and the Wireless Application Protocol<br> * Wireless Network Standards and Protocol (802.11)<br> * P3P (Platform for Privacy Preferences Project <br> <br> 14 Nov 2006 20:24:18 +0100 http://www.iso27000.es Del 5 al 7 de Diciembre, BSI (British Standards Institution) ofrece en Londres un seminario de introducción al nuevo estándar BS 25999 "Code of Practice for Business Continuity Management". Tendrán lugar diversas ponencias, casos de estudio y workshops prácticos.<BR> <BR> Para más información e inscripciones: <A href="http://www.bsi-global.com/Seminars/BCM/BCM.xalter">BSI</A>.<BR> <BR> 14 Nov 2006 18:57:53 +0100 http://www.iso27000.es <IMG height=181 alt="" hspace=0 src="http://www.businessstandards.com/bs/articles/images/aQ9LLGVpMCDd7r_Lock.jpg" width=156 align=baseline border=1><br><br> Endava, compañía de servicios sofware que actua en los sectores de finanzas, tecnología, medios de comunicación y telecomunicaciones, se ha convertido en la primera compañía de la República de Moldova certificada en ISO/IEC 27001:2005. El Sistema de Gestión de la Seguridad de la Información (SGSI) fue puesto en ejecución en base al marco existente de sistema de gestión de la calidad, reutilizando las mejores prácticas de la compañía para aplicar otras nuevas en relación a la seguridad de la información..<BR> <BR> Noticia completa en: <A href="http://www.businessstandards.com/index.xalter">Businessstandards</A>. 6 Nov 2006 23:24:13 +0100 http://www.iso27000.es http://www.iso27000.es <IMG alt="" hspace=0 src="http://www.businessstandards.com/bs/articles/images/aTVxuHGywLOItt_Pirean_screengrab.jpg" align=baseline border=1><br><br> Pirean, uno de los principales proveedores de servicios TI del Reino Unido ha probado a sus clientes potenciales que predica con el ejemplo, alcanzando la certificación a ISO/IEC 27001 para la gestión de la seguridad de la información, ISO 9001 para la gestión de la calidad y BS 15000 para la gestión de los servicios TI.<BR><BR>Con base en Fareham, Hampshire, Reino Unido, la compañía se ocupa de soluciones de outsourcing, consultoría, formación e implantación de soluciones de diseño, reparación, e-business y de empresa.<BR><BR>Noticia completa en: <A href="http://www.businessstandards.com/index.xalter">Businessstandards</A>. 6 Nov 2006 23:24:15 +0100 http://www.iso27000.es http://www.iso27000.es European Network and Information Security Agency pone también a disposición su último número trimestral con interesantes contenidos sobre temas de normativas y seguridad. <br><br> Los contenidos de este número son:<br> * Good Practices for Managing Emerging Vulnerabilities<br> * On Exploiting a File Sharing System for DDoS Attacks<br> * Fasten Your Seatbelts, Please!<br> * Study on Security and Antispam Measures<br> * ENISA Workshop on Risk Management<br> * Online Inventory of Methods and Tools for Risk Assessment and Risk Management<br> * ISSE2006<br> * Europe Meets to Raise Information Security Awareness<br> * ‘CERTS in Europe’<br> * Information Security Awareness Programmes in th EU<br> * The Need for a Clear and Coherent Information Policy Framework in Europe<br> * Germany’s Federal Government Software Strategy and Aspects of OSS<br> * Reducing the Negative Impact of Security Incidents (Lithuania)<br> * Lessons Learned from Risk Analysis in National Networks (The Netherlands)<br> * Information Security Certification Workshop<br> * ENISA Workshop on Authentication Methods<br> <br> Descarga disponible en formato PDF: <a href="http://www.enisa.europa.eu/doc/pdf/publications/enisa_quarterly_10_06.pdf">Enisa</a><br><br> Visite nuestra sección de <a href="http://www.iso27000.es/boletines.html">Boletines</a>. 6 Nov 2006 23:24:24 +0100 http://www.iso27000.es Revista trimestral en inglés publicada por BSI (British Standards Institution) con novedades sobre los estándares. <br> <br> Visite nuestra sección de <A href="http://www.iso27000.es/boletines.html">Boletines</A>.<br><br> <A href="http://www.businessstandards.com/index.xalter"><IMG height=60 hspace=10 src="http://www.businessstandards.com/bs/images/masthead.jpg" width=262 align=left border=1></A> <br><br><br><br> 6 Nov 2006 23:24:23 +0100 http://www.iso27000.es http://www.iso27000.es <IMG style="WIDTH: 164px; HEIGHT: 169px" height=108 alt="" hspace=0 src="http://www.iso27000.es/jpg_news/bcm.JPG" width=343 align=baseline border=1><br><br> Del 28 al 29 de Marzo en Excel, Docklands, Londres (Reino Unido).<br><br> La exposición muestra soluciones y los productos prácticos mientras que explora en las mejores prácticas, estándares y estrategias que permiten a una organización proteger sus activos vitales, atenuar riesgo, manejar situaciones crisis y recuperarse después de un desastre.<br><br> <IMG alt="" hspace=0 src="http://www.businesscontinuityexpo.co.uk/g/template/bc06_banner_logo02.gif" align=baseline border=1><br><br> Información sobre la Expo de 2007 en <A href="http://www.businesscontinuityexpo.co.uk/" target=_blank>Business Continuity Expo 2007</A>.<br><br> Presentaciones sobre la pasada Expo de 2006 en PDF <A href="http://www.businesscontinuityexpo.co.uk/page.cfm/link=38" target=_blank>Business Continuity Expo 2006</A>. 6 Nov 2006 23:24:21 +0100 http://www.iso27000.es El estrago de la pérdida de datos sensibles y el coste que supone si se pierde o roba puede suceder en cualquier momento. En este webcast, expertos de la industria comparten las mejores maneras de prevenir esta amenaza. Opininiones sobre tendencias y recomendaciones para la protección de la confindencialidad del cliente y reducción de los costes.<br><br> Webcast de <A href="http://www.computerworld.com/action/webcast.do?command=viewWebCastDetail&contentId=9004755&source=rss_topic17" target=_blank>PGP Company</A> 6 Nov 2006 23:24:16 +0100 http://www.iso27000.es Un aumento en el acceso desautorizado a datos sensibles y pérdida de ficheros de datos de los consumidores está costando un peaje en la confianza del consumidor en las transacciones electrónicas. Aprenda por qué las compañías pierden efectividad en los canales de comunicaciones electrónicas a menos que se tomen medidas rápidamente para realzar la seguridad.<br><br> Podcast descargable en MP3 de <A href="http://www.gartner.com/it/products/podcasting/attributes/attr_158305_301.mp3" target=_blank>Gartner</A> 6 Nov 2006 23:24:17 +0100 http://www.iso27000.es Los ordenadores se han convertido en parte indispensable de nuestra vida cotidiana en tal grado, que el número de usuarios y organizaciones que recurren a ellos para guardar su propiedad virtual no cesa de incrementarse. Mientras la mayoría de nosotros nos preocupamos por nuestra propiedad tangible, tendemos a ser menos cuidadosos con nuestra propiedad virtual. <br><br> La mayoría de los usuarios cree que nadie se interesa en ellos, que no hay nada en sus ordenadores que pueda ser de valor para los delincuentes cibernéticos y que los programas maliciosos ni se fijarán en ellos. Consideremos este asunto desde otro punto de vista, el de los cibernautas delincuentes.<br><br> <UL style="FONT-WEIGHT: bold"> <LI><A href="http://www.viruslist.com/sp/analysis?pubid=200053216#theft">Robo</A> <UL> <LI><A href="http://www.viruslist.com/sp/analysis?pubid=200053216#what">¿Qué roban?</A> </LI> <LI><A href="http://www.viruslist.com/sp/analysis?pubid=200053216#how">¿Cómo roban?<!--</a--> </A></LI> <LI><A href="http://www.viruslist.com/sp/analysis?pubid=200053216#sale">¿Cómo negocian los bienes robados?</A> </LI></UL></LI> <LI><A href="http://www.viruslist.com/sp/analysis?pubid=200053216#fraud">Estafas</A> </LI> <LI><A href="http://www.viruslist.com/sp/analysis?pubid=200053216#ransom">Extorsión</A> </LI> <LI><A href="http://www.viruslist.com/sp/analysis?pubid=200053216#protect">Consejos para evitar ser víctima de los delincuentes cibernéticos </A></LI> <LI><A href="http://www.viruslist.com/sp/analysis?pubid=200053216#summary">Conclusiones</A> </LI></UL> <br>Artículo completo en español de Yury Mashevsky para <A href="http://www.viruslist.com/sp/analysis?pubid=200053216" target=_blank>Viruslist.com</A> 6 Nov 2006 23:24:17 +0100 http://www.iso27000.es La creciente demanda del mercado de servicios TI de calidad hará que crezca el interés estratégico de las organizaciones en certificar su Sistema de Gestión de Servicios TI.<br><br> Applus+ y New Horizons organizan el próximo 23 de Noviembre en Madrid un seminario gratuito para los profesionales de los sectores financiero, telecomunicaciones y administración pública.<br><br> Se desarrollarán los siguientes contenidos:<br><br> 1. Introducción a la calidad de la Gestión de los servicios TI.<br> 2. El soporte de la ISO 20000: ITIL<br> 3. Comparativa ISO 20000 / ISO 9001<br> 4. Certificación individual y empresa<br> 5. Beneficios para la empresa y mercado actual<br><br> <U><STRONG>Lugar de celebración:</STRONG></U><br> New Horizons Madrid, 91 417 6417<br> Plaza Carlos Trías Bertrán, 7, Planta 1ª <br> Edificio "Sollube" (AZCA), 28020 Madrid<br><br> Inscripción y contacto: <A href="mailto:luis.hogrefe@nhmadrid.com">luis.hogrefe@nhmadrid.com</A> 6 Nov 2006 23:24:19 +0100 http://www.iso27000.es <IMG style="WIDTH: 357px; HEIGHT: 92px" alt="" hspace=0 src="http://www.capsdesi.upm.es/theme/standardwhite-aaplus/logo.jpg" align=baseline border=1> Los días 29 y 30 de noviembre de 2006 se celebrará en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT de la Universidad Politécnica de Madrid, el Primer Congreso de la Cátedra UPM-Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI y el Día Internacional de la Seguridad de la Información DISI. <br><br> Organizan la EUITT, Applus+ y la UPM, bajo el patrocinio de la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones ASIMELEC, AFINA, el Centro Criptológico Nacional CCN y Red Seguridad, y con la colaboración de la Asociación de Técnicos de Informática ATI, la Information Systems Security Association ISSA, la Asociación de Ingenieros en Informática AI2, Hispasec Sistemas y hakin9. <br><br> El miércoles 29 y la mañana del jueves 30, congreso CAPSDESI. El jueves 30 por la tarde, Día Internacional de la Seguridad de la Información DISI. <br><br> El costo de la inscripción a todo el evento es de 350 Euros, vía <A href="http://www.asimelec" target=_blank>Asimelec</A>.<br><br> La inscripción a DISI totalmente gratuita se deberá realizar a través de la cátedra <A href="http://www.capsdesi.upm.es" target=_blank>Capsdesi</A>.<br><br> Programa completo disponible en formato PDF:&nbsp;<A href="http://www.capsdesi.upm.es/file.php/1/descargas/ProgramaFinal_Congreso_CAPSDESI_2006.pdf" target=_blank>Capsdesi</A> 6 Nov 2006 23:24:19 +0100 http://www.iso27000.es Infosecurity&nbsp;es el eventos nº 1 en Europa, dedicados a la SEGURIDAD y el ALMACENAMIENTO de la INFORMACIÓN para Pymes, Grandes Empresas y Administraciones Públicas.<BR><BR>Fiel a un concepto que es un éxito en Europa, Infosecurity&nbsp;es el punto de encuentro más enfocado para los profesionales de la Seguridad y la Integridad de la información.<BR><BR>Las próximas citas y lugares de celebración:<BR> <BR> <A href="http://www.infosecurity.com.fr">Francia</A>.<BR> <A href="http://www.myworldofexpo.com/infosecurity/">India</A>.<BR> <A href="http://www.infosecurity.it">Italia</A>.<BR> <A href="http://www.infosecurity.com.es/esp/home.htm">España</A>.<BR> <A href="http://www.infosecurity.be">Bélgica</A>.<BR> <A href="http://www.infosec.co.uk">Reino Unido</A>.<BR> <BR> 6 Nov 2006 23:24:20 +0100 http://www.iso27000.es <IMG style="WIDTH: 319px; HEIGHT: 108px" height=108 alt="" hspace=0 src="https://www.isc2.org/images/events/paris_skyline.gif" width=343 align=baseline border=1><br><br> El próximo 1 de Febrero se celebrará en <FONT face=Arial size=2>La Maison des Arts et Métiers, 9 bis, avenue d'Iéna Paris, 75116, France&nbsp;</FONT>"Secure Paris 2007" con los siguientes&nbsp;sesiones programadas:<br><br><STRONG><FONT face=Arial,Helvetica,Geneva,Swiss,SunSans-Regular size=2> <TABLE> <TBODY> <TR> <TD><FONT face=Arial,Helvetica,Geneva,Swiss,SunSans-Regular size=2><STRONG>Keynote Address: Security Professionalism <BR></STRONG><BR><EM>S1: Cybercrime Part 1: Legal Aspect in France <BR><BR>S1: Cybercrime Part 2: Police Perspective <BR><BR>S1: Cybercrime Part 3: Legal Procedures of Computer and Network<BR><IMG height=1 src="https://www.isc2.org/images/color_clear.gif" width=25>Misuse in EU Countries <BR></EM><BR><STRONG>Cybercrime Discussion</STRONG> <BR><BR><EM>S2: ISO 27001- A Standard you will Have to Deal With <BR><BR>S3: Governance and Information Security Round Table Part 1 <BR><BR>S3: Governance and Information Security Round Table Part 2 <BR><BR>S3: Governance and Information Security Round Table Part 3 <BR></EM><BR><STRONG>Governance and Information Security Round Table Discussion</STRONG> <BR><BR><EM>S4: Biometry: State of Art <BR><BR>S5: Business Continuity Planning (BCP) Exercise Methodologies, Planning and Lessons Learned <BR><BR>S6: The Centennial Flood in Paris - Anticipating and Taking Actions for Disasters <BR></EM><BR></FONT></TD></TR></TBODY></TABLE></FONT></STRONG>Para más información e inscripciones: <A href="https://www.isc2.org/events/paris2.html" target=_blank>ICS2.org</A><BR> 6 Nov 2006 23:24:21 +0100 http://www.iso27000.es Un cliente probablemente perdonará a una empresa la primera vez que una violación de la seguridad de los datos ocurra y alguna información personal del cliente sea puesta en peligro. Pero si la violación proviene de manos de un tercero que trabaja para la empresa original, los clientes probablemente estarán menos dispuestos a perdonar y se largarán a otra empresa para sus productos y servicios.<br> <br> Estas son algunas de las conclusiones del informe "Estudio 2006 sobre el coste de la fuga de datos" comunicado recientemente por el Instituto Ponemon LLC, firma que se preocupa por las prácticas en gestión de la privacidad de la información en los negocios y el gobierno.<br> <br> "Resulta que uno de los costes principales es la pérdida de oportunidades de negocio " cuando los clientes ya no confían más en las empresas con las que han trabajado y buscan nuevas relaciones de negocio, dijo Larry Ponemon, fundador y presidente del Instituto Ponemon. Considerando el reciente incremento en las brechas de seguridad en datos corporativos en relación a ordenadores portátiles perdidos, ordenadores robados y redes hackeadas, Ponemon indicó que preveía que la gente se desensibilizara del problema y estuviera satisfecha. <br> <br> No es lo que su investigación mostró.