Esto es un fichero XML de noticias para lector RSS. La página principal HMTL para navegador está en: http://WWW.ISO27000.ES http://www.iso27000.es es-es consultas@iso27000.es http://www.iso27000.es/ISO27000/rsslogo.jpg http://www.iso27000.es Información sobre ISO 27001 en Español BSI España ha publicado su <A href="http://www.bsigroup.es/upload/Folleto_2009/Folleto_2009.pdf">calendario de cursos</A> para 2009, en áreas como ISO 27001, ISO 20000, BS 25999, etc.<BR> <BR> De los cursos que se impartirán en breve durante el mes entrante, se incluye uno de <B>Auditoría de ISO 27001 (Lead Auditor)</B> del 19 al 23 de Enero en Madrid.<BR> <BR> Más información e inscripciones en <A href="http://www.bsigroup.es/es/Formacion/Areas-formacion/seguridad-informacion/auditor-jefe-ISO27001">www.bsigroup.es</A>.<BR> <BR> 29 Dec 2008 09:09:21 GMT http://www.iso27000.es BSI España tiene programado un curso de <B>Auditoría de ISO 27001 (Lead Auditor)</B> del 1 al 5 de Diciembre en Madrid. <BR><BR> En este curso se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el correspondiente certificado. Certificación de Lead Auditor en ISO 27001 que, progresivamente, el mercado va exigiendo cada vez más a los profesionales de la seguridad de la información.<BR> <BR> Más información e inscripciones en <A href="http://www.bsigroup.es/es/Formacion/Areas-formacion/seguridad-informacion/auditor-jefe-ISO27001">www.bsigroup.es</A>.<BR> <BR> 24 Nov 2008 18:03:55 +0100 http://www.iso27000.es/eventos.html Carlos Ormella, conocido experto en seguridad de la información, ha aportado a ISO27000.ES un completo y profundo artículo sobre el retorno de la inversión en seguridad (ROSI) en relación a las primas de seguros.<BR> <BR> Carlos introduce en la explicación del ROSI toda una serie de conceptos muy conocidos en Economía (TIR, VAN, PRI...) pero quizás no suficientemente utilizados en seguridad, buscando así un lenguaje común para técnicos y financieros.<BR> <BR> Artículo disponible <a href="http://www.iso27000.es/download/Carlos_Ormella-rosi_y_ primas_ seguro.pdf">aquí</a>. <BR> <BR> 17 Nov 2008 21:50:48 +0100 http://www.iso27000.es/articulos.html La reciente publicación ITAF (A Professional Practices Framework for IT Assurance) es un manual de consulta que ha sido realizado por la red global de ISACA de Gobierno de IT, Control, Seguridad y consultoría de IT.<BR> <BR> En un solo manual se integran directrices, estándares, definiciones, políticas y procedimientos, programas de trabajo, desarrollo de proyectos e informes, etc., relativos a auditoría y aseguramiento IT.<BR> <BR> ITAF esta disponible sin cargo alguno para los miembros de ISACA, aunque hay un resumen gratuito de acceso libre en <A href="http://www.isaca.org/itaf">www.isaca.org/itaf</A>.<BR> <BR> 16 Nov 2008 22:37:22 +0100 http://www.iso27000.es Office Depot, una de las mayores empresas internacionales dedicadas a la venta de artículos para oficina, ha sido la primera en obtener la certificación del sistema de gestión de la calidad, bajo la nueva norma ISO 9001:2008 en España.<BR> <BR> El sistema ha sido certificado por British Standards Institution (BSI), pionera, desde 1979, en normas que dieron origen a la ISO 9001.Con eso, BSI ha sido la primera entidad de certificación en certificar a una empresa en ISO 9001:2008.<BR> <BR> Más información en <A href="http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/Noticias/Noticias-actuales/LD-News-Source-/primera-certificacion-iso90012008/">BSI España.<BR> <BR> 16 Nov 2008 22:21:40 +0100 http://www.iso27000.es Divertida -y real- presentación que realizaron Samuel Linares y Nacho Paredes en ENISE acerca de la falta de alineación de la industria de la seguridad con la situación real de la gran mayoría de compañías: en <A href="http://blog.infosecman.com/2008/10/28/%c2%a1tengo-hambre-y-me-dais-caviar/">InfoSecMan</A>.<BR> <BR> 16 Nov 2008 22:02:50 +0100 http://www.iso27000.es El SC27 a través del grupo de Ad-Hoc de Evidencias electrónicas coordinado por Paloma LLaneza ha acordado elaborar dos normas sobre evidencias electrónicas:<BR> <BR> Un PNE (Proyecto de Norma Española) de gestión de evidencias electrónicas. Esta norma pretende definir el proceso de gestión de las evidencias electrónicas, los controles que aplican a la gestión de las evidencias electrónicas y los formatos y mecanismos técnicos de estas, todo ello con la finalidad de que dichas evidencias electrónicas tengan la mayor consideración posible como prueba, en caso de ser posteriormente extraídas.<BR> <BR> Un PNE de análisis forense, que cubre el proceso de captura de las evidencias con las garantías debidas para que tenga valor probatorio en juicio y frente a terceros.<BR> <BR> Más información en el <A href="http://aedel.es/2008/10/25/miembros-de-aedel-en-el-desarrollo-de-normas-une-de-evidencias">blog de AEDEL</A> (Asociación Española de Evidencias Electrónicas).<BR> <BR> 16 Nov 2008 21:56:39 +0100 http://www.iso27000.es El dominio 12 del Anexo A de ISO 27001 incluye una serie de controles orientados a la inclusión de todos los aspectos de seguridad en el proceso adquisición, desarrollo y mantenimiento de sistemas de información.<BR> <BR> Existen distintas metodologías para la sistematización de las actividades que dan soporte al ciclo de vida del software y una de ellas es la creada por el Ministerio de Administraciones Públicas español, cuyo nombre es MÉTRICA 3.<BR> <BR> Esta metodología de planificación, desarrollo y mantenimiento de sistemas de información cubre las fases del ciclo de vida correspondientes a la planificación de sistemas de información, estudio de viabilidad del sistema, análisis del sistema de información, diseño del sistema de información, construcción del sistema de información, implantación y aceptación del sistema y mantenimiento de sistemas de información.<BR> <BR> La extensa documentación que la describe está disponible para su descarga gratuita en <A href="http://www.csi.map.es/csi/metrica3/index.html">www.csi.map.es/csi/metrica3/index.html</A> e incluye un documento dedicado exclusivamente a los aspectos relativos a la <A href="http://www.csi.map.es/csi/metrica3/Seguridad.pdf">seguridad</A>.<BR> <BR> 8 Nov 2008 07:09:52 +0100 http://www.iso27000.es/herramientas.html <A href="http://www.isc2.org">(ISC)²</A>, la prestigiosa organización orientada a la formación y certificación de profesionales de la seguridad de la información, mantiene un interesante blog en inglés en el cual colaboran regularmente conocidos expertos internacionales en la materia.<BR> <BR> Disponible en <A href="http://blog.isc2.org/">blog.isc2.org</A><BR> <BR> 8 Nov 2008 06:56:45 +0100 http://www.iso27000.es El "Canadian Centre for Emergency Preparedness" ofrece en su página web una serie de plantillas y ejemplos de planes de continuidad de negocio y de recuperación de desastres, además de incluir una lista de enlaces a otras webs que ofrecen lo mismo.<BR> <BR> Disponible en <A href="http://www.ccep.ca/cceptemp.shtml">www.ccep.ca/cceptemp.shtml</A><BR> <BR> 8 Nov 2008 06:36:17 +0100 http://www.iso27000.es/herramientas.html Este mes de Noviembre ha comenzado su andadura un nuevo blog en español dedicado a la sostenibilidad corporativa: <A href="http://sostenibilidadcorporativa.blogspot.com">http://sostenibilidadcorporativa.blogspot.com</A><BR> <BR> Su autor, reconocido experto en la materia, la define como la pervivencia de la organización a medio y largo plazo de forma compatible con sus grupos de interés y creando valor para los mismos, basándose en la ética personal y empresarial, la creatividad, liderazgo, innovación y en todas las herramientas y metodologías disponibles. Entre dichas herramientas, la gestión proactiva y estratégica de desafíos (riesgos y oportunidades) de manera alineada con las expectativas de los diversos grupos de interés, a fin de maximizar la sostenibilidad corporativa de forma consiliente con el bien individual y general, actual y futuro.<BR> <BR> 7 Nov 2008 16:22:26 +0100 http://sostenibilidadcorporativa.blogspot.com/ Hasta final de 2008, BSI ofrece los siguientes cursos de ISO 27001 y BS 25999 en España:<BR> <BR> Auditor Jefe de ISO 27001:<BR> 10-14 Noviembre, Madrid.<BR> 24-28 Noviembre, Madrid.<BR> 1-5 Diciembre, Madrid.<BR> 15-19 Diciembre, Valencia.<BR> <BR> Implantación de ISO 27001:<BR> 1-3 Diciembre, Madrid.<BR> <BR> Auditor Jefe de BS 25999:<BR> 10-14 Noviembre, Barcelona.<BR> 24-28 Noviembre, Valencia.<BR> 15-19 Diciembre, Madrid.<BR> <BR> Implantación de BS 25999:<BR> 17-18 Noviembre, Madrid.<BR> <BR> Más información e inscripciones en <A href="http://www.bsigroup.es/es/Formacion/programacion-cursos/">www.bsigroup.es</A><BR><BR> 3 Nov 2008 01:12:08 +0100 http://www.iso27000.es/eventos.html A mes de Octubre de 2008, hay 4.848 organizaciones con certificación acreditada en ISO 27001 en el mundo, según el conocido registro <A href="http://www.iso27001certificates.com">"International Register of ISMS Certificates"</A>.<BR> <BR> Encabeza la lista, como desde hace años, Japón, con 2.789 certificaciones, le sigue India con 427 y el Reino Unido con 368.<BR> <BR> Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:<BR> <BR> España: 25.<BR> México: 20.<BR> Colombia: 7.<BR> Chile: 3.<BR> Perú: 3.<BR> Uruguay: 1.<BR> <BR> 3 Nov 2008 00:01:56 +0100 http://www.iso27000.es Desde hace un par de meses, Edgard Ansola y Dani Puente, dos profesionales de la seguridad de la información de una conocida empresa española, mantienen EDDASEC, un blog dedicado a distintos temas relacionados con la materia (LOPD, concienciación, auditoría, continuidad de negocio, tests de penetración, etc.).