<br> <br> "Ellos no se insensibilizan y realmente se preocupan y abandonan las relaciones de negocio con las empresas que no protegen adecuadamente su información personal", dijo. El estudio, patrocinado por los vendedores de software de seguridad PGP Corp. de Palo Alto, California y Vontu de San Francisco, está basado en las encuestas a 31 empresas que habían tenido fugas de datos a inicios de este año. Este es el segundo año de estudio, que el año pasado consideró 14 empresas que sufrieron fugas de datos. <br> <br> La fuga de información este año han supuesto un coste a las empresas afectadas de un promedio de 182 dólares por cliente, en comparación a los 138 dólares por cliente del estudio para el 2005 (un aumento del 31 %, según el informe). Aproximadamente tres cuartas partes del coste fueron pagados por las llamadas telefónicas para notificar a los clientes de la fuga de datos, los servicios gratuitos o descuentos para compensar las pérdidas de datos y las pérdidas incurridas cuando los clientes se llevaron su negocio a otra parte.<br> <br> El coste de las brechas en seguridad a las empresas comprendió desde los 226,000 dólares a más de 22 millones de dólares, con un promedio de 4.7 millones de dólares, según el informe. <br> <br> El estudio descubre que a los clientes no les gusta que la información personal se transmita a terceros para el tratamiento o almacenamiento sin su conocimiento, indicó Ponemon. "Esto es lo que hemos encontrado. Ellos tienen una relación de confiada con la empresa original, con la cual ellos decidieron hacer el negocio", añadió, "ellos perdonarán una vez, pero dirán, 'No permitas que pase otra vez' en contraste con '¿Por qué tiene este tercero mi información? ' ".<br> <br> El último estudio también descubrió que las empresas que han tenido fugas de datos mejoran si aprenden de los incidentes y sobre cómo mantener sistemas de detección de fugas y prevenir nuevas brechas, dijo. " El año pasado en la categoría de detección del estudio, muchas empresas no hacían análisis en profundidad sobre como prevenir nuevas brechas en el futuro. Muchas empresas lo están haciendo mejor ahora porque analizan los procesos y la información para impedir que les suceda otra vez. " <br> <br> El estudio indica que el 72 % de las brechas ocurrió porque la información digital no fue protegida correctamente, mientras que el 14 % ocurrió debido a ataques maliciosos o de personal interno. Aproximadamente el 94 % de las empresas tomó algún tipo de acción preventiva en respuesta a los incidentes, según indica el estudio. <br> <br> Las brechas que fueron estudiadas afectan a un número que comprende entre los 2.500 y más de 160.000 clientes. La pérdida o robo de ordenadores portátiles, ordenadores de escritorio, PDAs o unidades removibles contabilizaron el 45 %, o 14 de los eventos. Archivos perdidos o robados adquiridos o utilizados por terceras partes contabilzaron el 29% de las brechas, o 9 acontecimientos. La pérdida o robo de cintas de backup u otros medios fueron el 26% de los incidentes, o 8 eventos. Y exsitieron cuatro incidentes que implicaron la pérdida o robo de registros en papel, que supusieron el 13 % de las brechas. <br> <br> Las empresas que participaron en el estudio incluyeron a un vendedor de software, varios bancos, una empresa de servicios de tarjetas de crédito, un minorista de venta por catálogo, un hotel, una empresa farmacéutica, una línea aérea, una empresa de préstamos, una empresa de servicios y una institución educativa. Su nombre no ha sido mencionado.<br> <br> Artículo de Todd R.Weiss en <A href="http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9004414&source=rss_topic17" >Computerworld</A>.<br> <br> Informe Ponemon completo en PDF: <A href="http://www.vontu.com/uploadedFiles/global/2006_Cost_of_Data_Breach_Report_V_2.pdf " >Vontu</A>.<br> <br> Artículo relacionado recientemente publicado sobre privacidad y oportunidades de negocio: <A href="http://www.iso27000.es/download/SGPI_beneficios_economicos_SGSI.pdf" >iso27000.es</A>. 6 Nov 2006 23:24:22 +0100 http://www.iso27000.es http://www.iso27000.es Mientras las organizaciones de Oriente Medio han sido ampliamente criticadas por no hacer suficiente en la protección de sus sistemas de información, existe ahora un número de empresas que surgen de la crisis en seguridad TI adoptando normas internacionales.<br> <br> Según eHosting Datafort, empresa dedicada al Hosting gestionado y consultoría en seguridad, tres empresas de la región se han certificado en ISO 27001 - Dubai Aluminium Company (Dubal), Saudi Binladin Group en Arabia Saudita y Mobile Telecommunications Company (MTC) Vodafone en Bahrain - con el Tribunal de Justicia de Dubai a continuación.<br> <br> Ehosting indicó que trabaja con otras ocho empresas con el objetivo de alcanzar la certificación y existen conversaciones con otra docena más.<br> <br> Ahmed Baig, gerente en consultoría de seguridad de eHosting indicó que la certificación en ISO 27001 es un signo muy positivo y " bastante alentador porque en este pequeño mercado estos números son bastante grandes, ".<br> <br> Añadió, "Las empresas van tomando conciencia y tratan de entender, cuáles son las mejores formas de protegerse. "<br> <br> Ibrahim Awad, oficial de seguridad de la información en el Tribunal de Justicia de Dubai, que está en proceso de ser certificado, explicó que la seguridad de la información es particularmente importante para su organización, porque proporciona servicios TI compartidos por todos los departamentos gubernamentales en Dubai.<br> <br> "Tenemos un departamento de recursos de información gubernamental que mantiene datos de otros departamentos en un sistema ERP y facilitamos este sistema a departamentos gubernamentales como el departamento de policía y del Municipio, " dijo Awad.<br> <br> "También tenemos su información de finanzas, regsitros de recursos humanos y datos de logística. Por tanto, necesitamos de la tecnología probada que garantice la seguridad de estos datos así como la de la infraestructura TI. "<br> <br> Añadió que el gobierno está en conversaciones para poner en práctica ISO 27001 en todos los distintos departamentos.<br> <br> Dubal completó el proceso en agosto y es ahora totalmente la ISO 27001 certificado.<br> <br> El gerente de arquitectura TI de la firma, Jagan Rao, dijo que la empresa está ahora mejor capacitada para proteger los datos de valor contenidos en sus sistemas de información, tales como ofertas de los proyectos, peticiones de clientes, información de los contratos de ventas e información de planificación financiera o presupuestaria.<br> <br> "La Información es uno de nuestros activos principales; debemos protegerla y disponemos de una fuerte infraestructura y métodos implantados para protegerla contra el hacking o ataques de denegación de servicio y fuga de información o espionaje," dijo Rao<br> <br> "Nos ayuda a alinearnos con las mejores prácticas y normas internacionales. Y esto nos proporciona a nosotros y la Dirección la garantía de que las cosas se hacen del modo correcto, " añadió.<br> <br> Baig dijo que es particularmente importante para las empresas de los Emiratos Árabes certificarse, donde el gobierno ha promulgado recientemente una nueva ley, que requerirá que las empresas supervisen la información que mantienen, así como, el contenido de los correos electrónicos que se envían desde la empresa por los empleados.<br> <br> Artículo de Diana Milde en de <A href="www.itp.net/news/details.php?id=22321" >ITP.net</A>.<br> <br> 6 Nov 2006 23:24:22 +0100 http://www.iso27000.es http://www.iso27000.es Como anunciamos en su momento, el pasado 26 de Octubre tuvo lugar en Málaga la presentación del proyecto CAMERSEC, por el cual la Cámara de Comercio de Málaga y las empresas Nexus Consultores y Auditores y Tecnotur 3000 proponen a las pymes andaluzas la implantación -y posterior certificación- de un sistema de gestión de seguridad de la información.<br> <br> www.iso27000.es tuvo la oportunidad de asistir a la presentación, que fue un éxito de participación, pues se completó el aforo previsto.<br> <br> Guillermo Hurtado, de la Cámara de Comercio, Manuel Calderón, de Tecnotur 3000, José Manuel Fernández, de Nexus Consultores y Auditores e Igor Pérez, de AENOR, por orden de intervención, fueron desgranando los detalles del proyecto, incluyendo un desglose pormenorizado de las jornadas de consultoría previstas y los costes asociados.<br> <br> Una vez que el proyecto consiga el número suficiente de adhesiones de empresas interesadas, quedará acogido a las subvenciones de la Junta de Andalucía, que pueden llegar hasta un 50%.<br> <br> Finalizado el evento, los promotores del proyecto hablaron para www.iso27000.es, entrevista que puede escucharse en nuestra sección de <A href="http://www.iso27000.es/download/Camersec-Malaga.mp3" >Artículos y podcasts</A>.<br> <br> 29 Oct 2006 23:39:53 +0100 http://www.iso27000.es La entidad financiera española Bankinter, con fuerte presencia en banca minorista por Internet, ha publicado el pasado 23 de Octubre una <a href="https://www.ebankinter.com/www/es-es/cgi/ebk+wi+notasprensanot?secc=SOBK&subs=FNO&id=ACCC9E56A60CA511C1257210003CB64B">nota de prensa</a> en la que anuncia la obtención de la certificación en ISO 27001 para el alcance de "Identificación, Autenticación, Firma de Operaciones Financieras y sus respectivas evidencias electrónicas a través del canal Internet".<br> <br> El proceso de implantación de controles ha llevado seis meses y se han dedicado otros seis meses a la maduración del sistema antes de abordar la auditoría de certificación, que ha sido realizada por BSI (British Standards Institution).<br> <br> 29 Oct 2006 23:33:35 +0100 http://www.iso27000.es El próximo 16 de Noviembre, el Instituto de Fomento Empresarial organiza un seminario en el Hotel Palace de Madrid, presentando el nuevo reglamento de desarrollo de la LOPD.<br> <br> La cuota de inscripción es de 1.183,62 euros + IVA.<br> <br> Para más información e inscripciones: <a href="http://www.ife.es/html/c6050/6050.pdf">IFE</a><br> <br> 29 Oct 2006 23:31:52 +0100 http://www.iso27000.es El 29 y 30 de Noviembre próximos, la empresa Grupo Estudios Técnicos organiza en Madrid un curso sobre planes de continuidad de negocio, con un recorrido por sus fases de elaboración, implantación y prueba.<br> <br> Para más información e inscripciones: <a href="http://www.seguridad-formacion.com/default.asp?pag=busqueda&id=953">GET</a><br> <br> 29 Oct 2006 22:37:51 +0100 http://www.iso27000.es Tal y como anunciamos en su momento, el pasado 13 de Octubre, ENISA (European Network and Information Security Agency) organizó un workshop en Roma sobre gestión de riesgos.<br> <br> Tanto las conclusiones como todas las presentaciones que hicieron los distintos ponentes están disponibles en: <a href="http://www.enisa.europa.eu/rmra/events_01.html">ENISA</a><br> <br> 29 Oct 2006 22:18:56 +0100 http://www.iso27000.es Mike Karp propone en <a href="http://www.networkworld.com/techinsider/2006/103006-ilm-guide-steps.html?page=1">Network World</a> seis pasos para implantar ILM en una organización.<br> <br> ILM son las siglas de Information Life-Cycle Management (Gestión del Ciclo de Vida de la Información), que tiene por objeto el ayudar a las organizaciones a gestionar la vida útil de toda la información que tienen almacenada, manteniendo archivada únicamente aquella que sigue siendo relevante para el negocio o que deba estarlo por las diversas legislaciones en materia de retención de datos, y optimizando así los recursos dedicados a la gestión de la misma.<br> <br> 29 Oct 2006 21:47:49 +0100 http://www.iso27000.es La Cámara de Comercio de Sevilla organiza el próximo 9 de Noviembre una jornada en la que se tratarán la protección de datos desde el ámbito empresarial, el nuevo reglamento de medidas de seguridad, ISO 27001 y los sistemas de gestión de la seguridad de la información.<br> <br> Para más información: <a href="http://www.camarasevilla.com/normativa/pdf/Programa_seguridad.pdf">Cámara Sevilla</a><br> <br> 29 Oct 2006 21:45:40 +0100 http://www.iso27000.es La empresa consultora especializada en seguridad de la información ESA-Security organiza regularmente en su sede de Las Rozas (Madrid) desayunos de trabajo, de asistencia gratuita, dedicados a distintos temas relacionados con ISO 27001 y los SGSI.<br> <br> Los próximos a celebrar son: <br> <br> Análisis y gestión de riesgos, el 2 de Noviembre.<br> Plan de continuidad de negocio, el 16 de Noviembre.<br> LOPD, el 23 de Noviembre.<br> <br> Más información e inscripciones en <a href="http://www.esa-security.com/web/htm/desayunos.htm">ESA-Security</a>.<br><br> 29 Oct 2006 19:41:54 +0100 http://www.iso27000.es Del 21 al 23 de Noviembre, la empresa Orión organiza en Santiago de Chile un curso de Diseño y Gestión de un Plan de Continuidad del Negocio.<br> <br> El curso será impartido por Alberto G. Alexander, experto en la materia.<br> <br> Para más información: <a href="http://www.orion.cl/eventos/detalle.tpl?id=20">ORION</a><br> <br> 29 Oct 2006 18:58:39 +0100 http://www.iso27000.es BSI Americas ofrece un curso de 40 horas de auditor líder en ISO 27001 en Ciudad de México del 4 al 8 de Diciembre próximos.<br><br> Para más información e inscripciones: <A href="https://www.onlineregistrationcenter.com/register.asp?m=109&c=5561" >BSI Americas</A>.<br><br> 29 Oct 2006 18:45:14 +0100 http://www.iso27000.es <IMG height=50 hspace=10 src="http://www.nexusasesores.com/imagenes/camara.GIF" width=120 align=left border=1>Recordamos que esta semana tiene lugar la presentación en Málaga del Proyecto Camersec.<br> <br> Este proyecto, que promueven Nexus Consultores y Asesores, la Cámara de Comercio, Industria y Navegación de Málaga y la consultora tecnológica Tecnotur 3000, está orientado a la implantación de sistemas de gestión de seguridad de la información según ISO 27001.