<BR> <BR> Disponible en <A href="http://eddasec.blogspot.com/">http://eddasec.blogspot.com/</A> <BR> <BR> 2 Nov 2008 22:57:20 +0100 http://eddasec.blogspot.com/ AudiSec, empresa española especializada en seguridad de la información ha hecho llegar a ISO27000.ES para su publicación un <a href="http://www.iso27000.es/download/Audisec_ROSI_ISO27000.pdf">artículo</a> abordando el ROSI -retorno de la inversión en seguridad- en relación a ISO 27001. <br> <br> 2 Nov 2008 22:43:31 +0100 http://www.iso27000.es/download/Audisec_ROSI_ISO27000.pdf En los últimos meses, NIST (National Institute of Standards and Technology de EEUU) ha publicado o revisado dentro de su serie SP 800 los siguientes estándares:<br> <br> SP 800-124: Guidelines on Cell Phone and PDA Security<br> SP 800-123: Guide to General Server Security<br> SP 800-121: Guide to Bluetooth Security<br> SP 800-115: Technical Guide to Information Security Testing and Assessment<br> SP 800-113: Guide to SSL VPNs<br> SP 800-79-1: Guidelines for the Accreditation of Personal Identity Verification (PIV) Card Issuers<br> SP 800-73-2: Interfaces for Personal Identity Verification<br> SP 800-68: Guide to Securing Microsoft Windows XP Systems for IT Professionals<br> SP 800-67: Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher<br> SP 800-66: An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule<br> SP 800-64: Considerations in the System Development Life Cycle<br> SP 800-60: Guide for Mapping Types of Information and Information Systems to Security Categories<br> SP 800-55: Performance Measurement Guide for Information Security<br> SP 800-53-A: Guide for Assessing the Security Controls in Federal Information Systems<br> SP 800-48: Guide to Securing Legacy IEEE 802.11 Wireless Networks<br> <br> Todos ellos están disponibles para su descarga gratuita en <a href="http://csrc.nist.gov/publications/PubsSPs.html">http://csrc.nist.gov/publications/PubsSPs.html</a><br><br> 2 Nov 2008 22:39:59 +0100 http://www.iso27000.es El pasado mes de Julio, British Standards Institution publicó el documento PAS 1998:2008 con el título de "Whistleblowing Arrangements. Code of Practice", que está disponible para su descarga gratuita <a href="http://www.bsigroup.com/en/Standards-and-Publications/Industry-Sectors/Risk/PAS-19982008-Whistleblowing/">aquí</a>.<br> <br> Whistleblowing es el término inglés que describe la acción por la cual una persona que trabaja en o para una organización pone en conocimiento o denuncia un posible fraude, crimen, peligro u otro riesgo grave que podría suponer una amenaza para clientes, empleados, accionistas, público en general o la reputación de la propia organización.<br> <br> Mediante la implantación de una estrategia clara para canalizar y gestionar este tipo de acciones, alineada con el buen gobierno corporativo, se puede evitar que los empleados opten por la vía del silencio cuando descubren que se está cometiendo algún tipo de fraude o mala práctica. Algunos componentes de esta estrategia pueden ser útiles en el área de seguridad de la información.<br> <br> 2 Nov 2008 20:02:46 +0100 http://www.iso27000.es <a href="http://nexus.realtimepublishers.com">Realtime Publishers</a> publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.<br> <br> En esta ocasión, se trata de un documento de 80 páginas que persigue ayudar en la selección de la solución de virtualización más adecuada. Los capítulos que contiene son:<br> <br> # Chapter 1: The Virtualization Assessment<br> # Chapter 2: Virtualization Software Options<br> # Chapter 3: Best Practices in Implementing Virtualization<br> # Chapter 4: Managing Virtualization Environments<br> <br> El documento, previa inscripción, puede descargarse gratuitamente de <a href="http://nexus.realtimepublishers.com/SGSRVS.htm">Realtime Nexus</a>.<br> <br> 2 Nov 2008 19:59:53 +0100 http://www.iso27000.es <a href="http://nexus.realtimepublishers.com">Realtime Publishers</a> publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.<br> <br> En esta ocasión, se trata de un documento de 238 páginas dedicado al "Business Service Management" que tan de actualidad está. Los capítulos que contiene son:<br> <br> # Chapter 1: The Power of Business Service Management<br> # Chapter 2: The Alignment of IT and Business<br> # Chapter 3: IT Service Management Evolution<br> # Chapter 4: Implementing BSM<br> # Chapter 5: End-User Experience Monitoring<br> # Chapter 6: Achieving Management Value<br> # Chapter 7: Achieving Operational Value<br> # Chapter 8: Achieving IT Value<br> # Chapter 9: Integrating BSM with ITIL and Six Sigma<br> # Chapter 10: A Primer on BSM<br> <br> El documento, previa inscripción, puede descargarse gratuitamente de <a href="http://nexus.realtimepublishers.com/DGBSM.htm">Realtime Nexus</a>.<br> <br> 2 Nov 2008 19:33:54 +0100 http://www.iso27000.es El capítulo de Madrid de ISACA imparte el 10 y 11 de Noviembre un curso sobre implantación de planes de continuidad de negocio.<BR> <BR> Más información en <A href="http://auditoresdesistemas.com/uploads/doc/CURSO%20DEFINICI%D3N%20IMPLANTACI%D3N%20Y%20EVALUACI%D3N%20DE%20UN%20PLAN%20DE%20CONTINUIDAD%20NEGOCIO%202008.pdf">auditoresdesistemas.com</A> <BR> <BR> 2 Nov 2008 18:42:47 +0100 http://www.iso27000.es/eventos.html Durante el mes de Noviembre se abrirá el <A href="https://sgsi.inteco.es/index.php/es/bases-e-inscripciones/registro-pyme">plazo de inscripción de Pymes</A> en el proyecto de implantación y certificación de SGSIs del INTECO para Andalucía, Ceuta, Melilla, Región de Murcia, Castilla La Mancha, Cataluña e Islas Baleares. <BR> <BR> El plazo para Aragón y Comunidad Valenciana sigue abierto desde Octubre, mientras que el del resto de comunidades españolas ya está cerrado.<BR> <BR> Asimismo, hay que recordar que el <A href="https://sgsi.inteco.es/index.php/colaboradores-y-participantes/catalogo-de-implantadores">catálogo de implantadores</A> quedó cerrado también durante el mes de Octubre.<BR> <BR> Más información en <A href="https://sgsi.inteco.es/">https://sgsi.inteco.es/</A> <BR> <BR> 2 Nov 2008 17:31:01 +0100 http://www.iso27000.es The Institute of Internal Auditors publicó este verano los volúmenes 10 y 11 de su excelente serie de guías de auditoría de tecnologías de la información, dedicados en esta ocasión a la gestión de continuidad de negocio y a la elaboración del programa de auditorías TI, respectivamente.<BR> <BR> Ambas guías están disponibles para su descarga gratuita en <A href="http://www.theiia.org/guidance/technology/gtag/">http://www.theiia.org</A> <BR> <BR> 2 Nov 2008 16:19:36 +0100 http://www.iso27000.es Recientemente, se ha publicado un nuevo número de la revista online ENISA Quarterly Review. Los temas que trata en esta ocasión son:<BR> <BR> * A Letter from the Executive Director<BR> * A Word from the Editor <BR> * Electronic Identity Cards and Citizens' Portals<BR> * eID Interoperability: the Key to Success in Europe<BR> * eduGAIN - a Pan-European Confederation<BR> * Privacy and Capability Management for the European eIDM Framework<BR> * Common Criteria Protection Profiles for the Spanish eID-related Applications<BR> * Complexity is the Achilles Heel of eID - the Swedish eID System<BR> * Finnish Government Proposes Access to Employee Identification Data<BR> * ENISA's Activities on eID - an Update <BR> * Can Online Social Networks Qualify as Identity Management Systems<BR> * Food for Thought: Can we be Green and Secure? <BR> * An Interview with Kevin Mitnick - Social Engineering: No Silver Bullets<BR> <BR> Disponible en: <A href="http://www.enisa.europa.eu/eq/ ">www.enisa.europa.eu/eq/</A> <BR> <BR> 2 Nov 2008 16:53:39 +0100 http://www.iso27000.es Desde <A href="http://www.dmoz.org/Computers/Security/Policy/Sample_Policies/">dmoz.org</A> dejan a disposición pública 80 modelos de políticas que pueden servir de modelo de referencia.<BR><BR> 21 Oct 2008 22:58:17 +0100 http://www.iso27000.es/ Es esencial que aquellos responsables de la creación de políticas dentro de un entorno de pequeñas empresas comprendan la necesidad de utilizar métodos no técnicos y poco convencionales para hacer una política efectiva y exigible.<BR><BR> Trabajo de Bruce D.Waugh publicado PDF en <A href="http://www.infosecwriters.com/text_resources/pdf/BWaugh_Policy.pdf">Infowriters</A><BR><BR> 21 Oct 2008 22:58:16 +0100 http://www.iso27000.es/ El PCI Security Standards Council (PCI SSC) anunció el lanzamiento de la versión 1.2 de la PCI DSS. Esta última versión es la culminación de dos años de interacción y sugerencias de los interesados de la industria, y está diseñada para aclarar y facilitar la implementación de la norma para la seguridad de cuentas de titulares de tarjetas. La versión 1.2 ya entró en vigencia y la versión 1.1 de la norma caducará el 31 de diciembre de 2008.<BR><BR> Noticia completa en <A href="http://www.financialtech-mag.com/000_estructura/index.php?id=24&idb=167&ntt=10677&sec=10&vn=1">Financialtech Magazine</A><BR><BR> 21 Oct 2008 22:58:16 +0100 http://www.iso27000.es/ La tercera edición del DISI se celebrará el lunes 1 de diciembre de 2008 desde las 09:00 hasta las 15:15 horas, en el Salón de Actos del Campus Sur de la Universidad Politécnica de Madrid, España, contando en esta ocasión con la destacada presencia de la Dra. Radia Perlman, Sun Microsystems Fellow Network Protocols and Security Project Principal Investigator en Estados Unidos, connotada investigadora de seguridad en redes, autora de dos libros sobre networking y con más de 50 patentes a su haber en Sun. <BR><BR> La Dra. Perlman es además ganadora de varios premios, nominada en dos ocasiones como una de las 20 personas más influyentes en la industria de los Estados Unidos por Data Communications Magazine y en muchos medios de comunicación es reconocida como "la Madre de Internet" gracias a su invento del spanning-tree protocol.<BR><BR> Noticia con información completa del evento en <A href="http://www.hispasec.com/unaaldia/3647">Hispasec</A><BR><BR> 21 Oct 2008 22:58:15 +0100 http://www.iso27000.es/ Microsoft establecerá en la capital colombiana el primer laboratorio latinoamericano contra la piratería en la industria informática, anunciaron hoy fuentes de la multinacional estadounidense.<BR><BR> El director general de Antipiratería de Microsoft, Keith Beeman, informó en Bogotá de que su compañía invertirá en esta planta unos 450.000 dólares.<BR><BR> El llamado Laboratorio de Microsoft de Identificación de Producto Pirata en Latinoamérica entrará en funcionamiento el próximo noviembre y será el noveno que la multinacional pone en servicio en el mundo, dijo Beeman.<BR><BR> Noticia completa en <A href="http://www.alfa-redi.org/noticia.shtml?x=10973">Alfa-redi</A><BR><BR> 21 Oct 2008 22:58:15 +0100 http://www.iso27000.es/ Los blogs se convierten en la nueva brecha para la seguridad en la navegación por Internet.<BR><BR> Los usuarios que no cuentan con protección corren el riesgo de infectarse con una amplia gama de amenazas que posiblemente están hospedadas en la página final a la que lleva este ataque. En este caso en particular, TROJ_BHO.EZ crea entradas del registro que lo instalándolo como un BHO. Monitoriza los hábitos de navegación para entregar &ldquo;contenido publicitario relevante". Estas páginas no solicitadas afectan la óptima experiencia de navegación del usuario.<BR><BR> La reputación de las firmas de publicación de blogs también se puede ver afectada por estos ataques, ya que los blogs llevan a URLs maliciosas y los usuarios pueden suponer que los dominios del blog son maliciosos también.<BR><BR> Noticia completa en <A href="http://www.cibersur.com/modules.php?name=News&file=article&sid=11563">Cibersur</A><BR><BR> 21 Oct 2008 22:58:14 +0100 http://www.iso27000.es/ Este nuevo boletín toma el relevo de boletines de seguridad de la compañía como "McAfee Sage" o "the McAfee Global Threat Report", según el país de publicación.<BR><BR> El boletín (en inglés) es de descarga gratuita y está disponible en <A href="http://www.mcafee.com/us/research/mcafee_security_journal/index.html">macafee.com.</A><BR><BR> 21 Oct 2008 22:58:13 +0100 http://www.iso27000.es/ Desde Áudea Seguridad de la Información nos envían dos interesantes documentos en relación a <a href="http://www.iso27000.es/download/impresionlopd.pdf">la impresión de documentos</a> y a las <a href="http://www.iso27000.es/download/camarastraficolopd.pdf">cámaras de tráfico</a> en relación al cumplimiento de la LOPD. <br> <br> 21 Oct 2008 22:58:14 +0100 http://www.iso27000.es HP presenta un nuevo juego online para educar a las pymes frente a las amenazas de seguridad informática.<BR><BR> El juego incluye situaciones relacionadas con problemas de seguridad como son virus informáticos, robo de identidades y recuperación de datos y como las pequeñas y medianas empresas deben hacer frente a estos contratiempos para proteger sus actividades profesionales.<BR><BR> &ldquo;Hemos trabajado con varios propietarios de pequeñas empresas que siendo conscientes de los daños causados por las intrusiones en sus sistemas no saben cual es la mejor manera para protegerse de estos ataques" afirmó Didier Philippe, Presidente del Instituto Micro-Enterprise Acceleration (MEA-I). &ldquo;Accelerate Security" les ayuda a implantar procedimientos básicos de seguridad en sus actividades diarias".<BR><BR> &ldquo;Accelerate Security" es gratuito y está disponible en <A href="http://game.mea-i.org">knowledge-city.</A><BR><BR> Noticia completa en <A href="http://sgsi-iso27001.blogspot.com/2008/10/la-subcontratacin-del-riesgo.html">CRIPTEX</A>.<BR><BR> 21 Oct 2008 22:58:13 +0100 http://www.iso27000.es/ "Tenía pendiente desde hace unos días elaborar esta entrada. Tras unos comentarios en relación al post de Joseba Enjuto sobre la caracterización de los Servicios TI, quería hablar sobre la " subcontratación del riesgo". Lo primero que quiero justificar es el titulo. La gestión del riesgo sólo permite cuatro decisiones posibles:<BR><BR> * Aceptarlo<BR> * Evitarlo<BR> * Reducirlo o<BR> * Transferirlo a un tercero<BR><BR> En general, se suele entender por transferencia del riesgo cuando éste se tiene identificado y se decide que un externo sea quien lo gestione a cambio de cierta contraprestación: habitualmente puede ser la externalización de servicios, la contratación de seguros, etc. Es habitual, como bien apuntaban en los comentarios de "Seguridad y Gestión" que el término para definir este proceso sea la "externalización del riesgo" pero ahora voy a justificar un poco por qué prefiero no llamarlo así. "<BR><BR> Artículo completo en <A href="http://sgsi-iso27001.blogspot.com/2008/10/la-subcontratacin-del-riesgo.html">blog de Javier Cao</A>.<BR><BR> 21 Oct 2008 22:58:12 +0100 http://www.iso27000.es/ El ISM ha sido desarrollado por la ·Defence Signals Directorate" en virtud de su función de proporcionar las políticas y normas para los organismos del Gobierno australiano con el objeto de ayudar en la protección de la información oficial del Gobierno que es procesada, almacenada o comunicada por los sistemas del Gobierno de Australia. <BR><BR> Las agencias del Gobierno de Australia están obligadas a utilizar el manual de protección y seguridad del Gobierno de Australia para cumplir con el IMS para la protección de la información cuando es procesada, almacenada o comunicada por los sistemas. <BR><BR> Descarga de la última revisión del documento en pdf desde <A href="http://www.dsd.gov.au/library/infosec/ism.html#downloads">Australian Goverment</A>.<BR><BR> 21 Oct 2008 22:58:11 +0100 http://www.iso27000.es/ La primera red comercial de telecomunicación protegida con tecnologías de criptografía cuántica ha sido presentada en una demostración por responsables del proyecto SECOQC. Fundamentado en los principios de la física cuántica, el sistema desarrollado hace impenetrable el intercambio de datos a cualquier tipo de escucha o intromisión no autorizada.<BR><BR> Noticia completa en <A href="http://www.tendencias21.net/Se-implementa-la-primera-red-protegida-con-criptografia-cuantica_a2624.html">Tendencias21</A>.<BR><BR> 21 Oct 2008 22:58:10 +0100 http://www.iso27000.es/ Buscan las últimas tecnologías en seguridad? Entonces, lo mismo que los jueces del concurso anual Global Security Challengue diseñado para ayudar a buscar e identificar las startups más prometedoras en la industria. <BR><BR> Ayer, los jueces del GSC anunciaron los seis finalistas para el premio, que será anunciado el 13 de noviembre. El ganador recibirá una subvención de 500.000 dólares en efectivo y tutelaje de los financiadores, cortesía del gupo de apoyo técnico del gobierno de los EE.UU..<BR><BR> Noticia completa en <A href="http://www.darkreading.com/document.asp?doc_id=165653&f_src=darkreading_section_296">Darkreading</A>.<BR><BR> 21 Oct 2008 22:58:08 +0100 http://www.iso27000.es/ La entrevista realizada por net-security.org está en formato video desde el enlace <A href="http://www.net-security.org/article.php?id=1181">de su página web</A> y presenta la agencia ENISA y el trabajo que realiza.<BR><BR> 8 Oct 2008 22:43:34 +0100 http://www.iso27000.es/ En (ISC) ², una de las prioridades es la difusión de concienciación sobre la seguridad cibernética en todo el mundo. El Cyber de Exchange ofrece videos, presentaciones, carteles, entre otros, ofrecidos por los mejores expertos en la seguridad de la información.<BR><BR> Enlace al proyecto en <A href="http://cyberexchange.isc2.org/">Cyberexchange</A> <BR><BR> 8 Oct 2008 22:43:32 +0100 http://www.iso27000.es/ El desarrollo de software de alta seguridad con reducidos fallos se verá reforzado por la apertura del proyecto de investigación Tokeneer a la comunidad de código abierto por la Agencia de Seguridad Nacional (NSA) de los EEUU.<BR><BR> El proyecto ha demostrado la manera de cumplir o superar el nivel de evaluación (EAL) 5 del los Criterios Comunes demostrando así un camino hacia los niveles más altos de garantía de seguridad.<BR><BR> La apertura sin precedentes del proyecto a la comunidad de código abierto tiene como objetivo demostrar cómo el software de alta seguridad se puede desarrollar de manera eficaz dentro de unos costes, la mejora de las prácticas industriales y proporcionando un punto de partida para la investigación académica y la enseñanza.<BR><BR> Noticia completa en <A href="http://www.net-security.org/secworld.php?id=6619">Net-Security</A> <BR><BR> Enlace al proyecto en <A href="http://www.adacore.com/home/gnatpro/tokeneer/">Adacore.com</A> <BR><BR> 8 Oct 2008 22:43:31 +0100 http://www.iso27000.es/ Un trabajo de investigación trata de cuantificar la pérdida de tiempo en lecturas de políticas de privacidad confusas o sobrescritas.<BR><BR> Políticas de privacidad mal escritas y complicadas conducen a los usuarios a tomar malas decisiones cuando están conectados y podrían de forma eventual poner en peligro las prácticas de autorregulación de la privacidad en Internet, según un nuevo informe de investigación. <BR><BR> En un documento sobre las tendencias en las políticas de privacidad de la Universidad Carnegie Mellon, los investigadores Aleecia McDonald y Lorrie Fe Cranor intentaron cuantificar los problemas de las prácticas actuales mediante la medición del tiempo necesario para leer y entender las hoy dispares, largas y complejas normas de privacidad en la web.<BR><BR> Noticia completa en <A href="http://www.darkreading.com/document.asp?doc_id=165411&f_src=darkreading_section_296">Darkreading</A> <BR><BR> Descarga en pdf <A href="http://tprcweb.com/files/McDonald-TimeValueOfPrivacyPolicies.pdf">del estudio</A> <BR><BR> 8 Oct 2008 22:43:30 +0100 http://www.iso27000.es/ La Comisión Europea tiene previsto desvelar una propuesta que facilitará y hará más seguras las transacciones on line para los consumidores de los Veintisiete. <BR><BR> Aproximadamente un tercio de los consumidores de la UE, o unas 150 millones de personas, compran ya en Internet. Pero sólo 30 millones de ellos lo hacen de forma transfronteriza, y las nuevas normas están destinadas a alentar esas compras en el extranjero. <BR><BR> La Comisión Europea quiere acabar con las barreras para los productos y servicios transfronterizos para incrementar la competencia, ofrecer a los negocios un mercado más amplio y reducir el precio para el consumidor. <BR><BR> Noticia completa en <A href="http://www.cibersur.com/modules.php?name=News&file=article&sid=11497">Cibersur</A> <BR><BR> 8 Oct 2008 22:43:29 +0100 http://www.iso27000.es/ El nuevo número de (IN)SECURE dedica una interesante artículo a la <A href="http://www.net-security.org/dl/insecure/INSECURE-Mag-18.pdf">seguridad en redes e información en Europa</A> <BR><BR> 8 Oct 2008 22:43:28 +0100 http://www.iso27000.es/ &ldquo;Amenazas internas y externas a la Seguridad de la Información hoy: Cómo afrontar estos desafíos desde las organizaciones públicas y privadas"<br><br> Fecha: 13 de noviembre de 2008<br><br> Lugar de celebración: Salón de Actos de la Torre AGBAR (Avda Diagonal, 211), Barcelona.