<br> <br> <IMG height=50 hspace=10 src="http://www.nexusasesores.com/imagenes/nexusazul.JPG" width=120 align=left border=1><IMG height=50 hspace=10 src="http://www.nexusasesores.com/imagenes/tecnotur.JPG" width=120 align=left border=1><br> <br><br> <br>Al mismo podrán adherirse todas las empresas que lo deseen, siendo las PyMEs andaluzas especialmente beneficiadas, ya que pueden entrar en la iniciativa acometida para incentivación del proyecto por parte de la Agencia IDEA de la Consejería de Innovación, Ciencia y Empresa de la Junta de Andalucía.<br> <br> Los detalles del proyecto en concreto se abordarán en la Jornada de Presentación del mismo:<br> <br> Lugar: Cámara de Comercio, Industria y Navegación de Málaga.<br> Dirección: c/ Cortina del Muelle, 23 - Palacio de Villalcázar. - Málaga<br> Fecha: 26 de Octubre de 2006.<br> Horario: 10:00 - 11:30 de la mañana.<br> <br> Para más información e inscripción gratuita en la jornada de presentación: <a href="http://www.nexusasesores.com/home.php">Nexus</a><br> <br> 23 Oct 2006 19:12:24 +0100 http://www.iso27000.es Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una entrevista a Miguel Banegas, Consultor Senior de Telefónica Empresas, responsable de la implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid). <br> <br> Gracias a su colaboración podemos conocer las metodologías, herramientas y recursos que han dedicado, así como principales claves y recomendaciones para asegurar la implantación con éxito de ISO 27001.<br> <br> La entrevista está disponible en: <A href="http://www.iso27000.es/download/Telefonica_MiguelBanegas.mp3" >Artículos y podcasts</A>.<br> <br> Además de la certificación del centro de Tres Cantos que se comenta en el presente Podcast, Telefónica ha certificado recientemente el "Portal del empleado" y tiene planificado extender las certificaciones en ISO 27001 al resto de CDGs de España y a los servicios que se prestan desde ellos. <br> <br> Esta sección seguirá recibiendo nuevos podcasts y ampliando las aportaciones en relación a otras cláusulas y en relación a los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:<br> <br> <A href="http://www.iso27000.es/download/Everis_MiguelAngelThomas.mp3" >Podcast Miguel Angel Thomas de Everis (DMR Consulting)</A>.Cláusula 11 de control de accesos (ISO 17799).<br> <A href="http://www.iso27000.es/download/BSI_AlejandroGarcia.mp3" >Podcast Alejandro García de BSI</A>.Estado actual y evolución en la certificación ISO 27001<br> <A href="http://www.iso27000.es/download/SGS-AlvaroRodriguezDeRoa.mp3" >Podcast Alvaro Rodríguez de Roa.</A>Certificación de un SGSI.<br> <A href="http://www.iso27000.es/download/Nextel_AgustinLerma.mp3" >Podcast Agustín Lerma</A>. Gestión de riesgos. <br> <A href="http://www.iso27000.es/download/Nexus_JoseManuelFernandez.mp3" >Podcast José Manuel Fernández. Nexus</A>. Implantación de un SGSI. <br><A href="http://www.iso27000.es/download/Aenor-CarlosMFernandez.mp3" >Podcast Carlos Manuel Fernández. Aenor</A>. SGSI, ISO 27001, UNE 71502 y certificación. <br> <A href="http://www.iso27000.es/download/HistoriaISO27001.pps" >Podcast Historia de ISO 27001. www.ISO27000.es</A> 23 Oct 2006 19:12:27 +0100 http://www.iso27000.es <IMG height=60 hspace=10 src="http://www.seguridad2006.es/website/seguridad2006/index/Noticias/01/image/logo_jornada_2004.jpg" width=120 align=left border=1>AENOR, S2 Grupo, Equipo Marzo y Metrored, con la colaboración de la Generalitat Valenciana y la Fundación Valenciana de la Calidad, organizaron el pasado 27 de septiembre la jornada Seguridad 2006, con el objetivo de presentar, desde un punto de vista práctico, las nuevas tendencias en la Gestión de la Seguridad de la Información, los focos calientes de desarrollo normativo y las posibilidades que las organizaciones, grandes o pequeñas, tienen de enfrentarse al entorno hostil en el que desarrollan su actividad.<br><br> Gracias a la amabilidad de los ponentes, están a libre disposición las presentaciones que se proyectaron durante las charlas.<br><br> <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas/parrafo/0/document/02_Seguridad2006.pdf" >Código Penal y Seguridad de la Información</A> – PDF-File, 328.8 KB<br> <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas/parrafo/00/document/03_Seguridad2006.pdf" >Seguridad en entornos transaccionales. Importancia de la Seguridad en el Portal de la Autoridad Portuaria Valenciana</A> – PDF-File, 550.5 KB<br> <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas/parrafo/01/document/04_Seguridad2006.pdf" >Seguridad y Buen Gobierno. La Seguridad en el sector asegurador</A> – PDF-File, 430.7 KB<br> <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas/parrafo/02/document/05_Seguridad2006.pdf" >La Seguridad no sólo es para empresas grandes</A> – PDF-File, 493.2 KB<br> <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas/parrafo/03/document/06_Seguridad2006.pdf" >El papel del Plan Director de Seguridad en las organizaciones</A> – PDF-File, 343.2 KB<br> <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas/parrafo/04/document/07_Seguridad2006.pdf" >El entorno empresarial ante las exigencias legales relacionadas con la seguridad</A> – PDF-File, 287.7 KB<br> <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas/parrafo/05/document/08_Seguridad2006.pdf" >Planes de Contingencia. El papel del Datacenter en la continuidad de negocio de las empresas valencianas</A> – PDF-File, 1.6 MB<br> <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas/parrafo/06/document/09_Seguridad2006.pdf" >Experiencias en la implantación de un Sistema de Gestión de Seguridad de la Información. Hacia la Gestión en Tiempo Real</A> – PDF-File, 1.4 MB<br> <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas/parrafo/07/document/11_Seguridad2006.pdf" >La nueva familia de normas ISO 27000</A> – PDF-File, 1.3 MB<BR><br> Acceso a la web del evento: <A href="http://www.seguridad2006.es/website/seguridad2006/encuesta/descargas.html">Seguridad2006</A> 23 Oct 2006 19:12:28 +0100 http://www.iso27000.es "....Entonces, ¿cuál es su estrategia para la supervisión de los empleados? Yo ofrecería cuatro recomendaciones:<br> <br> 1. Organice. Acuerde la formación de grupo para la privacidad de los empleados integrado por representantes de recursos humanos, legal, auditoría, seguridad física y TI y privacidad, y repase sus actuales prácticas y objetivos de supervisión. <br> <br> 2. Ponga al día su política. Haga que su política de privacidad del empleado sea coherente con su política del cliente, basando idealmente ambas en los principios de protección seguros. <br> <br> 3. Certifique. Publique su política en su Intranet y certifiquela para darle legitimidad. <br> <br> 4. Comunique. Informe regularmente y con frecuencia a sus empleados sobre su política de supervisión y los derechos que se les otorga mediante ella.<br> <br> Si su compañía respeta la privacidad y la dignidad de sus empleados, habrá más posibilidades de que se dediquen realmente a la misión de su compañía. Pero tráteles como criminales y seguramente se alzarán o hundirán esas expectativas."<br> <br> Artículo completo de Jay Cline en <a href="http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9004170&pageNumber=4">Computerworld</a>.<br><br> 23 Oct 2006 19:12:29 +0100 http://www.iso27000.es La Comisión en Guías fue establecida a principios de 2001 por ASIS Internacional (ASIS) en respuesta a la demanda de directrices en cuestiones de seguridad de la información en los Estados Unidos.<br> <br> Como organización de profesionales en seguridad a nivel mundial, ASIS juega un papel importante en la ayuda al sector privado para proteger su negocio e infraestructura crítica, en caso de catástrofes, accidentes o acciones planificadas, como ataques terroristas, vandalismo, etc.<br> <br> Como resultado ASIA ofrece mediante acceso libre para descarga en PDF los siguientes trabajos:<br> <br> - <a href="http://www.asisonline.org/guidelines/guidelinesbc.pdf">Business Continuity Guideline</a>.<br> <br> Acercamiento práctico para la preparación ante emergencias, gestión de crisis, y recuperación de desastres: perfila una serie de procesos interrelacionados y actividades, incluyendo la preparación, la prevención, la respuesta, la recuperación/reanudación, prueba y formación, y la evaluación y el mantenimiento, que ayudará en la creación, la evaluación, y el sostenimiento a un plan fácil de comprender para su aplicación en caso de una crisis que amenaza a la viabilidad y la continuidad de una organización.<br> <br> - <a href="http://www.asisonline.org/guidelines/guidelineschief.pdf">Chief Security Officer Guideline</a><br> <br> Describe las responsabilidades claves, habilidades y capacidades, y cualificaciones que debe tener un directivo senior de seguridad de una organización.<br> <br> - <a href="http://www.asisonline.org/guidelines/guidelinesgsra.pdf">General Security Risk Assessment Guideline</a><br> <br> Proceso de siete pasos que crea una metodología mediante la cual los riesgos en seguridad de una localidad determinada pueeden ser identificados y registrados junto a soluciones apropiadas.<br> <br> - <a href="http://www.asisonline.org/guidelines/guidelinesprivatefinal.pdf">Private Security Officer Selection and Training Guideline</a><br> <br> Requisitos mínimos para la selección y formación de oficiales de seguridad.<br> <br> - <a href="http://www.asisonline.org/guidelines/guidelinesthreat.pdf">Threat Advisory System Response Guideline</a><br> <br> Acciones que pueden ser implantadas en organizaciones privadas y la industria en base a los niveles de alerta del Departamento de Defensa.<br> <br> - <a href="http://www.asisonline.org/guidelines/guidelineswpvfinal.pdf">Workplace Violence Prevention and Response Guideline</a><br> <br> Guía que ofrece formas útiles de mantener un entorno de trabajo seguro mediante la identificación, evaluación y control de amenazas portenciales y formación e información de los empleados.<br> <br> Otras guías en relación a la preselección de personal, la protección de activos de información y métricas de seguridad están en fase de desarrollo.<br> <br> Acceso guías en <a href="http://www.asisonline.org/guidelines/guidelines.htm">Asis online</a>. 23 Oct 2006 19:23:18 +0100 http://www.iso27000.es <IMG height=80 hspace=10 src="http://news.softpedia.com/images//news2/European-Businesses-Lost-in-the-Security-Labyrinth-2.jpg" width=120 align=left border=1>McAfee S.A.. ha publicado recientemente las conclusiones de una nueva investigación, que revela que el deseo de lograr una gestión de la seguridad TI más sencilla está siendo minado por la complejidad de las estrategias de compras en seguridad.<br> <br> A pesar que los directores TI exigen un único punto de monitorización de la seguridad TI, "demasiados proveedores de seguridad, soluciones y consolas de gestión están sobrecargando los negocios".<br> <br> El estudio en 600 negocios a través de seis países europeos (Reino Unido, Francia, Alemania, Países Bajos, España y Italia) revela que, mientras a más de tres cuartas partes (77 por ciento) les gustaría tener una única vista de la seguridad de su infraestructura TI, casi un tercio (29 por ciento) actualmente usa cuatro o más consolas de gestión y la cuarta parte (24 por ciento) de empresas encuestadas tiene cinco o más proveedores de seguridad diferentes.<br> <br> La investigación fue realizada por Ipsos MORI Research y financiada por McAfee para una mejor comprensión de las medidas de seguridad, cada vez más complejas, de muchas empresas europeas. La necesidad de aplicar actualizaciones a soluciones de software y renovar licencias con regularidad significa que la gestión de múltiples soluciones y de múltiples vendedores puede ser un auténtico dolor de cabeza para los directores TI.<br> <br> La investigación revela que, además de los múltiples vendedores, muchos negocios despliegan un gran número de soluciones de seguridad en toda su organización. Casi un tercio (el 30 por ciento) emplea cinco o más soluciones de seguridad mientras que una de cada cinco empresas (el 22 por ciento) preguntadas tienen siete o más soluciones diferentes.<br> <br> A largo y ancho de Europa la historia varía y las empresas holandesas son las que utilizan más a proveedores de seguridad. Un tercio de los negocios holandeses consultados tiene cinco o más proveedores mientras casi una de cada cinco empresas (19 por ciento) utiliza a más de 10 vendedores de seguridad. Por otra parte, en Francia uno de cada tres negocios utiliza a un único proveedor.<br> <br> Las empresas británicas son las que utilizan más soluciones de seguridad con el 44 por ciento utilizando cinco o más y casi un tercio con siete o más. Un tercio de las empresas italianas también utiliza siete o más soluciones mientras en España, sólo una de cada cinco consultadas admitió el uso de cinco o más. <br> <br> Otras conclusiones claves de la investigación incluyen:<br> <br> * Las empresas de tamaño mediano (250 - 499 empleados) hacen uso de cada vez más vendedores, con un 42 por ciento utilizando tres o más proveedores de seguridad.<br> <br> * El 26 por ciento de empresas de tamaño mediano ha desplegado cinco o más soluciones de seguridad en su organización.<br> <br> * Sólo el 23 por ciento de los cuestionados está completamente satisfecho por el nivel de seguridad en sus sistemas y red.<br> <br> * Una de las dificultades principales para las empresas que utilizan soluciones de múltiples vendedores está en la gestión de los parches. En este sentido, en Europa más de la mitad (el 51 por ciento) de los encuestados dijo que aplica parches al menos una vez al día. Las empresas italianas son las que más parchean (el 67 por ciento), seguidos por alemanes (el 61 por ciento).<br> <br> Artículo completo de Marius Oiaga en <a href="http://www.continuitycentral.com/news02821.htm">Continuity Central</a>. 23 Oct 2006 19:12:29 +0100 http://www.iso27000.es <IMG height=100 hspace=10 src="http://www.expoqa.com/images/imagen_campanya_06.jpg" width=120 align=left border=1>Dos de los mayores expertos mundiales en Test de Software, Michael Bolton y Scott Barber, estarán presentes en expo:QA’06 ofreciendo un curso y una conferencia cada uno.<br> <br> Michael Bolton repetirá la experiencia de ofrecer el curso "Rapid Software Testing". Este curso ya lo ofreció en Barcelona de la mano de expo:QA y debido al éxito del mismo, repite en Madrid. El curso tiene una duración de 3 días y tendrá lugar entre el 28 y el 30 de Noviembre. Michael Bolton es la única persona autorizada para impartir las enseñanzas de James Bach. Posee 15 años de experiencia en la industria informática, testeando, desarrollando, gestionando y escribiendo sobre software. James Bach es uno de los fundadores de Context-Driven School of Software Testing.<br> <br> Scott Barber es la persona que está detrás de perftestplus.com, es co-fundador de WOPR (the Workshop On Performance and Reliability) y un prolífico escritor. Es uno de los mayores expertos en Performace Testing y en Junio de 2006 fue elegido como Director Ejecutivo del AST (‘Association for Software Testing’), una asociación profesional sin ánimo de lucro dedicada al avance del testing de software. Scott Barber ofrecerá el curso &ldquo; Performance Testing Secrets in Context ” en el marco de expo:QA el día 27 de Noviembre.<br> <br> Ambos estarán presentes también el día 30 de Noviembre con sendas conferencias. <br><br> Programa de cursos en <a href="http://www.expoqa.com/pdf/Programa_cursos.pdf">Expoqa.com</a>.<br><br> 23 Oct 2006 19:12:30 +0100 http://www.iso27000.es Añadimos un nuevo canal a nuestra sección de ofertas de empleo con objeto de facilitar la movilidad laboral y búsqueda de oportunidades a profesionales del sector de la seguridad de la información.<br><br> <A href="http://www.jobrapido.es"><IMG height=60 hspace=10 src="http://www.jobrapido.es/images/es/logob.gif" width=120 align=left border=1></A> Es un buscador que considera más de 250.000 ofertas de empleo publicadas en miles de páginas web de empresas y agencias de empleo.<br><br> Visite nuestra sección de <a href="http://www.iso27000.es/empleo.html">Ofertas de empleo</a>.<br><br> Sugerencias sobre nuevos contenidos en <a href="http://www.iso27000.es/contacto.html">Contacto</a>. 23 Oct 2006 19:12:32 +0100 http://www.iso27000.es Los documentos de políticas deben contestar a la cuestión de "¿por qué?." Establecen que disponemos de algunas reglas en el entorno. Requieren de documentación que describa lo que tiene que hacer o generar un control de seguridad con el propósito de cumplir con la política y esto, a su vez, tiene que apoyarse en documentación sobre qué sucede o está implantado en la actualidad.<br> <br> Mientras que uno podría disponer de una política personal sobre la comida de la cena, el menú que describe todas las cosas que se podrían cenar y la carne que llega realmente al plato de esta noche son, claramente, cosas distintas.<br> <br> Este documento explica la importancia de utilizar con claridad los conceptos y los propósitos de las políticas, mediante diversos ejemplos y apoyándose en guías de amplia difusión.<br> <br> Artículo completo de Jon Espenschied en <a href="http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9004318&pageNumber=2">Computerworld</a>. 23 Oct 2006 19:12:33 +0100 http://www.iso27000.es Las organizaciones que necesitan proteger activos de información sensible para el cumplimineto de las políticas corporativas o legales, para proteger la ventaja competitiva o, simplemente, para habilitar nuevos procesos de negocio, han de reconocer "Host Intrusion Prevention" (HIP com un componente crítico para la defensa en profunidad de la estrategia de seguridad.<br> <br> Este documento explica que debemos considerar en los productos HIP.<br> <br> Mientras tanto, a unas millas de distancia, un hombre mediana edad extrae unas pulsaciones de tecla más tarde, datos de miles de pacientes que inmediatamente venderá para sacar limpias ganancias.<br> <br> Artículo completo de New Treat Brigade en <a href="http://www.infosecwriters.com/text_resources/pdf/Key_Qualities_Brigade.pdf">Infowriters</a>. 23 Oct 2006 19:12:33 +0100 http://www.iso27000.es Típica mañana ajetreada en el hospital con todas las salas de operaciones ya reservadas. Mientras los médicos se preparan para posibles emergencias, en radiología, varios pacientes están siendo preparados para las resonancias magnéticas. Pero a las 08:35 de la mañana, el ritmo normal se rompe. Algo no va bien. Las puertas de las salas de operaciones no se abrirán. Las enfermeras de la UVI no se pueden logear en los ordenadores.<br> <br> Alas 09:05, los buscas dejan de funcionar y a las 11 de la mañana, el aparato de resonancias mágnéticas se avería ante la desesperación de los ansiosos pacientes.<br> <br> Mientras tanto, a unas millas de distancia, un hombre mediana edad extrae unas pulsaciones de tecla más tarde, datos de miles de pacientes que inmediatamente venderá para sacar limpias ganancias.<br> <br> ¿Thriller de Hollywood ambientada en un futuro lejano? Desafortunadamente no. <br> <br> Artículo completo de New Treat Brigade en <a href="http://www.infosecwriters.com/text_resources/pdf/New_Threat_Brigade.pdf">Infowriters</a>. 23 Oct 2006 19:12:35 +0100 http://www.iso27000.es <IMG width=100px height=150px hspace=10 src="http://eshop.bsi-global.com/content/images/products/30144033_m.jpg" width=145 align=left border=0> PAS 99:2006 "Specification of Common Management System Requirements as a Framework for Integration" ha sido realizada con el objeto de ayudar a las organizaciones a integrar requisitos comunes a todos los estándares y especificacioens relacionados con los sistemas de gestión y gestionar estos requisitos eficientemente. <br> <br> PAS 99 procura ayuda a las organizaciones a mejorar la visión del negocio y gestionar los riesgos de negocio, a reducir los conflictos y la duplicación de tareas y burocracia entre distintos sistemas y a mejorar la efectividad de los auditorías tanto internas como externas.<br> <br> Se dirige inicialmente a organizaciones que están implantando requisitos para cubrir dos o más estándares con sistemas de gestión como son ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO/IEC 20000 y OHSAS 18001.<br> <br> La relación de contenidos de las 30 páginas es:<br> * Foreword<br> * Introduction<br> * 1 Scope<br> * 2 Normative references<br> * 3 Terms and definitions<br> * 4 Common management system requirements<br> 4.1 General requirements<br> 4.2 Management system policy<br> 4.3 Planning<br> 4.4 Implementation and operation<br> 4.5 Performance assessment<br> 4.6 Improvement<br> 4.7 Management review<br> * Annex A (informative) Guidance on the background and use of this specification<br> * Annex B (informative) Common requirements<br> * Bibliography<br> <br> El precio es de £40.<br> <br> Más información en <a href="http://eshop.bsi-global.com/ProductDetails.aspx?p=30144033">BSI Global</a>. 23 Oct 2006 19:12:36 +0100 http://www.iso27000.es <IMG width=100px height=120px hspace=10 src="http://www.bsi-global.com/ICT/Service/PAS77.JPG" width=145 align=left border=0> PAS 77:2006 explica los principios y algunas de las tecnicas recomendadas para la gestión de continuidad de los servicios TI.<br> <br> Procura ser de utilidad a todos aquellos responsables de implementar, dar soporte y gestionar servicios de continuidad TI en una organización. <br> <br> Sirve de complemento a publicaciones como PAS 56, ISO/IEC 20000, ISO/IEC 17799:2005 e ISO 9001. No debería ser interpretada como una guía que implanta ITSCM paso a paso, más bien una guía en aspectos ITSCM que las organizaciones deberían considerar cuando deciden invertir en este área.<br> <br> Los contenidos son:<br> * Scope<br> * Terms and definitions<br> * Abbreviations<br> * IT service continuity management<br> * IT service continuity strategy<br> * Understanding risks and impacts within your organization<br> * Conducting business critically and risk assessments<br> * IT service continuity plan<br> * Rehearsing an IT service continuity plan<br> * Solutions architecture and design consideration<br> * Buying continuity services<br> <br> Este código de prácticas ha sido desarrollado en colaboración con Adam Continuity, Dell Corporation, Unisys y SunGard y está pensado para organizacioes de todos los tamaños y actividades, tanto en el sector público como privado. El precio es de £49.<br> <br> Más información en <a href="http://www.bsi-global.com/pas77">BSI Global</a>. 23 Oct 2006 19:12:37 +0100 http://www.iso27000.es <IMG width=100px height=150px hspace=10 src="http://www.bsi-global.com/Risk/BusinessContinuity/BS25999-1image.jpg" width=145 align=left border=0> Tras el proceso de aprobación del borrador final que anunciamos recientemente, British Standards anuncia la publicación de BS 25999-1:2006 para Noviembre del 2006. <br> <br> BS 25999-1:2006 establece el proceso, principios y terminología de la gestión de continidad de negocio (BCM), mediante las bases para entender, desarrollar e implantar la continuidad de negocio en una organización y aportar confianza en el desarrollo de actividades comerciales B2B (business-to-business) y B2C (business-to-customer). <br> <br> Además, contiene un conjunto de controles generales basados en las mejores prácticas en BCM y cubre el ciclo de vida BCM completo.<br> <br> BS 25999-1:2006 reemplaza a PAS 56:2003, la cual será retirada.<br> <br> Una segunda parte de la norma denominada BS 25999-2 está prevista que sea publicada para inicios del próximo año 2007.<br> <br> Precio: £90<br> Miembros: £45<br> <br> Más información en <a href="http://www.bsi-global.com/bs25999-1">BSI Global</a>. 23 Oct 2006 19:12:38 +0100 http://www.iso27000.es <IMG width=100px height=100px hspace=10 src="http://www.iso27000.es/jpg_news/cumple.gif" width=145 align=left border=0>En Septiembre se ha llegado a 3.006 empresas certificadas en ISO 27001 y BS 7799-2 en el mundo.<br> <br> A falta de los datos de Octubre para completar el año desde la publicación de la norma, recordamos que en ISO 27001 son ya concretamente 352, cifra que incluye 132 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 220 nuevas certificaciones.<br> <br> Encabeza la lista Japón, con 1.730 certificaciones, y le siguen el Reino Unido, con 314, y la India con 237.<br> <br> Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.<br> <br> Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:<br> <br> España, 9. (Añadimos aquí la certificación de Belt Ibérica aún no actualizada en Xisec)<br> México, 4.<br> Argentina, 3.<br> Colombia, 2.<br> Chile, 1.<br> Perú, 1.<br> <br> Esta información puede obtenerse mes a mes de forma detallada por países y empresas en <a href="http://www.iso27001certificates.com/">International Register of ISMS Certificates</a>. 17 Oct 2006 23:05:28 +0100 http://www.iso27000.es Publicamos un documento en el que, en una sola página y en español, se listan todas las cláusulas, objetivos de control y controles del Anexo A de ISO/IEC 27001:2005 (recuérdese que son una transcripción de los que contiene ISO/IEC 17799:2005).<br> <br> Esta lista, que puede servir de guía de consulta rápida, es una traducción libre de www.iso27000.es de los controles de la norma en inglés. Es posible que esta traducción no se corresponda con la que se haga finalmente oficial en la traducción de la norma por parte del subcomité AEN/CTN 71/SC27, subcomité espejo de ISO/IEC JTC 1/SC 27 en España.<br> <br> El documento puede descargarse de: <a href="http://www.iso27000.es/download/ControlesISO17799-2005.pdf" >ControlesISO17799-2005.pdf</a><br> <br> Visite nuestra sección de <a href="http://www.iso27000.es/herramientas">Herramientas</a>. 17 Oct 2006 23:05:30 +0100 http://www.iso27000.es Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una entrevista a Miguel Ángel Thomas, Gerente de DMR Consulting y responsable de servicios de seguridad.<br> <br> Gracias a su colaboración y expertos comentarios, desarrollaremos la implantación de controles de acceso, correspondientes a la cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002) y relacionada mediante el Anexo A a la norma ISO 27001. La entrevista está disponible en: <A href="http://www.iso27000.es/download/Everis_MiguelAngelThomas.mp3" >Artículos y podcasts</A>.<br> <br> Debido al enorme crecimiento que ha tenido DMR en su década de vida, aprovechamos para comunicar que a partir del 23 de Octubre pasa a denominarse "EVERIS".<br> <br> Esta sección seguirá recibiendo nuevos podcasts y ampliando las aportaciones en relación a otras cláusulas y en relación a los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:<br> <br> <A href="http://www.iso27000.es/download/BSI_AlejandroGarcia.mp3" >Podcast Alejandro García de BSI</A>.Estado actual y evolución en la certificación ISO 27001<br> <A href="http://www.iso27000.es/download/SGS-AlvaroRodriguezDeRoa.mp3" >Podcast Alvaro Rodríguez de Roa.</A>Certificación de un SGSI.<br> <A href="http://www.iso27000.es/download/Nextel_AgustinLerma.mp3" >Podcast Agustín Lerma</A>. Gestión de riesgos. <br> <A href="http://www.iso27000.es/download/Nexus_JoseManuelFernandez.mp3" >Podcast José Manuel Fernández. Nexus</A>. Implantación de un SGSI. <br><A href="http://www.iso27000.es/download/Aenor-CarlosMFernandez.mp3" >Podcast Carlos Manuel Fernández. Aenor</A>. SGSI, ISO 27001, UNE 71502 y certificación. <br> <A href="http://www.iso27000.es/download/HistoriaISO27001.pps" >Podcast Historia de ISO 27001. www.ISO27000.es</A><br> <br> 17 Oct 2006 23:05:21 +0100 http://www.iso27000.es <IMG width=160px height=100px hspace=10 src="http://www.corilliansecurity.com/CorillianSecurity/Resources/Images/BSIRegUKAS.JPG" width=145 align=left border=0> Con el objetivo de propocionar mayores garantías a sus clientes, el proveedor de soluciones para banca on-line ha logrado recientemente la certificación en ISO 27001.<BR><BR> Según Greg Hughes (CISO de Corillian) la seguridad en la información, datos y operaciones es una necesidad y se deberían abordar de manera proactiva. " El marco de ISO es el cimiento de todo que hacemos", comenta. "Proporciona una vía internacionalmente aceptada y reconocida de hacer las cosas a través del consejo de dirección."