<br><br> Objetivos de esta jornada:<br> - Analizar cuáles son y cómo afrontar las actuales amenazas, en el ámbito global, para la seguridad de la información de las empresas e instituciones públicas y privadas. <br><br> - Dimensionar el problema y su alcance de la mano de expertos nacionales e internacionales que avanzarán tendencias, retos y prioridades y compartirán con los participantes experiencias de éxito.<br><br> - Obtener pautas eficaces de &ldquo;psicología de la seguridad"; aprender técnicas de comunicación y dirección de personas para involucrar al capital humano de las organizaciones en la defensa proactiva.<br><br> Algunos ponentes destacados:<br> . Howard A. Schmidt, President and CEO R&H Security Consulting LLC and Former White House Cyber Security Advisor<br><br> . Cormac Callanan, Consultant Council of Europe on Cybercrime, CEO Aconite Internet Solutions<br><br> . Fernando Aparicio, Director General de PayPal España . Andreu Bravo, Responsable de Seguridad de la Información del Grupo Gas Natura<br><br> . Tomás Roy, Director de Calidad, Seguridad y Relaciones con Proveedores del Centro de Telecomunicaciones y Tecnologías de la Información (CTiTI) de la Generalitat de Catalunya <br><br> . Juan Salom, Comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil<br><br> . Cristina Segura, Subdirectora de Sistemas de Información de ASERCO (Grupo Agbar) <br><br> . Guido Stein, Consultor, Profesor de IESE en el Departamento de Dirección de Personas en las Organizaciones; y secretario general del Instituto Empresa y Humanismo de IESE<br><br> . Juan Miguel Velasco, Director Asociado de Servicios y Soluciones de Seguridad de Telefónica <br><br> Tasas de inscripción: Socios de ISMS Forum Spain: gratuito. No socios: 360&euro;. <br><br> La jornada incluye un coffee-break y un almuerzo. Además de la documentación del congreso, todos los participantes recibirán un ejemplar de la obra &ldquo;Patrolling Cyberspace", de Howard A. Schmidt. <br><br> Idiomas: Se facilitará traducción simultánea inglés-español. <br><br> Más información en <a href="https://www.ismsforum.es/">ismsforum.es</a><br><br> 8 Oct 2008 22:43:27 +0100 http://www.iso27000.es Un investigador demostrará mediante una herramienta libre de plug-and-play esta semana que automáticamente se generan ataques de man-in-the-middle a sesiones de banca online, Gmail, Facebook, LiveJournal, LinkedIn y a pesar de la seguridad en el proceso de acceso. <br><br> Jay Beale, quien recientemente publicó la herramienta "Middler" en código fuente abierto, hará un demostración completa en la Conferencia Sectorial en Toronto. Middler también está diseñada para su uso por un atacante sin habilidades o experiencia.<br><br> Enlace a la noticia completa en <a href="http://www.darkreading.com/document.asp?doc_id=165303&f_src=darkreading_section_296">Darkreading.com</a><br><br> 8 Oct 2008 22:43:26 +0100 http://www.iso27000.es Este portal es un repositorio en el que los profesionales pueden pensar de forma creativa, colaborativa e investigar sobre nuevas ideas relacionadas con las métricas de seguridad.<br><br> Enlace en <a href="http://www.securitymetrics.org">Securitymetrics.org</a> o desde nuestra sección de <a href="http://www.iso27000.es/enlaces.html">Enlaces</a><br><br> 8 Oct 2008 22:43:25 +0100 http://www.iso27000.es Cuando se trata de asegurar las aplicaciones en una red, la limitación de los privilegios es la regla de oro. Las vulnerabilidades que exponen las aplicaciones web comienzan con las bases de datos y siguen hasta llegar al código de la aplicación en sí. Los usuarios o las funciones de la aplicación deberían disponer únicamente del acceso a la base de datos estrictamente necesario. <br><br> <a href="http://johnny.ihackstuff.com/ghdb.php">Johnny Long's Google Hacking Site</a> proporciona una guía para encontrar vulnerables de aplicaciones web usando elaboradas búsquedas en Google. Alternativamente, usted podría utilizar la herramienta <a href="http://www.goolag.org/">Goolag tool</a> de Cult of the Dead Cow'. No se olvide de comprobar el <a href="http://www.owasp.org/index.php/Main_Page">sitio OWASP</a> para información de vulnerabilidades y exploits.<br><br> Articulo completo en <a href="http://www.computerweekly.com/Articles/2008/10/01/232521/securing-applications-on-the-network.htm">Computerweekly</a> <br><br> 8 Oct 2008 22:43:25 +0100 http://www.iso27000.es "Desde junio de este año, ya contamos con una nueva norma dentro de la serie ISO 27000. Se trata de quizás, una de las normas más estructurales de la serie ya que establece un criterio sobre la gestión del riesgo y proporciona un marco normalizado que nos puede ayudar a definir nuestra propia metodología y que tiene por título ISO/IEC 27005:2008, Information technology -- Security techniques -- Information security risk management.<br><br> El análisis del riesgo es crucial para el desarrollo y operación de un SGSI. Aunque se habla mucho del tema, en esta fase la organización debe construir lo que será su "modelo de seguridad", una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización)."<br><br> Articulo completo de Javier Cao en su <a href="http://sgsi-iso27001.blogspot.com/2008/10/la-importancia-del-anlisis-del-riesgo.html">blog de Sistemas de Gestión Seguridad de la Información</a> <br><br> 8 Oct 2008 22:43:24 +0100 http://www.iso27000.es El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Observatorio de la Seguridad de la Información publica el &ldquo;Estudio sobre el Sector de la Seguridad TIC en España", con el fin de aportar una visión detallada y actual acerca del mercado de la seguridad en nuestro país, haciéndose eco de sus necesidades y sus oportunidades.<br><br> Noticia completa y descarga en <a href="http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_sector_seguridad_tic_espana">INTECO</a> <br><br> 8 Oct 2008 22:43:22 +0100 http://www.iso27000.es El PCI Security Standards Council anunció las fechas y la ubicación de los Congresos de la Comunidad que organizará para las organizaciones participantes. Este año, el Consejo celebrará dos eventos, uno en Estados Unidos y otro en Bélgica, para permitir un debate global de las normas de seguridad del PCI entre los accionistas. Las fechas y la ubicación de los eventos son las siguientes::<br><br> * Estados Unidos: 23-25 de septiembre de 2008, Orlando, Florida.<br> * Bélgica: 21-23 de octubre de 2008, Bruselas. <br><br> Cada congreso se inaugurará con una recepción cóctel vespertina, y una presentación que tratará el tema de la próxima versión de la norma PCI DSS, anunciada como 1.2, la implementación continua de la norma PA-DSS y las últimas novedades en materia de Requisitos de Seguridad PED. Cada congreso permitirá a los participantes interactuar con la gerencia del Consejo.<br><br> Noticia completa en <a href="http://www.financialtech-mag.com/000_estructura/index.php?id=24&idb=165&ntt=10588&sec=10&vn=1">Finantialtech</a> <br><br> 28 Sep 2008 01:48:59 +0100 http://www.iso27000.es Una de las bases para una arquitectura de procesos de seguridad de información es el manejo de incidentes. <br><br> En el libro Secrets & lies, el autor Bruce Schneider explica: &ldquo;Los ataques, criminales o no, son imprevistos pues son eventos que toman a la gente por sorpresa; son anomalías en el aspecto social y afectan la vida de las víctimas".<br><br> De acuerdo con la encuesta anual del Instituto de Seguridad Computacional (CSI, por sus siglas en inglés) y el FBI, los incidentes de seguridad de la información (SI) van al alza, además de que en su edición de 2007 se mostró una tendencia muy interesante: los ataques por virus (o código malicioso) pasaron del primer sitio al segundo en la lista de los principales ataques, desbancados por el abuso de personal interno.<br><br> Articulo completo de Ricardo Morales en <a href="http://bsecure.com.mx/articulos.php?id_art=6680&id_sec=59">bsecure.com.mx</a> <br><br> 28 Sep 2008 01:48:58 +0100 http://www.iso27000.es El convenio que se ha ratificado tendrá como objetivo el impulso de la Implantación y Certificación de Sistemas de Gestión de la Seguridad de la Información en las pequeñas y medianas empresas. Para ello, Inteco dedicará 1.7 millones de euros y el Consejo Superior de Cámaras de Comercio aportará las infraestructuras y medios técnicos y humanos necesarios para la ejecución de las jornadas y la captación de las empresas, así como del desarrollo del proyecto. <br><br> Noticia completa en <a href="http://www.computing.es/Noticias/200809220040/Industria-impulsa-la-modernizacion-de-las-pymes-a-traves-de-dos-acuerdos-con-las-Camaras-de-Comercio.aspx">computing.es</a> <br><br> 28 Sep 2008 01:48:57 +0100 http://www.iso27000.es Tb·Security ha pasado a formar parte del exclusivo grupo de colaboradores del Instituto de Ingeniería de Software de la Universidad norteamericana Carnegie Mellon, convirtiéndose así en la primera empresa española autorizada a impartir sus cursos especializados en seguridad de la información, creación y gestión de Equipos de Respuesta a Incidentes de Seguridad (CERTs o CSIRTs). <br><br> La formación que ahora facilita TB·Security a todos sus clientes (tanto de España como de Latinoamérica) está adaptada a las necesidades de todo tipo de organización (pública o privada) y a sus distintos perfiles (usuarios finales/empleados, gestores y mandos ejecutivos o responsables TIC y de Seguridad). <br><br> Cinco son los cursos, acreditados por la Universidad, que la compañía ha incorporado a sus servicios de formación: <br><br> - Seguridad de la Información para personal técnico<br> - Creación de Equpos de Respuesta a Incidentes de Seguridad (CSISRTs) <br> - Gestión de Equipos de Respuesta a Incidentes de Seguridad (CSIRTs)<br> - Fundamentos de la gestión de incidentes<br> - Gestión de incidentes avanzada<br><br> Los interesados pueden contactar con Clara Baonza Díaz (cbaonza@tb-security.com) o Lorena Fernández Martín (lfernandez@tb-security.com) en el teléfono +34 91 301 34 95) o consultar la página web de <a href="http://www.tb-security.com ">TB-Security</a> <br><br> 28 Sep 2008 01:48:57 +0100 http://www.iso27000.es El alcance de la nueva norma británica BS 25777 "Code of practice for information and communications technology continuity" será la de propociornar recomendaciones para la gestión de la continuidad del sector TIC dentro del marco para la gestión de la continuidad de negocio proporcionada por BS 25999-1.<br><br> Los interesados en consultar contenidos y comentarios de los borradores pueden hacerlo previo registro gratuito previo desde el <a href="http://drafts.bsigroup.com/wp-login.php?loggedout=true">portal de BSI</a> <br><br> 28 Sep 2008 01:48:56 +0100 http://www.iso27000.es INTECO, junto con la ENISA (Agencia Europea de Seguridad de las Redes y de la Información, cuyo fin es garantizar a los usuarios de las redes de comunicación y sistemas de información el mayor grado de seguridad.), EEMA (Asociación Europea para la identidad electrónica y la seguridad) y TELETRUST (Organización sin animo de lucro para la promoción de la fiabilidad de la Tecnología de Información y Comunicación) organiza el próximo ISSE 2008 (Europe's only independent security conference) que se celebrará del 7 al 9 de Octubre de 2008 en Madrid. <br><br> En este evento internacional suelen tratarse las últimas novedades en tecnología, soluciones, tendencias de mercado y mejores prácticas en una amplia gama de temas de seguridad.<br><br> Noticia completa en <a href="http://www.inteco.es/Prensa/Actualidad_INTECO/Inteco_ISSE_2008">Inteco</a> <br><br> Información completa y registro en <a href="http://www.isse.eu.com/programme.htm">ISSE 2008</a> <br> <br> 28 Sep 2008 01:48:55 +0100 http://www.iso27000.es La UIT ha concluido un acuerdo con la Alianza Internacional Multilateral contra el Ciberterrorismo (IMPACT) para la puesta en práctica de la Agenda sobre Ciberseguridad Global. Así pues, la Agenda sobre Ciberseguridad Global de la UIT quedará ubicada en la modernísima sede mundial de IMPACT, en Cyberjaya, Kuala Lumpur.<br> <br> La colaboración entre la UIT e IMPACT tiene como finalidad encontrar sinergias a fin de proporcionar:<br> <br> El análisis en tiempo real, la recopilación y la difusión de información sobre las ciberamenazas globales<br> Un sistema de alerta temprana y de respuesta de emergencia para las ciberamenazas globales<br> Formación y capacitación sobre los aspectos técnicos, legales y políticos de la ciberseguridad<br> Este acuerdo se corresponde con la decisión adoptada por la Cumbre Mundial sobre la Sociedad de la Información de instaurar la seguridad y la confianza en la utilización de las tecnologías de la comunicación y la información (TIC). La Cumbre también solicitó que se instaurara una coordinación práctica entre las diversas partes interesadas, con miras a la información recíproca, la creación de conocimientos, el intercambio de prácticas óptimas y la asistencia para el establecimiento de alianzas entre el sector público y el privado.<br><br> La Agenda sobre Ciberseguridad Global de la UIT es un marco para la cooperación internacional, destinado a los gobiernos, las autoridades encargadas de velar por el cumplimiento de la legislación internacional, el sector privado, las organizaciones internacionales y la sociedad civil, con el fin de lograr un ciberespacio más seguro en una sociedad de la información cada vez más interconectada. <br><br> Aunque la Agenda sobre Ciberseguridad Global estará ubicada en el IMPACT Centre, la UIT dispondrá de una "vitrina virtual" en Ginebra en la que se mostrarán el sistema de alerta temprana, la gestión de crisis y el análisis en tiempo real de las ciberamenazas globales. Iniciativas de IMPACT, tales como el Centro de Respuesta Global, así como la formación y el desarrollo de calificaciones, la fiabilidad de la seguridad, la investigación y la cooperación internacional se llevarán a cabo bajo los auspicios de la Agenda sobre Ciberseguridad Global.<br><br> Noticia completa en <a href="http://www.alfa-redi.org/noticia.shtml?x=10851">Alfa-redi</a> <br> <br> 28 Sep 2008 01:48:54 +0100 http://www.iso27000.es Bankinter ha logrado la certificación BS 25999, que acredita al Banco en la gestión de la continuidad de negocio en sus plataformas y sistemas informáticos. <br> <br> La Certificación del Sistema de Gestión de la Continuidad de Negocio (SGCN) ha sido otorgada por la British Standard Institution (BSI) con el siguiente alcance: "Identificación, autentificación y firma de operaciones financieras y sus evidencias electrónicas a través de Internet, Teleproceso Operativo y la infraestructura de routing de Renta Variable, para los centros de Tres Cantos y Alcobendas."<br> <br> Para ello, la Entidad ha sido sometida a una revisión de los aspectos organizativos y técnicos asociados a la gestión de la continuidad, sus procesos operativos para la detección y respuesta ante incidentes y su gestión del riesgo mediante un análisis riguroso, metodológico y periódico.<br> <br> La norma BS 25999 complementa el actual sistema de gestión ISO 27001, una Certificación Internacional del Sistema de Gestión de la Seguridad de la Información (SGSI) que Bankinter obtuvo en 2006, y que acreditaba al Banco con los estándares más elevados de calidad y rigor profesional en la gestión de la seguridad de sus sistemas informáticos.<br> <br> Noticia completa en <a href="http://www.financialtech-mag.com/000_estructura/index.php?id=24&idb=164&ntt=10534&sec=30&vn=1">FinancialTech Magazine</a> <br> <br> 28 Sep 2008 01:48:54 +0100 http://www.iso27000.es En este estudio de ISACA, las compañías clasifican los siete mayores problemas empresariales relacionados con la tecnología para los próximos 12-18 meses.<br> <br> Asegurar la información de identificación personal (PII) es una de las principales preocupaciones con las que se enfrentan empresas y ejecutivos de tecnología este año, según una encuesta realizada a más de 3.100 profesionales en más de 95 países.<br> <br> El estudio, llevado a cabo por ISACA, identifica los siete principales problemas empresariales, en los que la tecnología ha causado impacto. Los encuestados clasificaron los siguientes problemas empresariales como los siete principales:<br> <br> Conformidad regulatoria, específicamente la que protege la información de identificación personal e implementa la supervisión de transacciones<br> <br> # Gestión corporativa y gobierno de TI<br> # Gestión de seguridad de la información<br> # Recuperación ante desastres/ continuidad del negocio<br> # Gestión del valor de TI<br> # Retos de la gestión de riesgos de TI<br> # Conformidad con la divulgación financiera<br> <br> <br> Noticia completa en <a href="http://www.financialtech-mag.com/000_estructura/index.php?id=24&idb=164&ntt=10562&sec=25&vn=1">FinancialTech Magazine</a> <br> <br> Desgarga en PDF del <a href="http://www.financialtech-mag.com/_docum/163_DocumentoA.pdf">estudio ISACA</a> <br> <br> 28 Sep 2008 01:48:53 +0100 http://www.iso27000.es La encuesta de investigación del Centro para el Alojamiento confirma las preocupaciones sobre la debilidad de la seguridad en las redes de hotel. <br> <br> Usted está poniendo los datos de su empresa en riesgo cuando se conecta a una red hotelera, según un nuevo estudio sobre las conexiones a Internet en hoteles de EE.UU.<br> <br> El Centro investigación del Alojamiento de la Universidad de Cornell encuestó casi 150 hoteles y luego, sobre el terreno, probó la vulnerabilidad de una muestra de unos 50 hoteles. Alrededor del 20 por ciento de los cerca de 150 hoteles en el estudio todavía tienen activas redes básicas (y vulnerables) de Ethernet, y casi el 93 por ciento ofrece WiFi. De las 39 redes WiFi de hotel probadas sobre el terreno por un investigador de Cornell, sólo seis aplicaban codificación.<br> <br> Noticia completa en <a href="http://www.darkreading.com/document.asp?doc_id=163671&f_src=darkreading_section_296">Darkreading</a> <br> <br> 28 Sep 2008 01:48:52 +0100 http://www.iso27000.es Olvídese del panel de control privado; a día de hoy en Internet y en smartphones se habilitan sistemas de seguridad mediante navegador para la gestión de actualizaciones SMS, feeds de vídeo en vivo y opciones de ahorro económico. <br> <br> ¿Se puede instalar un sistema de seguridad fiable para un hogar o pequeña empresa de forma barata y administrarla cuando se encuentra desplazado? <br> <br> Esa fue la pregunta formulada por James Seibert, presidente y propietario de Information Security Defense Network de San Peters, Mo. "Hemos entrado en una nueva oficina hace un año y medio y cuando lo hicimos, necesitábamos un nuevo sistema de alarma . Al tratarse de una empresa del sector de las Tecnologías de la Información, una de las principales cuestiones que estaba buscando era una forma de gestionar el sistema a distancia porque no estoy en la oficina mucho tiempo. Y pensaba realmente que no iba a encontrar lo que necesitaba. "<br> <br> Sin embargo, finalmente Seibert descubrió un navegador "do-it-yourself" configurable de Alarm.com, que instaló por sí mismo. Se trataba de colocar sensores inalámbricos en las puertas que quería securizar, eligiendo la ubicación para la estación base y, a continuación, configurando el sistema desde su navegador."<br> <br> Noticia completa en <a href="http://www.informationweek.com/news/security/intrusion_prevention/showArticle.jhtml?articleID=210600802&cid=RSSfeed_IWK_All">Informationweek</a> <br> <br> 28 Sep 2008 01:48:51 +0100 http://www.iso27000.es Poco ha durado la euforia en Google por su nuevo navegador. El gobierno alemán ha emitido un duro comunicado en el que aconseja a sus ciudadanos que no lo utilicen.<br> <br> Así de rotundo se ha mostrado el Portavoz de la Agencia de Seguridad de la Información, Matthias Gardner, quien ha afirmado que la utilización del navegador, email y buscador proporcionaría al gigante de la red demasiados datos que debería ser privados.