<BR><BR> Aunque no sea necesario certificar la empresa entera en ISO 27001, Corillian optó por hacerlo así. Hughes comenta que ya que todo Corillian debe tratar con la seguridad, era natural certificar la empresa entera. Esta acción, señala, "engendrará un alto grado de confianza con los clientes de instituciones financieras de Corillian.". "La confidencialidad con arreglo al cumplimiento y las mejores prácticas de seguridad es crítica para nuestros clientes," comenta. "Nuestras excepcionales prácticas en seguridad fomentan la confianza de nuestros clientes. La confianza nos aporta una ventaja estratégica." <BR><BR> Corillian ha trabajado en la certificación durante aproximadamente tres años, explica Hughes. Pero desde hace año y medio sus esfuerzos fueron realmente en serio. La empresa fue certificada en BS7799-2 y el proceso de certificación en ISO 27001 se inició en Octubre 2005. Hughes relata, "El alcanzar la certificación de ISO no es tarea fácil". "Esto es ... un paso a lo largo de un camino sin fin. Lograr el certificado es una cosa, mantenerlo es otra. " <BR><BR> A pesar del arduo trabajo, Hughes dice que bien merece el esfuerzo. "Es un análisis por parte de terceros muy detallado," indica. "Se dispone de una tercera parte objetiva que te visita y mantiene en un estándar que realmente aporta valor y se clava en la mirada de las personas que confían en tí." <BR> <BR> Artículo completo en <a href="http://www.banktech.com/showArticle.jhtml;jsessionid=3WI4TD2KMFBZUQSNDLRSKH0CJUNN2JVN?articleID=191600206">Banktech</a><BR> <BR> 17 Oct 2006 23:05:39 +0100 http://www.iso27000.es Cuatro empresas reales de cuatro sectores distintos con cuatro métodos de evaluación del riesgo diferentes.<br> <br> Interesante documento de GAO (General Accounting Office) que sigue siendo de utilidad y de referencia para entender la puesta en práctica y desarrollo de uno de los puntos fundamentales para la implantación de la norma ISO 27001.<br> <br> Descarga directa en formato PDF <A href="http://www.gao.gov/special.pubs/ai00033.pdf">Information Security Risk Assessment: Practices of Leading Organizations</A>. 17 Oct 2006 23:05:22 +0100 http://www.iso27000.es "Las métricas en seguridad de la Información no tienen por qué sustentarse en una dura báse matemática para ser eficaces, pero tampoco tienen que simplificarse al rojo, amarillo, verde. Aquí se presentan cinco métricas y modos de presentación." Artículo de Scott Berinato para <A href="http://www.csoonline.com/read/070105/metrics.html">CISO</A>. <br> <br> Visite nuestra sección de <A href="http://www.iso27000.es/boletines.html">Boletines</A>.<br><br> 17 Oct 2006 23:05:23 +0100 http://www.iso27000.es <IMG width=100px height=60px hspace=10 src="http://spain.irca.org/inform/images/logo_inform.gif" width=145 align=left border=0> La nueva edición del Boletín de IRCA en Español nos trae novedades como:<br> <br> - Estatuto para el IQA <br> - ¿Qué es la norma ISO 20000:2005? <br> - Guiando la sustentabilidad <br> - ¿En quién confiamos? <br> - Eventos <br> - Novedades IRCA <br> <br> Enlace al nuevo número 12 en: <A href="http://spain.irca.org/inform/issue12/front_cover.html">INform</A>. <br> <br> Visite nuestra sección de <A href="http://www.iso27000.es/boletines.html">Boletines</A>.<br><br> 17 Oct 2006 23:05:24 +0100 http://www.iso27000.es Quantico es una revista en español dedicada a la seguridad de la información editada por la Asociación de Seguridad de la Información de la República Argentina (ASIRA).<br> <br> Sumario: <br> <br> - Investigación y desarrollo como base de la seguridad.<br> <br> - El derecho penal argentino y la informática.<br> <br> - Actualidad de la seguridad de la información en Japón.<br> <br> - Conceptos báscios en seguridad en bases de datos.<br> <br> - La seguridad de la información en las organizaciones.<br> <br> - La gestión de incidentes - De recomendación a deber.<br> <br> - Auditoría de Código Web: Remote Include Vulnerabilities.<br> <br> Descarga del número 3 disponible en formato PDF: <a href="http://www.asira.org.ar/revista/quantico03-asira.pdf">Quantico</a>.<br> <br> Visite nuestra sección de <A href="http://www.iso27000.es/boletines.html">Boletines</A> o habilite el canal correspondiente vía <a href="http://www.iso27000.es/rssinfo.html">RSS info</a>. 17 Oct 2006 23:05:24 +0100 http://www.iso27000.es Hemos ampliado nuestra sección de ISO 27000 y hemos revisado y renovado la sección con información actual de las series.<br> <br> Visite nuestra sección de <a href="http://www.iso27000.es/iso27000.html">ISO 27000</a>. 17 Oct 2006 23:05:26 +0100 http://www.iso27000.es Arturo W. Coviello, presidente de RSA (división de seguridad de EMC Corp.), hizo un llamamiento para que el gobierno sea más proactivo en la seguridad TI.<BR> <BR> "Por demasiado tiempo la seguridad ha sido defensiva más que ofensiva", declaró. Pero un miembro de la audiencia con 30 años de experiencia al servicio del gobierno contestó que se fuerza a tomar la postura defensiva porque la financiación a menudo está disponible para tratar solamente un problema que ha sucedido ya.<BR> <BR> "Aplicas el modo reactivo porque tienes la prueba de que algo va mal" dijo. "Es muy difícil convencer a la gerencia que gaste dinero en algo teórico. Es un problema cultural al que hacemos frente continuamente".<BR> <BR> Hay una carencia de métricas para determinar el valor de una inversión en seguridad dentro del gobierno. El proceso directo en el mundo de los negocios, donde el beneficio y pérdidas se miden en dólares y centavos. Esto permite a las compañías cuantificar riesgos y costes y determinar el retorno de inversión ROI. Pero el gobierno no trata con beneficios y pérdidas. <BR> <BR> "Es realmente difícil realizar un ROI para la seguridad en ese contexto" dijo Coviello. "El día antes de una brecha en seguridad el ROI es cero" dijo Dennis Hoffman, vice presidente de RSA de soluciones para la empresa. "El día después es infinito". <BR> <BR> Artículo e información completa en <A href="http://www.gcn.com/online/vol1_no1/42229-1.html?topic=security&CMP=OTC-RSS">GCN</A>. 17 Oct 2006 23:05:26 +0100 http://www.iso27000.es Un nuevo estudio sobre 1.000 trabajadores remotos patrocinado por Cisco, indica que que los trabajadores pueden estar involucrados en más actividades inseguras de las que están dispuestos a admitir.<BR> <BR> Los usuarios están aparentemente concienciados sobre las actividades inseguras, tales como no abrir E-mails de remitentes desconocidos pero todavía abren los correos y los adjuntos que contienen. <BR> <BR> Solamente el 25 por ciento admitió usar sus computadoras de trabajo para abrir un E-mail desconocido. Sin embargo, cuando en la pregunta sobre lo que hacen con E-mails desconocidos, los resultados eran algo diferentes y un 44 por ciento admitió que abriría el E-mail. <BR> <BR> Similar contradicción apareció en respuesta a las preguntas sobre el uso personal de los ordenadores del trabajo. EL 29 por ciento respondió que utilizaba su computadora de trabajo para propósitos personales pero el 40 por ciento admitió usar su computadora de trabajo para la compra de artículos personales y hasta 46 por ciento admitió descargar archivos personales. <BR> <BR> "Vemos inconsistencias entre lo qué gente dice que hace y lo que proponen que deberían hacer en ciertos casos," dijo Erica DesRoches, encargada del estudio por InsightExpress. Veintiuno por ciento admitió permitir que otros utilicen sus computadoras del trabajo y el once por ciento utilizar la conexión inalámbrica de su vecino. <BR> <BR> Según DesRoches, la inconsistencia de las respuestas es uno de los aspectos más sorprendentes del estudio y que requiere, probablemente, de un exámen adicional para una mejor comprensión. <BR> <BR> "La gente entiende que debe estar al tanto sobre la seguridad pero no se comporta de forma segura". Dijo DesRoches, "¿es que porque se sienten excesivamente confiados en que su departamento TI los cubre en todos las situaciones o porque están simplemente dispuestos a asumir el riesgo?" <BR> <BR> Desde el punto de vista de Cisco, el examen y sus resultados no influyen en desarrollo de ningún producto del Cisco. Bruce Murphy, Vicepresidente de Servicios de Cisco, declaró: "La gente experta en el mundo de la seguridad sabe que no es cuestión de un área o asunto específico. Son los comportamientos de la gente."<BR> <BR> Artículo e información completa en <A href="http://www.internetnews.com/stats/article.php/3636831">Internetnews</A>.. 17 Oct 2006 23:05:27 +0100 http://www.iso27000.es Al presentar su nota principal en la conferencia del IT Compliance Institute, el autor sobre seguridad informática Dan Verton, dijo que una organización de tecnologías de la información, encara una ascendente batalla cuando disminuye la protección de sus activos. Las antiguas defensas perimetrales, se han vuelto inútiles.<BR> <BR> "Sus programas de seguridad, políticas y procedimientos, están viniéndose abajo miserablemente y ustedes no lo saben," dijo Verton a sus oyentes. "Podrían estar gastando millones en su defensa perimetral, pero resulta que no tienen un perímetro."<BR> <BR> "Usted tiene un promedio de usuarios que son leales, pero ellos está manipulando información que es distribuida de forma íntegra a toda una empresa no protegida." Por ejemplo, ellos pueden usar por comodidad, una cuenta de correo Web para enviar a los clientes información acerca de sus cuentas, aún cuando la compañía pueda tener una política de envío de tal información a través de correo encriptado. Un virus o gusano que penetre el perímetro de seguridad de la organización puede obtener esa información.<BR> <BR> "Ello hace caer cualquier intento de crear una cultura de seguridad," dice Verton. <BR> <BR> Artículo en español <A href="http://www.vsantivirus.com/eb-14-10-06.htm">vsantivirus</A>. 17 Oct 2006 23:05:28 +0100 http://www.iso27000.es La conexión entre TI y el negocio se intensifica y la demanda de CIOs (Chief Information Officer) para la búsqueda de nuevos productos, servicios y capcacidades dentro de las empresas se ha incrementado de forma espectacular. <br><br> "La dirección está reclamando que los CIOs salgan de las salas de servidores y se concentren en el negocio" <br><br> Presentación del podcast en: <A href="http://www.gartner.com/it/products/podcasting/asset_159842_2575.jsp">Gartner Voice</A> <br><br> Descarga directa del audio en MP3: <A href="http://www.gartner.com/it/products/podcasting/attributes/attr_159842_301.mp3">Download MP3 (11:22 9.55MB)</A> 17 Oct 2006 23:05:29 +0100 http://www.iso27000.es Las empresas afrontarán, cada vez más frecuentemente, a criminales expertos en TI que tratan de infiltrarse en las redes corporativas para acceder a datos sensibles almacenados en las bases de datos, pero mediante la adopción de nuevas políticas para evaluar el riesgo se debería ayudar a disminuir el coste de las defensas, según declaraciones recientes de analistas de seguridad.<BR> <BR> Sin embargo, muchas organizaciones crean la política de seguridad en base a las regulaciones estatales más que en función de las amenazas. El resultado son políticas que cumplen con las exigencias de los auditores pero no son, necesariamente, las mejores para la seguridad global. "Lo denominamos como 'la distracción reguladora'" dijo Jay Heiser, vicepresidente de Gartner research.<BR> <BR> En vez de esperar una nueva regulación, es mejor para empresas tratar las regulaciones como un factor más dentro del portafolio de riesgos generales.<BR> <BR> En relación a la adquisición de nuevo software, en vez de comprar el "mejor producto de seguridad de la gama", las empresas pueden comprar el que "mejor se adapta a las necesidades", uno que puede no estar en la cima del mercado pero reune las exigencias que necesita la empresa, dijo Vic Wheatman, vicepresidente directivo de analistas de investigación de Gartner.<BR> <BR> "Realmente pensamos que con el tiempo, las organizaciones pueden disminuir sus presupuestos en seguridad así como un porcentaje del presupuesto TI", dijo Wheatman.<BR> <BR> Artículo e información completa en <A href="http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=security&articleId=9003402&taxonomyId=17&intsrc=kc_feat">Computerworld</A>. 17 Oct 2006 23:05:30 +0100 http://www.iso27000.es Mientras las empresas continuan disminuyendo su dependencia de los registros en papel, los auditores internos precisan estar al frente de la situación conociendo los ingredientes necesarios para llevar a cabo y de forma efectiva un programa de gestión de registros digitales.<BR> <BR> Artículo de Raquel Filipek, Editora de <A href="http://www.theiia.org/itaudit/index.cfm?iid=496&catid=21&aid=2388">IT Audit</A>. 17 Oct 2006 23:05:32 +0100 http://www.iso27000.es <IMG style="WIDTH: 168px; HEIGHT: 214px" alt="" hspace=10 src="http://www.theiia.org/ecm/emplibrary/GTAG6-Icon.jpg" align=left border=0>La guía para la gestión y auditoría de vulnerabilidades TI fue desarrollada para ayudar a CAEs (Chief audit executive) a plantear las preguntas adecuadas al personal de seguridad TI, al evaluar la eficacia de sus procesos de gestión de las vulnerabilidades. <BR> <BR> La guía recomienda prácticas de gestión específicas para ayudar a la organización a alcanzar y mantener niveles más altos de eficacia y eficiencia e ilustra las diferencias entre los esfuerzos altos/bajos de gestión de las vulnerabilidades realizados.<BR> <BR> Después de la lectura de esta guía:<BR> <BR> · Tendrá los conocimientos preciso de los procesos de gestión de las vulnerabilidades.<BR> <BR> · Tendrá la capacidad de distinguir entre organizaciones con rendimientos altos/bajos de gestión de las vulnerabilidades.<BR> <BR> · Se habrá familiarizado con la típica progresión de las capacidades, partiendo de un enfoque basado en la tecnología a un enfoque basado en el riesgo hasta un enfoque en base a procesos TI.<BR> <BR> · Proveerá una guía util a la dirección de sistemas TI en base a las mejores prácticas para la gestión de las vulnerabilidades.<BR> <BR> · Será capaz de vender sus recomendaciones de forma más efectiva a su CIO (chief information officer), CISO (chief information security officer), CEO (chief executive officer) y CFO (chief financial officer).<BR> <BR> Descarga directa: <A href="http://www.theiia.org/download.cfm?file=39632">Download GTAG 6: Managing and Auditing IT Vulnerabilities (PDF 574KB)</A>.