<br> <br> Noticia completa en <a href="http://seguridad-informacion.blogspot.com/2008/09/alemania-desaconseja-el-uso-de-google.html">CRIPTEX</a> <br> <br> 28 Sep 2008 02:48:47 GMT http://www.iso27000.es Algunos dentro de nuestra profesión han reconocido la necesidad de centrarse en los riesgos y han desarrollado procesos de análisis y herramientas que nos llevan en esa dirección. <br> <br> FRAP y OCTAVE &reg; ?, son un par de las más conocidos ejemplos. El desafío aún sin respuesta, sin embargo, es que sin una sólida comprensión de qué es el riesgo, qué factores son los que impulsan el riesgo y sin una nomenclatura normalizada, no podemos ser coherentes o realmente eficaces en el uso de cualquier método. <br> <br> FAIR trata de ofrecer estas bases fundamentales, así como. un marco para la realización de análisis de riesgos. Es importante señalar que gran parte del marco FAIR puede utilizarse para reforzar, en lugar de sustituir, los procesos de análisis de riesgos como los mencionados anteriormente.<br> <br> Enlace a FAIR en versión wiki en <a href="http://fairwiki.riskmanagementinsight.com//media/docs/FAIR_introduction.pdf">FAIR Introductions</a> <br> <br> Descarga en pdf en <a href="http://www.riskmanagementinsight.com/media/docs/FAIR_introduction.pdf">FAIR Introductions</a> <br> <br> 8 Sep 2008 16:44:43 GMT http://www.iso27000.es La próxima cita internacional organizada por ISMS Forum Spain será el próximo 13 de noviembre en una ubicación privilegiada: el Salón de Actos de la vanguardista Torre Agbar, en Barcelona.<br> <br> A lo largo de una intensa jornada analizaremos las principales amenazas internas y externas para el mundo empresarial en el ámbito de la Seguridad de la Información y cómo deben afrontarlas las empresas y organizaciones. <br> <br> Ya se han confirmado sus intervenciones Howard Schmidt (EE.UU), ex asesor de la Casa Blanca y presidente mundial de ISF; y Cormac Callanan (Irlanda), consultor del Consejo de Europa en cibercrimen, además de responsables de seguridad de la información de empresas e instituciones españolas de primer nivel.<br> <br> El programa completo, la inscripción on-line y la información sobre alojamiento en condiciones especiales para los asistentes estará disponible en <a href="https://www.ismsforum.es/index.php">ismsforum</a> a partir del próximo 30 de septiembre. <br> <br> 8 Sep 2008 16:44:41 GMT http://www.iso27000.es Reelegido como vicepresidente de ISACA por un plenario de más de 50.000 miembros en 140 países (2005-2007); distinguido con el "John Kuyers Best Speakers", por su aportación a dicha institución; con un currículum de casi 20 páginas imposible de resumir... Lucio Augusto Molina, consultor independiente en seguridad y auditoría de sistemas, ha dedicado parte de su vida a esta "faena" -la de un entorno lleno de siglas (CISA, CISM, CobIT, ValIT...)- de la que habla con la ilusión del primer día.<br> <br> Entrevista completa en <a href="http://www.borrmart.es/articulo_redseguridad.php?id=1843">RedSeguridad</a> <br> <br> 8 Sep 2008 16:44:40 GMT http://www.iso27000.es Dos años más tarde, ENISA amplía y actualiza su conocida guía y que contiene cuatro nuevas e importantes mejoras: un nuevo visualizado del modelado de los procesos, identificación de indicadores claves de rendimiento para el éxito, se presentan 6 casos de estudio, además de proporcionar 11 plantillas procedentes de toda Europa.<br> <br> Dispone en pdf desde <a href="http://www.enisa.europa.eu/doc/pdf/deliverables/new_ar_users_guide.pdf">ENISA</a> <br> <br> 8 Sep 2008 16:44:38 GMT http://www.iso27000.es www.musicalibre.es se convierte en la primera Web que Certifica la Seguridad de su Sistema de registo y Licenciamiento de temas musicales. <br><br> El esfuerzo ha sido realizado para darle solidez a las Licencias "Copyleft" a través de su sistema de registro y licenciamiento de música (LML) y queda avalado internacionalmente, pasando a posicionarse como el primer sistema de este tipo en Internet. <br> <br> Noticia completa en <a href="http://www.musicalibre.es/">Musicalibre.es</a> <br> <br> 8 Sep 2008 16:44:37 GMT http://www.iso27000.es Microsoft Global Foundation Services (GFS) ha logrado la certificación con la norma ISO / IEC 27001:2005, la norma de seguridad de la información y se convierte en el primer gran proveedor de servicios en línea en hacerlo. <br><br> Microsoft se toma la protección de sus activos de información en serio y ha optado por medir su actual programa de seguridad de la información contra los requisitos del estándar para garantizar que su seguridad de la información está correctamente gestionada y mantenida. <br><br> Artículo completo en <a href="http://www.businessstandards.com/Articles/080808_NEWS_Microsoft">businesstandards.com</a> <br> <br> 8 Sep 2008 16:44:36 GMT http://www.iso27000.es Repligen Corporation, una compañía biofarmacéutica de Massachusetts, se ha convertido en la primera empresa en Norteamérica en obtener la certificación BS 25999 de Gestión de la Continuidad del Negocio, a raíz de una auditoría de Sistemas de Gestión de BSI en los EE.UU..<br><br> Repligen ha desarrollado y puesto en práctica un sistema para la gestión de la continuidad de negocio para garantizar el suministro ininterrumpido de su productos de proteína recombinante A, un elemento esencial utilizado en la fabricación de anticuerpos monoclonales terapéuticos de la industria biofarmacéutica. Aunque Repligen tenía un compromiso empresarial con la continuidad de negocio y la planificación de la continuidad de las actividades desde hace varios años, la certificación en BS 25999 sólo está disponible desde noviembre de 2007. <br><br> "Como el principal proveedor mundial de la proteína recombinante A, consideramos que era importante estar en la vanguardia de la continuidad del negocio para asegurar un suministro ininterrumpido de productos a nuestros clientes y, en última instancia a los pacientes", dijo Walter C Herlihy, presidente y CEO de Repligen Corporation. "Estamos muy orgullosos de ser la primera empresa en América del Norte han adquirido para la certificación.<br><br> Artículo completo en <a href="http://www.businessstandards.com/Articles/080829_NEWS_Repligen">businesstandards.com</a> <br> <br> 8 Sep 2008 16:44:35 GMT http://www.iso27000.es Una vez salvado el difícil reto de asegurar la capacidad y calidad del servicio, nos enfrentamos ahora a otro obstáculo, garantizar la seguridad de la información y de la infraestructura tecnológica necesaria, que podría suponer un impedimento para el desarrollo y despliegue de los servicios convergentes IP. En ese sentido, y al igual que se hace para servicios IP tradicionales, se debe enfocar la seguridad tanto en la red, como en el equipamiento final, teniendo en cuenta las mismas vulnerabilidades que en los entornos habituales, entre otras: acceso no autorizado, denegación de servicios, escucha de tráfico, alteración de información, suplantación de identidad tanto de usuario como terminal. <br><br> Artículo completo de Antonio Martínez disponible en nuestra sección de <a href="http://www.iso27000.es/download/Vulnerabilidades en Convergencia IP.pdf">artículos y podcast</a> <br> <br> 8 Sep 2008 16:44:32 GMT http://www.iso27000.es Tras la entrada en vigor el pasado 19 de Abril del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, aprobado por el Consejo de ministros el 21 de diciembre, Áudea Seguridad de la Información organiza, en colaboración con Mariscal & Asociados y la Cámara de Comercio Alemana, una &ldquo;Jornada sobre el Nuevo Reglamento de Desarrollo de la LOPD" el próximo 25 de Septiembre.<br> <br> La misma tendrá lugar en la sede de la Cámara de Comercio Alemana, en la Avda. Pío XII, 26-28. <br> <br> En dicha jornada se pondrán de manifiesto las novedades legislativas más significativas que se han producido como consecuencia de la entrada en vigor de RLOPD.<br> <br> Programa:<br> <br> 19.00 h. Bienvenida<br> Las medidas de seguridad en el nuevo reglamento, Códigos tipo, Transferencias internacionales de datos. Dña. María José Blanco Antón, AEPD<br><br> 19.40 h: Especialidades en relación con los principios de protección de datos, Novedades en materia de consentimiento y del encargado del tratamiento. Dña. María del Águila Bigorra, AUDEA<br><br> 20.05 h: Caso práctico: Nintendo<br><br> 20.30 h. Ruegos y preguntas<br><br> 20.45 h. Clausura y Cocktail<br><br> Para formalizar su inscripción a la Jornada contactar con:<br> Marie Antonia von Schönburg (mantonia.schonburg@ahk.es, tel. 91 353 09 19.)<br> Elena Ortega de Nicolás (comunicación@audea.com)<br> <br> <br> 8 Sep 2008 16:44:28 GMT http://www.iso27000.es Pepperweed es una empresa que valora la sencillez y es un asesor de confianza dentro de la industria de TI que acaba de liberar a las organizaciones de todos los tamaños el acceso a su "Enterprise Resource Planning (ERP) para IT".<br> <br> ERP es un modelo de proceso abierto, que le garantiza la mejora de procesos y las mejores prácticas en base a un contenido de iniciación.<br> <br> El modelo, disponible como descarga gratuita en el sitio web Pepperweed, ofrece una valiosa orientación sobre la manera de gobernar, administrar, controlar, operar y garantizar la función de TI. Fue diseñado como un producto neutral, simplificando la alineación de los grupos de herramientas mixtas, que es la realidad en la mayoría de las organizaciones.<br> <br> Las características del modelo de procesos permite ser aprovechado en diversos marcos y normas, como ISO/IEC 20000, ITIL, IBPL, ITGI, PMI, ISO 27001, COBIT, y BPMN.<br> <br> Información completa y descarga previo registro disponible en <a href="http://www.pepperweed.com/">Pepperweed</a>.<br> <br> 1 Sep 2008 01:00:38 GMT http://www.iso27000.es Una encuesta independiente de 1.130 propietarios de pequeñas empresas, encargada a la empresa para la continuidad del negocio SunGard, muestra que sólo una tercera parte de las PYME en el Reino Unido están tomando medidas para garantizar que su negocio pueda seguir funcionando normalmente bajo cualquier circunstancia. <br> <br> Keith Tilley, vicepresidente de Europa de Disponibilidad de Servicios de SunGard, declaró: "Las pymes admiten sentir la presión de clientes para demostrar su capacidad de recuperación. Sin embargo, están haciendo muy poco para proteger sus negocios." <br> <br> La encuesta encontró que el 40% del total de las PYMEs sufren graves perjuicios en las operaciones comerciales en caso de fallo en el hardware de computadoras. <br> <br> Además, el 45% sufriría un total o grave menoscabo a las operaciones comerciales a raíz de un corte de energía o una inundación, y sólo el 10% sufriría deterioros para no ser capaces de funcionar normalmente en el caso de un incendio. <br> <br> Menos del 10% de las PYME había oído hablar de BS 25999, la primera norma británica para la Gestión de Continuidad de Negocio, que se publicó en octubre de 2007. <br> <br> La norma establece las definiciones de los principales procesos de continuidad del negocio, y establece las directrices para el desarrollo, ensayo y análisis de planes de continuidad del negocio. <br> <br> Al ser informado sobre la norma, casi el 30% de los directivos de las PYMEs declararon su interés para lograr la certificación.<br> <br> Noticia completa en <a href="http://www.computerweekly.com/Articles/2008/08/28/232005/few-smes-prepared-for-business-disruption.htm">computerweekly</a>.<br> <br> 1 Sep 2008 01:00:27 GMT http://www.iso27000.es Si eres un viajero habitual que mantiene importantes archivos de la empresa en su computadora portátil y utiliza una solución de gestión centralizada de copia automática de seguridad de archivos a intervalos de tiempo fijo, no funcionará.<br> <br> Por contra, considera Box Backup, que copia los archivos de un ordenador portátil directamente a un servidor de almacenamiento a través de una conexión cifrada. <br> <br> Box Backup no se basa en un servidor que inicia copias de seguridad. Siempre que los ordenadores portátiles u otros clientes, se conectan a los servidores de backup, la copia de seguridad puede comenzar de inmediato. <br> <br> Los archivos son seguros, porque Box Backup utiliza Secure Sockets Layer (SSL) para encriptar los datos directamente al servidor de almacenamiento de discos. Además de la habitual copia instantánea de seguridad, también permite hacer una copia de seguridad continua de todos los cambios en los archivos mientras está conectado al servidor.<br> <br> Lo mejor de todo, Box Backup es gratuito.<br> <br> Noticia completa y enlaces en <a href="http://www.linux.com/feature/145803">linux.com</a>.<br> <br> 1 Sep 2008 01:00:26 GMT http://www.iso27000.es La primera letra de su dirección de correo electrónico es uno de los factores de riesgo, dice un investigador.<br> <br> Todo el mundo sabe que algunas personas recibir más spam que otras, pero nuevas investigaciones muestran que puede tener algo que ver con la primera letra de la dirección de correo electrónico.<br> <br> Richard Clayton, un investigador en seguridad de la Universidad de Cambridge en el Reino Unido, dice que encontró pruebas de que cuanto más común es la primera letra de la dirección de correo electrónico, más spam se obtiene: en otras palabras, alice@company.com normalmente recibe un mayor volumen de spam que quincy@company.com, o zach@company.com. Dice que es simplemente porque hay más combinaciones de nombres que comienzan con "A" que con "Q" o "Z.".<br> <br> Noticia completa en <a href="http://www.darkreading.com/document.asp?doc_id=162585&f_src=darkreading_section_296">Darkreadings</a>.<br> <br> 1 Sep 2008 01:00:25 GMT http://www.iso27000.es La NASA ha confirmado que el gusano W32.Gammima.AG (que roba datos de acceso para juegos "on line" e intenta enviarlos a un servidor central) ha sido detectado a bordo de la Estación Espacial Internacional (ISS), a donde presumiblemente llegó alojado en el portátil de uno de los astronautas incorporados en Julio, y desde el que se propagó, al parecer vía USB, a varios portátiles mas de la tripulación.<br> <br> Los ordenadores de la ISS no están directamente conectados a Internet, sino a un enlace satelital que les permite enviar y recibir correos, información y ficheros.<br> <br> Pese a que el gusano se considera de baja peligrosidad, el incidente podría no resultar banal, ya que el portavoz de la NASA declinó responder si los portátiles infectados están o no conectados a sistemas críticos de la estación espacial.<br> <br> Noticia y enlaces disponibles en <a href="http://www.kriptopolis.org/iss-virus">Kriptópolis</a>.<br> <br> 1 Sep 2008 01:00:24 GMT http://www.iso27000.es Dos investigadores de seguridad informática han demostrado una técnica para interceptar tráfico en forma casi indetectable. La técnica, del tipo man-in-the-middle, utiliza el protocolo BGP para desviar tráfico en cualquier lugar del mundo hacia la estación de monitorización y luego lo envía (posiblemente modificado) hacia su destino.<br> <br> Lo innovador de la técnica presentada es la capacidad de poder redirigir el tráfico hacia su destino final después de ser interceptado, algo que normalmente no sería posible ya que las tablas BGP harían que el tráfico volviese al atacante.<br> <br> Sin embargo, se utiliza otra capacidad del protocolo BGP llamada "AS path prepending", que permite seleccionar algunos routers para que no acepten la publicación BGP maliciosa hecha por el atacante y lograr de ese modo que tengan las tablas BGP originales. Luego es cosa de enviar el tráfico por medio de éstos routers y llegará correctamente a destino.<br> <br> Traducción disponible en <a href="http://www.kriptopolis.org/revelan-mayor-agujero-seguridad-internet">Kriptópolis</a>.<br> <br> Articulo original en <a href="http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html">wired</a>.<br> <br> 1 Sep 2008 01:00:23 GMT http://www.iso27000.es La mayor fuente de información para la capacitación en materia de seguridad en el mundo, SANS, estará presente en Londres este otoño.<br> <br> La cumbre del Pen Testing y Ethical Hacking tendrá lugar el 17 de septiembre en el hotel Le Meridien de Picadilly y tiene por objeto ofrecer una completa exposición de pruebas de penetración y evaluaciones de vulnerabilidad reuniendo a los líderes de la industria y ayudando a las empresas para sacar el máximo partido de sus ensayos de penetración.<br> <br> Información completa y enlaces en <a href="http://www.infosec.co.uk/page.cfm/Link=416/t=m/trackLogID=954660_9ABB9A61E3">Infosec</a>.<br> <br> 1 Sep 2008 01:00:21 GMT http://www.iso27000.es La mayoría de las empresas de tamaño medio de los EE.UU. califican la seguridad de la información como una prioridad más alta que la reducción de los costes empresariales, de acuerdo a la investigación publicada esta semana por los servicios especializados de Arrow Electronics Inc.<br> <br> La encuesta a 200 empresas de los EE.UU. reveló que casi el 80 por ciento de las empresas califican la seguridad como una cuestión primordial de negocio, en comparación con el 69 por ciento que citó "la reducción de costes' y el 64 por ciento que apuntó a la mejora del servicio al cliente como su principal preocupación. <br> <br> Información completa y enlaces en <a href="http://www.darkreading.com/document.asp?doc_id=162162&f_src=darkreading_section_296">Darkreading</a>.<br> <br> 1 Sep 2008 01:00:20 GMT http://www.iso27000.es Howard Schmidt ha sido nombrado recientemente como presidente del Foro para la Seguridad de la Información (ISF). <br> <br> ISF comprende alrededor de 300 empresas y organismos del sector público y tiene por objeto reunir el conocimiento colectivo y compatir la experiencia conjunta con el fin de combatir las amenazas de seguridad de la información y resolver cuestiones relacionadas con la gestión del riesgo. Schmidt aportará casi cuarenta años de experiencia adquirida en la defensa, las fuerzas del orden y la seguridad corporativa. <br> <br> Schmidt trabajó como CISO y responsable de estrategia de seguridad en eBay y fue jefe de oficiales de seguridad para Microsoft Corp, además de haber pasado 31 años en el gobierno local y federal de los EEUU. Fue vicepresidente de la Junta para la protección de infraestructuras críticas del gobierno y asesor especial para la seguridad del ciberespacio de la Casa Blanca. Más recientemente, fue jefe de estrategía de los EE.UU. para su programa de colaboración en CERTdel Consejo Nacional de Seguridad Cibernética del Departamento de Seguridad de la Patria. <br> <br> "Es un gran privilegio ser el primer Presidente del ISF, y tengo mucho interés en trabajar con los profesionales que han dedicado su esfuerzo a llevar al ISF a la posición que ocupa hoy en día", declaró Schmidt.<br> <br> "Voy a tratar de ayudar a una mayor concienciación en los retos a los que se enfrenta la seguridad de la información hoy en día - desde el aumento de la delincuencia cibernética a la creciente preocupación del cumplimiento legal. <br> <br> Las empresas tienen que adoptar una perspectiva de gestión del riesgo y reconocer que la seguridad de la información está impulsada por el negocio y no por la crisis. " <br> <br> "Estamos encantados de que Howard Schmidt haya aceptado esta importante posición en la ISF", anunció Kim Aarenstrup, consejero delegado del ISF y que encabeza el grupo de la seguridad de la información en el grupo A.P. Moller - Maersk. <br> <br> "Es evidente que la incomparable experiencia y el conocimiento de Howard aportarán una importante contribución al futuro del ISF y de sus miembros. También conducirá nuestros ambiciosos planes para ampliar la escala y el alcance del ISF en base a nuestra composición actual en Europa y Escandinavia desde las Américas al Medio Oriente, India, África, Australia y la Cuenca del Pacífico. "<br> <br> Nota de prensa en <a href="https://www.securityforum.org/index.htm">ISF</a>.<br> <br> Entrevistas al representante para ISF España y Latam y las actividades de Teléfonica en el ISF en nuestra <A href="http://www.iso27000.es/articulos.html">sección de artículos y podcast<br> <br> 1 Sep 2008 01:00:19 GMT http://www.iso27000.es Durante el mes de junio se celebró por primera vez el Día de La Acreditación Internacional. El objetivo fue aumentar el grado de conciencia sobre la importancia de la acreditación en todo el mundo. Bajo el lema de &ldquo;confianza", durante el día se puso de relieve cómo la acreditación según normas reconocidas internacionalmente respalda la confianza en bienes y servicios.