<BR> <BR> Visite nuestra sección de <A href="http://www.iso27000.es/publicaciones.html">Publicaciones</A>. 17 Oct 2006 23:05:35 +0100 http://www.iso27000.es Fidelity Federal Bank and Trust deberá pagar 50 millones de dólares por la compra ilícita de 565.600 nombres y direcciones para su uso en campañas de marketing directo.<BR> <BR> En el periodo del año 2000 al 2003, Fidelity compró datos con información personal de conductores residentes en la zona de Palm Beach, por tan sólo 5.656 dólares (un penique por cada registro personal).<BR> <BR> El banco se beneficiaba de esta información para la demanda de prestamos bancarios en la compra de vehículos, según recoge el pleito colectivo.<BR> <BR> Además de la indemnización monetaria, el banco ha certificado que no retuvo datos del estado de Florida y que cumplirá los términos de confidencialidad relativos a la no difusión o venta de los datos así como procesos de auditoría.<BR> <BR> Los términos de cumplimiento dependerán de la adquisición pendiente de Fidelity Federal por el National City Corp. en un billón de dólares americanos. <BR> <BR> Artículo completo en <a href="http://www.banktech.com/showArticle.jhtml?articleID=193005173">Banktech</a><BR> <BR> 17 Oct 2006 23:05:37 +0100 http://www.iso27000.es El 14 de Octubre es la fecha elegida todos los años para celebrar el Día Mundial de la Normalización, que en 2006 se conmemora por 37ª vez.<BR> <BR> Los representantes de las tres instituciones que lo promueven -Renzo Tani, Presidente de la International Electrotechnical Commission (IEC), Masami Tanaka, Presidente de la International Organization for Standardization (ISO), y Yoshio Utsumi, Secretario General de la International Telecommunication Union (ITU)- destacan este año cómo los estándares suponen una gran ayuda para las PyMEs, que totalizan el 95% de las empresas a nivel mundial. Esto es así por la transferencia de tecnologías, técnicas y sistemas de gestión que suponen los estándares para este tipo de empresas, sobre todo en un mundo cada vez más interconectado.<BR> <BR> Más información en <a href="http://www.iso.org/iso/en/commcentre/wsd/2006wsdindex.html">ISO.org</a><BR> <BR> 8 Oct 2006 10:49:48 +0100 http://www.iso27000.es Applus+ Formación tiene programados una serie de cursos relacionados con Seguridad de la Información para este último trimestre del año. Tienen lugar en Barcelona y Madrid y se enmarcan en dos bloques: auditoría e implantación. Los cursos son los siguientes:<br> <br> <br> Bellaterra (Barcelona), auditoría:<br> <br> Metodología de Auditoría de un Sistema de Gestión de la Seguridad de la Información según ISO 19011:2002<br> 23-24 Octubre.<br> <br> Auditoría de un Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2005<br> 25-27 Octubre<br> <br> Metodología de Auditoría de un Sistema de Gestión de la Seguridad de la Información según ISO 19011:2002<br> 11-12 Diciembre<br> <br> Auditoría de un Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2005<br> 13-15 Diciembre<br> <br> <br> Bellaterra (Barcelona), implantación:<br> <br> Cómo Identificar y Gestionar los Riesgos de la Seguridad de la Información<br> 11-12 Diciembre<br> <br> Cómo Implantar un Sistema de Gestión de Seguridad de la Información (SGSI)<br> 13-15 Diciembre<br> <br> Métricas e Indicadores en un Sistema de Gestión de Seguridad de la Información<br> 18 Diciembre<br> <br> Gestión de la Continuidad del Negocio y Planes de Contingencia para la Seguridad de los Sistemas de Información<br> 19 Diciembre<br> <br> <br> Madrid, auditoría:<br> <br> Metodología de Auditoría de un Sistema de Gestión de la Seguridad de la Información según ISO 19011:2002<br> 27-28 Noviembre<br> <br> Auditoría de un Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001:2005<br> 29 Noviembre - 1 Diciembre<br> <br> <br> Madrid, implantación:<br> <br> Cómo Identificar y Gestionar los Riesgos de la Seguridad de la Información<br> 13-14 Noviembre<br> <br> Cómo Implantar un Sistema de Gestión de Seguridad de la Información (SGSI)<br> 15-17 Noviembre<br> <br> Métricas e Indicadores en un Sistema de Gestión de Seguridad de la Información<br> 20 Noviembre<br> <br> Gestión de la Continuidad del Negocio y Planes de Contingencia para la Seguridad de los Sistemas de Información<br> 21 Noviembre<br> <br> <br> Para más detalles e inscripciones: <a href="http://www.applusformacion.com/cursos_descripcion.asp?busqueda=&provincia=&area=31&periodo=09-12-2006&orderby=&ascdesc=">Applus+ Formación</a>.<br><br> 8 Oct 2006 10:48:27 +0100 http://www.iso27000.es ISO anunció el pasado 15 de Septiembre la publicación del estándar ISO/IEC 17021:2006 de requisitos para entidades auditoras y certificadoras de sistemas de gestión.<br> <br> Esta norma ha sido diseñada como una única fuente de requisitos internacionalmente armonizados para los cuerpos certificadores y sus actividades, no sólo en relación a ISO 9001 (calidad) e ISO 14001 (medio ambiente), sino también ISO 22000 (seguridad alimentaria), ISO 27001 (seguridad de la información), ISO/PAS 28000 (seguridad de la cadena de suministro) y cualquier otro estándar de sistemas de gestión que pueda desarrollarse.<br> <br> ISO 17021 sustituye a las Guías ISO/IEC 62 y 66 e incorpora aportaciones del International Accreditation Forum, asociación internacional de entidades de acreditación (las que acreditan a las entidades de certificación).<br> <br> La importancia de esta norma se deduce de la cifra de 880.000 organizaciones en 161 países que están certificadas de forma independiente (por "tercera parte") en ISO 9001:2000 y/o ISO 14001:2004.<br> <br> Más información en <A href="http://www.iso.org/iso/en/commcentre/pressreleases/2006/Ref1028.html" >ISO.org</A>.<br> <br> 8 Oct 2006 10:30:46 +0100 http://www.iso27000.es La empresa consultora especializada en seguridad de la información ESA-Security organiza regularmente en su sede de Las Rozas (Madrid) desayunos de trabajo, de asistencia gratuita, dedicados a distintos temas relacionados con ISO 27001 y los SGSI.<br> <br> Los próximos a celebrar son: <br> <br> Hacking Ético, el 19 de Octubre.<br> ISO 27001, el 26 de Octubre.<br> <br> Más información e inscripciones en <a href="http://www.esa-security.com/web/htm/desayunos.htm">ESA-Security</a>.<br><br> 8 Oct 2006 10:04:05 +0100 http://www.iso27000.es NIST (National Institute of Standards and Technology de EEUU) ha publicado en el mes de Septiembre otra de sus excelentes guías (en inglés), en esta ocasión titulada "Guidelines for Media Sanitization".<BR> <BR> La guía, de 43 páginas, hace un recorrido de introducción a la eliminación de información de los soportes que la contienen, los roles y responsabilidades, el proceso de decisión, las técnicas utilizadas, recomendaciones de medidas mínimas a tomar, glosario, herramientas y recursos, recomendaciones para teletrabajadores y usuarios particulares y fuentes de información.<BR> <BR> El documento puede descargarse gratuitamente de <a href="http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf">NIST SP800-88</a><BR> <BR> 8 Oct 2006 08:47:20 +0100 http://www.iso27000.es La Universidad Internacional Menéndez Pelayo (UIMP) celebra esta semana, del 9 al 11 de Octubre, un curso sobre Seguridad en las Tecnologías de la Información y Comunicación en Cuenca.<br> <br> Algunos de los temas sobre los que versarán las ponencias son: Amenazas y vulnerabilidades; Documentación Seguridad/Normativa/Planes de Continuidad; El régimen jurídico de la criptología como herramienta de la STIC; Esquema Nacional de Evaluación y Certificación de la Seguridad de las T.I.; Análisis de Riesgos; Procedimiento de acreditación; Seguridad Perimetral; Seguridad de redes inalámbricas; Amenazas y vulnerabilidades del correo electrónico.<br> <br> Más información en <A href="http://www.uimp.es/academicas_otroscentros.asp?sede=40" >UIMP</A>.<br> <br> 8 Oct 2006 08:40:02 +0100 http://www.iso27000.es Del 17 al 19 de Octubre tendrán lugar en Barcelona las terceras Jornadas de Firma Electrónica, organizadas por la Agència Catalana de Certificació - CATCert -, en el marco de la Administració Oberta de Catalunya.<br> <br> Estas jornadas, dirigidas a los profesionales del ámbito de la certificación electrónica del sector público y del privado, contarán con más de 30 conferencias, más de 70 conferenciantes y más de 400 participantes. Se tratarán temas como la gestión y federación de identidades, la e-salud, el certificado de persona jurídica versus el certificado de órgano, la e-justicia, la e-contratación, los dominios de confianza y auditoría y los servicios públicos de identidad digital transfronterizos, entre otros.<br> <br> Más información e inscripciones, en <A href="http://www.js-e.net/site/cas/index.htm" >JS-E.net</A>.<br> <br> 8 Oct 2006 08:29:17 +0100 http://www.iso27000.es Tendrá lugar en Montevideo el evento InfoSecurity organizado por la empresa <A href="http://www.i-sec.org" >I-SEC Information Security</A>.<br><br> Se celebrará el 8 y 9 de Noviembre en el Hotel Meliá Confort y tratará en diversas conferencias y workshops temas como ethical hacking, Sabanes-Oxley, Business Continuity Plan, ISO27001, CISSP, delitos informáticos, etc.<br><br> Más información e inscripciones, en <A href="http://www.infosecurityonline.org/infosecurity/eventos/uruguay/montevideo2006.php" >www.infosecurityonline.org</A>.<br> <br> 8 Oct 2006 08:24:02 +0100 http://www.iso27000.es En más de una ocasión hemos mencionado documentos relacionados con seguridad de la información del "Department of Trade and Industry" (DTI; Departamento de Comercio e Industria) del Reino Unido.<br> <br> Hay que recordar que el DTI está en el origen de BS7799 e ISO 27001 (ver nuestro podcast <A href="http://www.iso27000.es/download/HistoriaISO27001.pps" >Historia de ISO 27001</A>), por lo que tiene una larga experiencia en documentación y concienciación en seguridad de la información.<br> <br> En su página web hay tres secciones en las que se encuentran documentos de lectura recomendada, pues son en general guías resumidas, directas y sencillas de comprender, con introducciones a la seguridad de la información para directivos, guías de redacción de políticas, resúmenes de análisis y gestión de riesgos, ejemplos de políticas de seguridad, pósters de concienciación, etc.<br> <br> Visite estos enlaces:<br> <a href="http://www.dti.gov.uk/sectors/infosec/infosecadvice/page10059.html">Business Advice</a><br> <a href="http://www.dti.gov.uk/sectors/infosec/infosecdownloads/page9935.html">Downloads 1/2</a><br> <a href="http://www.dti.gov.uk/sectors/infosec/infosecdownloads/downloads2nd/page29142.html">Downloads 2/2</a><br> <br> 8 Oct 2006 08:23:49 +0100 http://www.iso27000.es Hemos ampliado nuestra sección de herramientas con nuevos enlaces. Al mismo tiempo, hemos revisado y corregido enlaces que ya no eran actuales.<br> <br> Visite nuestra sección de <a href="http://www.iso27000.es/herramientas.html">Herramientas</a>.<br> <br> 8 Oct 2006 08:22:27 +0100 http://www.iso27000.es La Fundación General UNED (Universidad Nacional de Educación a Distancia) imparte del 30 de Noviembre de 2006 al 30 de Junio de 2007 un curso a distancia de Experto Universitario en Protección de Datos, con inclusión de conferencias presenciales.<br> <br> El temario es el siguiente:<br> <br> Tema 1: Origen y fundamento de la protección de datos<br> Tema 2: Estudio de la legislación europea y nacional<br> Tema 3: El estado y los datos<br> Tema 4: Instituciones dedicadas a la protección de datos<br> Tema 5: Principios jurídicos en la protección de datos<br> Tema 6: Datos especialmente protegidos<br> Tema 7: El derecho de acceso<br> Tema 8: Los derechos de rectificación, cancelación y oposición<br> Tema 9: La inscripción y registro de ficheros y bases de datos<br> <br> Más información en <A href="http://www.fundacion.uned.es/cursos/derecho/experto-universitario/proteccion-datos/" >Fundación UNED</A>.<br> <br> 8 Oct 2006 08:20:24 +0100 http://www.iso27000.es Del 21 al 23 de Noviembre, la empresa Orión organiza en Santiago un curso de Diseño y Gestión de un Plan de Continuidad del Negocio.<br> <br> El curso será impartido por Alberto G. Alexander, experto en la materia.<br> <br> Para más información: <a href="http://www.orion.cl/eventos/detalle.tpl?id=20">ORION</a><br> <br> 8 Oct 2006 08:14:13 +0100 http://www.iso27000.es La Cámara de Comercio de Castellón ofrece un curso de 16 horas sobre la implantación de un SGSI según ISO 27001. Tendrá lugar del 6 al 9 de Noviembre.<br> <br> Para más información: <a href="http://www.camaracs.es/descargas/formacion/cursos4t06.pdf">Cámara Castellón</a><br> <br> 8 Oct 2006 08:07:57 +0100 http://www.iso27000.es El IEEE Sección Puebla y AMICEE organizan del 14 al 17 de Noviembre el primer Congreso Mexicano de Seguridad Informática en Ciudad de México. El programa incluye conferencias magistrales, talleres, sesiones orales, stands con productos y servicios de seguridad de la información, etc.<br> <br> Para más información e inscripción: <a href="http://lssd.esimecu.ipn.mx/comsi/principal.htm">MCIS</a><br> <br> 8 Oct 2006 07:59:56 +0100 http://www.iso27000.es Gary Hinson, en <a href="http://www.noticebored.com/blog/2006/10/laptop-security-is-top-priority.html">Noticebored</a>, comenta el adelanto que hace <a href="http://news.zdnet.co.uk/internet/security/0,39020375,39283776,00.htm">ZDNET</a> de la lista de 2007 de mayores amenazas de seguridad del SANS Institute.<br> <br> Según esta lista, los ordenadores portátiles deberían ser la mayor preocupación de las empresas en cuanto a seguridad de la información, debido a la imparable sustitución de equipos de sobremesa por aquéllos. La combinación de datos altamente sensibles sacados fuera de la organización con la falta de encriptación y los errores humanos que llevan al robo de los equipos deberían dar a esta cuestión prioridad máxima.<br> <br> Del mismo modo, aumentará el robo de otros equipos portátiles, como PDAs y smart phones, debido al valor de los datos que puedan contener.<br> <br> Otras amenazas emergentes a tener en cuenta deberían ser las relacionadas con virus para teléfonos móviles y VoIP.<br> <br> 8 Oct 2006 07:40:02 +0100 http://www.iso27000.es <a href="http://seguridad-de-la-informacion.blogspot.com/2006/10/informe-sobre-las-sanciones-de-la.html">Javier Cao</a> comunica la realización por parte de la empresa Firma, Proyectos y Formación, S.L. de un informe basado en el análisis de 170 sentencias publicadas por la Agencia Española de Protección de Datos durante el primer semestre de este año. A través del estudio de dichas sentencias y sanciones se obtienen algunas conclusiones sobre qué partes de la LOPD se están implantando o asumiendo con mayor dificultad en las organizaciones.<br> <br> El informe puede descargarse en: <a href="http://www.firma-e.com/documentos/2006_Informe_sanciones.pdf">Firma Consultores</a><br> <br> 8 Oct 2006 07:28:00 +0100 http://www.iso27000.es ISACA (Information Systems Audit and Control Association) ha autorizado a www.iso27000.es a traducir al español y publicar una serie de artículos relacionados con ISO 27001 y la seguridad de la información.<br> <br> El segundo de estos artículos que traducimos, publicado originalmente en el número 2 de 2005 de la revista "Information Systems Control Journal", lleva por título "¿Cómo puede medirse la seguridad?".<br> <br> En él, David A. Chapin y Steven Akridge hacen un recorrido introductorio por las métricas de seguridad tradicionales y los modelos de madurez de seguridad existentes (a los que hacen la crítica de que suelen mezclar existencia con calidad), pasando a continuación a proponer un nuevo modelo de madurez, basado en ISO 17799, que evalúa de forma separada el nivel de madurez y la calidad de los elementos de seguridad implantados.<br> <br> Visite nuestra sección de <a href="http://www.iso27000.es/download/HowCanSecurityBeMeasured-SP.pdf"> Artículos y Podcast</a>.<br> <br> Original en inglés en <a href="http://www.isaca.org/Template.cfm?Section=Archives&CONTENTID=24174&TEMPLATE=/ContentManagement/ContentDisplay.cfm">ISACA</a>.<br> <br> 1 Oct 2006 16:24:41 +0100 http://www.iso27000.es José M. Fernández, del <a href="http://www.nexusasesores.com/home.php">Grupo Nexus Consultores y Auditores</a>, nos hace llegar la interesante noticia de la iniciativa del Proyecto Camersec.<br> <br> Este proyecto, que promueven Nexus Consultores y Asesores, la Cámara de Comercio, Industria y Navegación de Málaga y la consultora tecnológica Tecnotur 3000, está orientado a la implantación de sistemas de gestión de seguridad de la información según ISO 27001.<br> <br> Al mismo podrán adherirse todas las empresas que lo deseen, siendo las PyMEs andaluzas especialmente beneficiadas, ya que pueden entrar en la iniciativa acometida para incentivación del proyecto por parte de la Agencia IDEA de la Consejería de Innovación, Ciencia y Empresa de la Junta de Andalucía.<br> <br> Los detalles del proyecto en concreto se abordarán en la Jornada de Presentación del mismo:<br> <br> Lugar: Cámara de Comercio, Industria y Navegación de Málaga.<br> Dirección: c/ Cortina del Muelle, 23 - Palacio de Villalcázar. - Málaga<br> Fecha: 26 de Octubre de 2006.<br> Horario: 10:00 - 11:30 de la mañana.<br> <br> Para más información e inscripción gratuita en la jornada de presentación: <a href="http://www.nexusasesores.com/home.php">Nexus</a><br> <br> 1 Oct 2006 15:18:09 +0100 http://www.iso27000.es Según nos comunica AENOR, a día de hoy ya son 31 las empresas certificadas en UNE 71502.<br> <br> UNE 71502 es un estándar español que especifica los requisitos de un sistema de gestión de seguridad de la información. Fue publicado en 2004, tiene un contenido muy semejante a BS 7799-2 y remite a ISO 17799 para la selección de controles.<br> <br> 1 Oct 2006 14:32:07 +0100 http://www.iso27000.es Entre el 13 y el 30 de Noviembre de 2006, AENOR organiza en Madrid los siguientes cursos:<br><br> "S-01 FUNDAMENTOS DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN ISO17799", 13 Nov.<br> "S-02 CÓMO IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN", 14-15 Nov.<br> "S-03 TALLER PRÁCTICO DE ANÁLISIS Y GESTIÓN DE RIESGOS DE LA INFORMACIÓN", 16-17 Nov.<br> "S-04 ASPECTOS JURÍDICOS DE LA SEGURIDAD DE LA INFORMACIÓN", 20 Nov.<br> "S-06 IMPLANTACIÓN PRÁCTICA DE LA LOPD", 21 Nov.<br> "S-07 MÉTRICAS DE INDICADORES EN SEGURIDAD DE LA INFORMACIÓN", 22 Nov.<br> "S-08 CONCIENCIACIÓN Y COMUNICACIÓN EN SEGURIDAD", 23 Nov.<br> "S-05 METODOLOGÍA DE AUDITORÍA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN", 27-28 Nov.<br> "S-09 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Y PLANES CONTINGENCIA", 29-30 Nov.<br> <br> Los cursos S-01, S-02, S-03 y S-09, junto con un examen, dan acceso al título de Implantador de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.740 &euro;.<br><br> Los cursos S-01, S-02 y S-05, junto con un examen, dan acceso al título de Auditor de Sistemas de Gestión de la Seguridad de la Información de AENOR. Este paquete de cursos y examen se ofrece por 2.000 &euro;.<br><br> Para más detalles e inscripciones: <a href="http://www.aenor.es/desarrollo/formacion/cursos/catalogo.asp">Centro de Formación AENOR</a>.<br><br> 1 Oct 2006 13:56:36 +0100 http://www.iso27000.es Transcurrido un año desde el inicio de su actividad, ENISA (European Network and Information Security Agency) lleva los últimos meses presentando los resultados de los primeros proyectos finalizados.<br> <br> En este contexto, ha presentado la semana pasada un interesante trabajo dedicado a la gestión y evaluación de riesgos, en forma de una <a href="http://www.enisa.europa.eu/rmra/rm_home.html">página web</a> dedicada a múltiples aspectos de dichas materias:<br> <br> - Presentación detallada de las fases de la gestión de riesgos.<br> - Posicionamiento de la gestión de riesgos dentro de la seguridad de la información.<br> - Inventario de 13 metodologías usadas en Europa, con amplia información de cada una.<br> - Inventario de 12 herramientas usadas en Europa, con descripción de su funcionalidad.<br> - Funciones de comparación de metodologías y herramientas.<br> - Glosario.<br> - Guía de 177 páginas en .pdf<br> <br> Está previsto que este inventario se siga ampliando en el futuro. Para iniciar esa tarea, ENISA ya ha organizado un <a href="http://www.enisa.eu.int/pages/02_01_press_2006_09_27_risk_mamagement_workshop.htm">workshop de gestión del riesgo</a> en Roma el próximo 13 de Octubre. La asistencia es libre hasta cubrir 40 plazas.<br> <br> 1 Oct 2006 13:09:44 +0100 http://www.iso27000.es En Septiembre se ha llegado a 3.006 empresas certificadas en ISO 27001 y BS 7799-2 en el mundo.<br> <br> En ISO 27001 son concretamente 352, cifra que incluye 132 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 220 nuevas certificaciones.<br> <br> Encabeza la lista Japón, con 1.730 certificaciones, y le siguen el Reino Unido, con 314, y la India con 237.<br> <br> Una idea del rápido crecimiento que está experimentando la certificación es que a finales de 2004 eran unas 1000 empresas las que estaban certificadas en todo el mundo.<br> <br> Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:<br> <br> España, 8.<br> México, 4.<br> Argentina, 3.<br> Colombia, 2.<br> Chile, 1.<br> Perú, 1.<br> <br> Esta información puede obtenerse mes a mes de forma detallada por países y empresas en <a href="http://www.iso27001certificates.com/">International Register of ISMS Certificates</a>.<br> <br> 1 Oct 2006 12:06:50 +0100 http://www.iso27000.es En <a href="http://www.elecdesign.com/Articles/Index.cfm?AD=1&AD=1&AD=1&ArticleID=13234">Electronic Design</a>, Brian McCarthy comenta los datos del último estudio realizado por CompTIA (Computing Technology Industry Association) sobre amenazas de seguridad de la información.<BR> <BR> Destaca el dato de que el 59% de las 574 organizaciones encuestadas indican que su última brecha de seguridad fue debida a un error humano (normalmente, por no ajustarse el personal a las políticas y procedimientos de seguridad), mientras que sólo el 29% de las empresas dice que la formación en seguridad sea un requerimiento para ellas. El 84% de aquéllas donde todo el personal recibe formación en seguridad han reducido su número de brechas importantes.<BR> <BR> Todos estos datos discordantes dan a entender que la seguridad de la información sigue considerándose mayoritariamente un asunto de tecnologías y no un componente básico del negocio.<BR> <BR> 1 Oct 2006 12:04:09 +0100 http://www.iso27000.es El 26 y 27 de Octubre tendrá lugar en Barcelona la edición de 2006 del "Storage y Security Forum 2006".<BR> <BR> La feria se centra en soluciones de almacenamiento y seguridad de sistemas por medio de 20 expositores y 22 conferencias.<BR> <BR> Información e inscripción gratuita en: <a href="http://www.itieurope.net/barcelona_visitante_carrefour_sp.php">Storage Forum Iberia</a><BR> <BR> 1 Oct 2006 10:37:19 +0100 http://www.iso27000.es NIST (National Institute of Standards and Technology de EEUU) ha publicado en el mes de Septiembre otra de sus excelentes guías (en inglés), en esta ocasión titulada "Guide to Computer Security Log Management").<BR> <BR> La guía, de 72 páginas, hace un recorrido de introducción a la gestión de logs, la infraestructura necesaria, la planificación de la gestión y los procesos operativos.<BR> <BR> El documento puede descargarse gratuitamente en: <a href="http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf">NIST SP800-92</a><BR> <BR> 1 Oct 2006 10:17:32 +0100 http://www.iso27000.es Como anunciamos en Julio pasado, Symantec ha comenzado un ciclo de interesantes podcasts en inglés sobre conformidad (Sarbanes-Oxley, privacidad...).<br><br> Ha sido publicada la tercera entrega de esta serie (<A href="http://www.symantec.com/about/news/podcasts/detail.jsp?podid=ent_0928_ITC3" >Compliance Briefing 3</A>), centrada en esta ocasión en Gestión de Identidades. David Smith y Gordon Cooper, consultores de Symantec, presentan el concepto de Modelo de Datos (Data Model) y sus componentes de estructura, clasificación de información, propietario de la información, ciclo de vida de los datos, etc.<br><br> Los anteriores podcasts de esta serie han sido:<br><br> En el primer podcast (<A href="http://www.symantec.com/about/news/podcasts/detail.jsp?podid=ent_compliance0629" >Compliance Briefing 1</A>), David Smith, consultor de seguridad de Symantec, explica cómo el tratamiento de seguridad de la información en las organizaciones ha evolucionado de la conformidad con políticas internas a la conformidad con regulaciones externas y cómo esto ha llevado de un enfoque más técnico y preocupado de la seguridad día a día a un enfoque más orientado al negocio y sus riesgos. Ha pasado de ser una tarea táctica a ser estratégica, con lo que la seguridad de la información ha subido en la jerarquía de las organizaciones para intervenir en todas sus actividades, dejando de centrarse sólo en sistemas TI y abarcando los sistemas de negocio, formados por procesos, personas y herramientas.<br><br> En el segundo podcast de la serie (<A href="http://www.symantec.com/about/news/podcasts/detail.jsp?podid=ent_compliance0707" >Compliance Briefing 2</A>), David Smith y Jim Robinson, consultores de seguridad de Symantec, analizan uno de los pilares básicos de la seguridad de la información, y a veces no suficientemente estudiado en las organizaciones, como es el control de acceso a la información. En el curso de la conversación aparecen dos conceptos del control de acceso que las organizaciones suelen enfocar mal: la herencia cultural de que el área de TI es la propietaria de los datos (y no sólo la que los custodia) y el desconocimiento por parte de los propietarios reales de dónde se encuentra toda su información (servidores, PCs, bases de datos, cintas de backup, papel...). Dónde están los datos y quién es su propietario es la base organizativa para pasar a la parte técnica de implementación de accesos. <br><br> La serie de podcasts tendrá su continuación en próximas semanas.<br><br> 1 Oct 2006 10:05:34 +0100 http://www.iso27000.es En vista del éxito del seminario sobre la norma BS 7858 organizado para el 4 de Octubre (cuyo aforo ya está completado), British Standards Institution ha organizado uno nuevo el 14 de Noviembre, en Londres.<BR> <BR> El código de buenas prácticas BS 7858:2006, publicado por British Standards Institution como revisión de la versión de 2004, se refiere a la comprobación de antecedentes en la contratación de personas para entornos donde la seguridad es importante.<BR> <BR> Incluye contenidos sobre incorporaciones y traslados, personal auxiliar, contratas y subcontratas, modelos de impresos, empleados dedicados a comprobación de antecedentes, proceso de comprobación de antecedentes, relación con protección de datos personales, etc.<BR> <BR> Debe recordarse que el control A.8.1.2 de ISO 27001 se refiere precisamente a esta temática y que, por tanto, este código de buenas prácticas es muy útil para desarrollar dicho punto.<BR> <BR> Información y compra de la norma: <a href="http://www.bsi-global.com/Security/People/BS78582006.xalter">BS 7858</a><BR> <BR> Información e inscripción en el seminario: <a href="http://www.bsi-global.com/Seminars/SecurityScreening/SecurityScreening.xalter">Seminario BS 7858</a><BR> <BR> 30 Sep 2006 09:56:26 +0100 http://www.iso27000.es El 4 de Octubre tendrá lugar en Madrid, en el Club Financiero Génova, la 4ª sesión de los Foros FAST de este año organizados por la Fundación Dintel.<br> <br> Estos Foros están orientados a la sensibilización en materia de seguridad de la información, la presentación de productos y tecnologías relacionados con auditoría y seguridad y el debate de estrategias de protección de la información.<br> <br> Las ponencias que se impartirán en esta ocasión serán:<br> <br> "Arbitraje y nuevas tecnologías". Ignacio San Juan. Arbitralia.<br> "Presentación de productos y tecnologías". Alberto Castella. Chloride Power Protection.<br> "Perspectiva de empresa". Pedro P. Pérez. Telefónica Empresas.<br> "Privacidad e Investigación en Biomedicina: soluciones técnicas". Manuel de Buenaga. Universidad Europea de Madrid.<br> <br> Para más información e inscripción: <a href="http://www.dintel.org">Dintel</a><br> <br> 30 Sep 2006 09:33:28 +0100 http://www.iso27000.es ISO 27001, al igual que gran parte de los sistemas de gestión actuales, se basan en el ciclo PDCA (Plan-Do-Check-Act; Planificar-Hacer-Verificar-Actuar) o ciclo de Deming. (Vea nuestras secciones <a href="http://www.iso27000.es/iso27000.html">ISO 27000</a> y <a href="http://www.iso27000.es/sgsi.html">SGSI</a>.)<br> <br> Este ciclo fue desarrollado por W. Edwards Deming (1900-1993), una de las personas que más influencia ha tenido en los sistemas de calidad a nivel mundial. Especialmente, se le recuerda en Japón, donde se le reconoce como el inspirador de la cultura de la calidad en ese país, a partir de las conferencias y múltiples cursos que impartió allí en los años 50.<br> <br> La fundación que lleva su nombre pone a disposición del público en su <a href="http://www.deming.org">web</a> información sobre su vida y su obra. Una prueba de la influencia que tuvo la da la lectura del resumen de algunas de sus ideas sobre la calidad, que siguen vigentes en su mayor parte hoy en día (ver <a href="http://www.deming.org/theman/teachings.html">1</a> y <a href="http://www.deming.org/theman/teachings02.html">2</a>).<br> <br> 30 Sep 2006 07:54:12 +0100 http://www.iso27000.es Continuamos ampliando nuestra sección de podcasts (archivos de sonido) con una entrevista a Alejandro García Ruiz, de BSI, Auditor jefe de BSI España y miembro del Consejo Directivo del Registro de Auditores de Sistemas de Información RASI, órgano especializado del Consejo General de Colegios de Economistas de España<br> <br> Con él hablaremos, entre otros, sobre el estado actual y evolución en la certificación ISO 27001. La entrevista está disponible en: <A href="http://www.iso27000.es/download/BSI_AlejandroGarcia.mp3" >Artículos y podcasts</A>.<br> <br> Esta sección seguirá recibiendo nuevos podcasts, con aportaciones relacionadas con los SGSI e ISO 27001 desde diferentes puntos de vista. Hasta ahora se han publicado:<br> <br> <A href="http://www.iso27000.es/download/SGS-AlvaroRodriguezDeRoa.mp3" >Podcast Alvaro Rodríguez de Roa.</A>Certificación de un SGSI.<br> <br> <A href="http://www.iso27000.es/download/Nextel_AgustinLerma.mp3" >Podcast Agustín Lerma</A>. Gestión de riesgos. <br> <A href="http://www.iso27000.es/download/Nexus_JoseManuelFernandez.mp3" >Podcast José Manuel Fernández. Nexus</A>. Implantación de un SGSI. <br><A href="http://www.iso27000.es/download/Aenor-CarlosMFernandez.mp3" >Podcast Carlos Manuel Fernández. Aenor</A>. SGSI, ISO 27001, UNE 71502 y certificación. <br> <A href="http://www.iso27000.es/download/HistoriaISO27001.pps" >Podcast Historia de ISO 27001. www.ISO27000.es</A><br> <br> 27 Sep 2006 21:51:46 +0100 http://www.iso27000.es David Brewer y Michael Nash, consultores y expertos en seguridad de la información, han autorizado a www.iso27000.es a traducir su interesante documento "A TALE OF BS 7799-2 CERTIFICATION", donde explica a modo de diario personal cómo consiguieron la certificación de su Pyme en las dos normas ISO 9001 e ISO 27001 de forma integrada y con un único sistema de gestión.<br> <br> El artículo es anterior a la publicación de la norma ISO 27001, por lo tanto, la norma vigente en la fecha del artículo era BS 7799-2:2002. El artículo pretende servir de ayuda a las Pymes al dar una visión muy útil y de primera mano tanto sobre el proceso de implantación, así como de la propia visita de auditoría.<br> <br> Descarga desde <a href="http://www.iso27000.es/download/Certificacion_BS7799-SP.pdf"> Artículos y Podcast</a>.<br> <br> Original en inglés e información en <a href="http://www.gammassl.co.uk">Gamma Secure Systems Limited</a>.<br> <br> Tanto el Dr. David Brewer como el Dr. Michael Nash son dos expertos en seguridad de la información reconocidos internacionalmente. Llevan más de 20 años colaborando activamente en la redacción y publicación de distintos estándares, como Common Criteria, ITSEC, BS7799-2, etc. Además, a través de su empresa <a href="http://www.gammassl.co.uk">Gamma Secure Systems Limited</a> han asesorado a multitud de organizaciones en la implantación de sistemas de gestión de seguridad de la información. Su página web es una valiosa referencia llena de informaciones, metodologías y artículos.<br> <br> Ambos han dado su consentimiento explícito a www.iso27000.es para la traducción y difusión desde esta Web de los tres artículos publicados. 27 Sep 2006 22:12:46 +0100 http://www.iso27000.es www.iso27000.es Normalmente, cuando las Fuerzas y Cuerpos de Seguridad del Estado desarticulan una organización criminal dedicada a la falsificación de tarjetas de crédito para su posterior utilización fraudulenta, entre los efectos intervenidos a los detenidos suele siempre aparecer un artilugio muy típico, vulgarmente conocido en el argot como "gata".<br> <br> &ldquo;La &ldquo;siembra”, el &ldquo;lazo libanés”, la &ldquo;copia remota” y la &ldquo;réplica de cajeros”forman ya parte de la metodología criminal para obtener los datos de la tarjeta de crédito”.<br> <br> Cuando el cliente de una gasolinera, restaurante o centro comercial abona el pago de su cuenta con la tarjeta de crédito, el empleado del establecimiento pasará la misma por el datáfono y, al mismo tiempo, si directa o indirectamente pertenece o colabora con una organización criminal, por la &ldquo;gata” que tenga debidamente camuflada.<br> <br> Con la información obtenida se obtendrán nuevas tarjetas fraudulentas que servirán para efectuar compras en establecimientos comerciales.<br> <br> Artículo de Pedro Moreno Vivas: <a href="http://www.borrmart.es/articulo_seguritecnia.php?id=1132">Seguritecnia, número de Septiembre</a>. 27 Sep 2006 21:51:58 +0100 http://www.iso27000.es Revista Trimestral que ofrece información al profesional de la Sociedad de la Información.<br> <br> Punto de encuentro entre los diferentes agentes, un referente común para la Administración, los operadores, los usuarios, y los profesionales que trabajan para la mejora y la calidad de los servicios para avanzar en el desarrollo de la sociedad de la información.<br> <br> Último número disponible en formato PDF: <a href="http://www.autel.es/pag/pdf/revista20.pdf">Ambito</a>.<br> <br> Visite nuestra sección de <A href="http://www.iso27000.es/boletines.html">Boletines</A> o habilite el canal correspondiente vía <a href="http://www.iso27000.es/rssinfo.html">RSS info</a>. 27 Sep 2006 21:51:57 +0100 http://www.iso27000.es Shon Harris es CISSP, MCSE y preside Logical Security, empresa especializada en formación en seguridad y herramientas. Shon es consultora en seguridad y autora de varios libros y en relación a la preparación de CISSP así como co-autor de "Gray Hat Hacking: The Ethical Hacker's Handbook". <br> <br> La siguiente relación es una buena introducción a la gestión de riesgos y presentada en cortos capítulos: <blockquote> <img src="http://searchnetworking.techtarget.com/searchSecurity/images/gradient_short.gif" width="298" height="7" vspace="0" align="top"><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_bullet_section_first.gif" width="12" height="16" vspace="0" align="top"> <span class="textHighlite"><b>RISK MANAGEMENT GUIDE</b></span><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_vline_spacer_left.gif" width="12" height="2" vspace="0" align="top"><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_bullet_item.gif" width="12" height="18" vspace="0" align="top">&nbsp; <a href="http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1158732,00.html" class="text3">Introduction: Understanding risk</a><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_bullet_item.gif" width="12" height="18" vspace="0" align="top">&nbsp; <a href=" http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1158739,00.html" class="text3">An overview of the risk management process</a><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_bullet_item.gif" width="12" height="18" vspace="0" align="top">&nbsp; <a href="http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1177563,00.html" class="text3">How to define an acceptable level of risk</a><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_bullet_item.gif" width="12" height="18" vspace="0" align="top">&nbsp; <a href="http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1178845,00.html" class="text3">How to write an information risk management policy</a><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_bullet_item.gif" width="12" height="18" vspace="0" align="top">&nbsp; <a href="http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1178859,00.html" class="text3">How to implement an effective risk management team</a><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_bullet_item.gif" width="12" height="18" vspace="0" align="top">&nbsp; <a href="http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1178861,00.html" class="text3">Information risk management: Defining the scope, methodology and tools</a><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_bullet_item.gif" width="12" height="18" vspace="0" align="top">&nbsp; <a href="http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1178862,00.html" class="text3">How to conduct a risk analysis</a><br> <img src="http://searchnetworking.techtarget.com/digitalguide/images/Misc/siteMap_bullet_item.gif" width="12" height="18" vspace="0" align="top">&nbsp; <a href="http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci1178804,00.html" class="text3">How to deal with risk</a><br> </blockquote> 27 Sep 2006 21:51:57 +0100 http://www.iso27000.es Aunque las técnicas forenses sean un valioso instrumento para investigar casos de fraude, muchos auditores no son todavía conscientes del modo apropiado de conducir una investigación forense y asegurar las pruebas necesarias para ser usadas en un tribunal.<br> <br> Robos de datos, ataques, virus, y amenazas internas son algunos de los temas de seguridad a los que muchas empresas se enfentan cada día. Además del empleo de medidas preventivas, como el uso de cortafuegos y dispositivos de detección de intrusión para prevenir violaciones de la seguridad y el éxito de los ataques externos, muchas organizaciones utilizan técnicas forenses para identificar casos de mal uso de ordenador e intrusión ilegal.<br> <br> El empleo de técnicas forenses ha prosperado dentro de la profesión de auditoría interna. Sin embargo, muchos auditores internos no son conscientes de las ventajas que éstas técnicas puede aportar a las auditorías. <br> <br> Aprender el modo de adquirir, analizar, y registrar datos por medios forenses puede ayudar a los auditores a aprovechar al máximo esta técnica, así como recuperar documentos previamente borrados que puedan proveer "el arma humeante" necesaria para determinar si una actividad fraudulenta ha sucedido.<br> <br> Artículo de Ryan Purita, CISSP, ISSAP, ISSMP, EnCE: <a href="http://www.theiia.org/itaudit/index.cfm?catid=21&iid=490">The IIA</a>. 27 Sep 2006 21:51:56 +0100 http://www.iso27000.es Sumario: <br><br> - EDITORIAL: LA HERMANDAD DEL ORDENATA - PRóXIMO RETO PARA HACER SEGURAS LAS REDES CORPORATIVAS: ‘GREYNETS’ - LA SEGURIDAD TIC, UNA RESPONSABILIDAD DE TODOS - SEGURIDAD DE RED VERSUS RENDIMIENTO: NO ES NECESARIO ELEGIR - EL PUESTO DE TRABAJO EN LA ERA DEL CONOCIMIENTO - GARANTíA DE CONFIDENCIALIDAD DEL FLUJO DE INFORMACIóN - ENTREVISTAS: TOM DE JONGH, PRODUCT MANAGER DE SAFEBOOT - COBIT: OBJETIVOS DE CONTROL PARA LA INFORMACIóN Y TECNOLOGíAS AFINES - EL FACTOR HUMANO, ESLABóN MáS DéBIL DE LA SEGURIDAD DE LA INFORMACIóN - ANDREU GIL, CONSEJERO DELEGADO DE AEGIS SECURITY - RESPONSABILIDAD DE LA SEGURIDAD EN EL PUESTO DE TRABAJO <br> Acceso a contenidos: <a href="http://www.borrmart.es/redseguridad.php">RedSeguridad</a>.<br> <br> Visite nuestra sección de <A href="http://www.iso27000.es/boletines.html">Boletines</A> o habilite el canal correspondiente vía <a href="http://www.iso27000.es/rssinfo.html">RSS info</a>. 27 Sep 2006 21:51:55 +0100 http://www.iso27000.es Mantener el negocio operando requiere más que diseñar una estrategia, involucra disponibilidad de todos los recursos. <br> <br> Artículo de Andrea Vega: <a href="http://www.bsecure.com.mx/articulos.php?id_sec=58&id_art=6403">Bsecure</a>. 27 Sep 2006 21:51:55 +0100 http://www.iso27000.es Es un hecho que no hay incidentes que se repitan de la misma forma ni afectan por igual a las empresas. Entonces, ¿cómo efectuar un análisis de riesgos en su organización? <br> <br> Artículo de Lizzette Pérez Arbesú: <a href="http://www.bsecure.com.mx/articulos.php?id_sec=53&id_art=6393">Bsecure</a>. 27 Sep 2006 21:51:54 +0100 http://www.iso27000.es ASIRA ofrece el dictado de los cursos oficiales de BSI para el entrenamiento en la Norma ISO 17799/ISO 27001. Próximamente, en el mes de octubre, se brindarán por primera vez en Argentina el curso ISO 17799:2005/ISO 27001:2005 - Formación de Auditores Líderes en Sistema de Gestión de Seguridad de la Información.<br> <br> Cabe mencionar que asimismo se estarán dictando otros dos cursos oficiales de BSI, aunque aún no se ha definido el calendario correspondiente:<br> <br> - ISO 17799:2005 / ISO 27001:2005 - Implementación del Sistema de Gestión de Seguridad de la Información.<br> <br> - ISO 17799:2005 / ISO 27001:2005 - Entendimiento e interpretación de los requisitos<br> <br> La inscripción se encuentra abierta.<br> <br> Calendario e información completa de los cursos: <a href="http://www.asira.org.ar/cursosiso.html">Cursos ASIRA</a>.<br> <br> Visite nuestra sección de <a href="http://www.iso27000.es/eventos.html">Eventos</a> para consultar otros cursos y eventos. 27 Sep 2006 21:51:53 +0100 http://www.iso27000.es Quantico es una revista en español dedicada a la seguridad de la información editada por la Asociación de Seguridad de la Información de la República Argentina (ASIRA).<br> <br> Sumario: <br><br> - El desarrollo libre del conocimiento<br> - Cursos ISO 17799.<br> - Black Hat USA 2006.<br> - ASIRA en el contexto internacional.<br> - ¿Qué es un SGSI?.<br> - Ataques al perímetro de la organización: apenas la punta del iceberg.<br> - Seguridad de la Información y recursos humanos: nociones legales.<br> - Autenticación Dinámica - TOKEN - La centralización de recursos como alternativa a RSA.<br> - Cyber Terrorismo - Parte II.<br> <br> Descarga del número 2 disponible en formato PDF: <a href="http://www.asira.org.ar/revista/quantico02-asira.pdf">Quantico&