<BR><BR> La iniciativa, organizada por el IAF (International Accreditation Forum) y el ILAC (International Laboratory Accreditation Cooperation), fue aprobada durante su asamblea general conjunta llevada a cabo en octubre del año pasado, la que fue ampliamente apoyada por el UKAS. <BR><BR> Daniel Pierre y Thomas Facklam, presidentes de ILAC e IAF respectivamente, dijeron: &ldquo;A nivel nacional, la acreditación genera confianza en los servicios de la evaluación de la conformidad acreditados y en los resultados correspondientes. Internacionalmente, los acuerdos multilaterales establecidos por el ILAC y el IAF confirman y aumentan dicha confianza y elimina n la necesidad de re-evaluar los productos y servicios en cada país donde operan los proveedores.<BR><BR> Información completa en <a href="http://spain.irca.org/inform/issue18/IAD.html">Irca Inform</a>.<br> <br> 1 Sep 2008 01:00:16 GMT http://www.iso27000.es El 1 de Julio el IRCA lanzó el programa de certificación de auditores de sistemas de gestión de la continuidad de los negocios, desarrollado en conjunto con el Business Continuity Institute.<BR><BR> El programa está basado en la norma BS 25999, la primera norma en el mundo referente a la gestión de la continuidad de los negocios, la que tiene como objetivo ayudar a las organizaciones a minimizar los riesgos de interrupciones de las operaciones normales debido a incidentes adversos. La norma es particularmente importante para organizaciones del sector de las finanzas, transporte y sectores públicos donde la capacidad de seguir operando es esencial para la organización, sus clientes y partes interesadas. <BR><BR> Lyndon Bird, director técnico del Business Continuity Institute , dijo: &ldquo;Hoy, los negocios están operando en un ambiente global y cada vez más rápido, y enfrentando muchos riesgos potenciales. Como resultado de este hecho, la gestión de la continuidad de los negocios está cada vez más presente en las conversaciones de las altas gerencias, y, por lo tanto, habrá una gran demanda de auditores certificados como competentes para auditar sistemas de gestión de la continuidad de los negocios . <BR><BR> Información completa en <a href="http://spain.irca.org/inform/issue18/BS25999.html">Irca Inform</a>.<br> <br> Entrevista a Lindon Bird por el BCI en nuestra <A href="http://www.iso27000.es/articulos.html">sección de artículos y podcast<br> <br> 1 Sep 2008 01:00:09 GMT http://www.iso27000.es El Ministerio de Administraciones Públicas (MAP) representa a España en el nuevo consorcio europeo Stork en el que 13 países de la Unión Europea más Islandia trabajan para que los DNI electrónicos, implantados en nuestro país en 2006, puedan utilizarse en todos los Estados de la UE.<BR><BR> El consorcio Stork (Secure Identity Across Borders Linked-Identidad segura a través de las fronteras) se prolongará durante tres años y será cofinanciado por la Comisión Europea en su estrategia de crear servicios paneuropeos de administración electrónica.<BR><BR> El MAP colabora con el consorcio de forma activa, ya que lidera trabajos de definición y desarrollo de protocolos y datos, necesarios para intercambiar para aceptar los DNI electrónicos de los países miembros. Además, el MAP encabeza programas piloto para utilizar los identificadores en casos como cambio de domicilio y movilidad de estudiantes.<BR><BR> Dentro del consorcio Stork se realizarán una serie de pruebas que permitirán la aceptación de los DNI electrónicos en servicios de administración electrónica en los Estados miembro. Así, los ciudadanos, empresas y funcionarios podrán utilizar sus DNIe de manera segura en cualquier país de la Unión Europea, lo que también facilitará el libre movimiento de personas y empresas en la UE.<BR><BR> Información completa en <a href="http://www.elpais.com/articulo/internet/DNI/electronico/podra/usar/paises/europeos/elpeputec/20080819elpepunet_6/Tes">El País</a>.<br> <br> 1 Sep 2008 01:00:04 GMT http://www.iso27000.es Promisec ha lanzado una enciclopedia en línea de amenazas en seguridad de red interna. La enciclopedia, que puede ser vista por cualquier persona de forma gratuita, se actualiza continuamente con explicaciones detalladas de las últimas amenazas. <BR><BR> Además, el sitio contiene gráficos mensuales que muestran cómo la tendencia en los riesgos internos ha cambiado en los últimos años, consejos de seguridad internas y trucos, artículos sobre los últimos incidentes de seguridad interna, un panorama de las amenazas internas, y una amplia gama de otros recursos.<BR><BR> Acceso a la enciclopedia en <a href="http://www.promisec.com/encyclopedia/">Promisec</a>.<br> <br> 20 Aug 2008 22:52:59 GMT http://www.iso27000.es El mes que viene y de mano de un investigador se va liberar una nueva herramienta de código abierto destianada a llevar a cabo ataques de phishing internos. <BR><BR> La herramienta de código abierto está destinada a pruebas de penetración y permite personalizar los ataques de phishing en las organizaciones.<BR><BR> Los ataques de phishing se están convirtiendo cada vez más en el método de elección de los hackers para infectar y/o infiltrarse en una organización específica. <BR><BR> Estos ataques pueden ser inquietantemente convincentes, a menudo utilizando idénticos pies de página en mensajes y direcciones IP como las utilizadas dentro de una organización, y pueden fácilmente llevar a usuarios desprevenidos a la apertura de vínculos maliciosos. La semana pasada, un spear "phishing" en Nueva Zelanda desde la Universidad de Otago dio lugar a aproximadamente 1,55 millones de spams generados desde un servidor de la universidad en 60 horas.<BR><BR> Perrymon dará a conocer la nueva herramienta de Spear phishing el próximo mes en la Conferencia OWASP, donde será incluido en el OWASP LiveCD, dentro del conjunto de herramientas de pruebas de seguridad. <BR><BR> Noticia completa en <a href="http://www.darkreading.com/document.asp?doc_id=161965&f_src=darkreading_section_296">Darkreading</a>.<br> <br> 20 Aug 2008 22:52:59 GMT http://www.iso27000.es El nombre &ldquo;ekoparty" significa "Electronic Knock Out Party", Es una Conferencia Anual de Seguridad Informática, única en su tipo, en América del Sur. Se realiza en la ciudad de Buenos Aires donde diferentes especialistas de toda Latinoamérica y de otros países tienen la oportunidad de involucrarse con técnicas del &ldquo;estado-del-arte", vulnerabilidades y herramientas en un ambiente tranquilo y de intercambio de conocimientos.<BR><BR> Este evento nació del Underground de IT, donde consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds y entusiastas de la tecnología se reúnen y disfrutan dos días de los descubrimientos másimportantes en seguridad del año - además de disfrutar del mejor clima del continente.<BR><BR> Las diferencias entre la ekoparty y otras conferencias de seguridad informática existentes en Argentina son:<BR><BR> · Técnicas de primera mano presentadas en español e inglés<BR> · Sin exposiciones comerciales de vendedores o fabricantes.<BR> · Días de entrenamiento con los profesionales en seguridad más importantes.<BR> · Audiencia técnica especializada<BR> · Relevancia internacional<BR> · Ambiente relajado<BR> · Promoción de red socia<BR><BR> Información completa y enlaces disponibles desde <a href="http://seguridad-informacion.blogspot.com/2008/08/ekoparty-security-conference-4th.html">CRYPTEX</a>.<br> <br> 20 Aug 2008 22:53:10 GMT http://www.iso27000.es Los políticos alemanes pidieron el martes un endurecimiento de las leyes de privacidad después de que las autoridades revelaran que la información personal y financiera de millones de habitantes del país estaba fácilmente disponible en Internet.<BR><BR> El escándalo sobre el tráfico ilegal de cuentas bancarias y datos telefónicos ocurre sólo meses después de que otros casos de espionaje en corporaciones alemanas hicieran sonar las alarmas.<BR><BR> Este nuevo debate ha surgido tras las informaciones de que un centro de teleoperadores alertó a las autoridades de un problema con las prácticas de recogida de datos de su compañía, al transferir datos de unas 17.000 direcciones y detalles de cuentas bancarias en el estado de Schleswig-Holstein.<BR><BR> Deutsche Telekom, la mayor empresa de telecomunicaciones de Europa, conmocionó a los clientes a principios de este año al revelar que había revisado ilegalmente grabaciones de llamadas telefónicas en 2005, mientras que los supermercados Lidl estaban siendo investigados tras ser acusados de vigilar a sus empleados.<BR><BR> Información completa en <a href="http://es.noticias.yahoo.com/rtrs/20080819/tts-alemania-privacidad-ca02f96.html">noticias yahoo</a>.<br> <br> 20 Aug 2008 22:52:58 GMT http://www.iso27000.es Militar de carrera, Pedro Eugenio Sebastián Hidalgo ha tenido una trayectoria profesional vinculada con el Ministerio de Defensa, en diversos destinos, entre ellos el Centro Conjunto de Inteligencia y Guerra Electrónica, Gabinete Criptográfico Central del Estado Mayor de la Defensa, así como en la Agregaduría de Defensa de la Embajada de España en Roma y en el Colegio de Defensa de la OTAN en Roma. Su larga experiencia en las Fuerzas Armadas la ha desarrollado en el campo de la Inteligencia Electrónica y de Comunicaciones, así como en la Criptología y la Seguridad en las Comunicaciones. Es director de Seguridad por la Universidad Pontificia de Comillas (ICAI-ICADE).<BR><BR> "Las empresas de ingeniería tienen un alto contenido en desarrollo, investigación e innovación y su principal amenaza es la pérdida o fuga de esos desarrollos, prototipos, patentes. adquiridos con el esfuerzo de muchos años, y que pueden causar no sólo pérdidas económicas, sino también importantes daños a la propia imagen de la empresa."<BR><BR> "El bienestar económico de las empresas depende cada vez más de su capacidad para salvaguardar sus secretos comerciales, entendiendo que tales informaciones son ajenas al conocimiento general del público y de las comunidades de negocios, educativas o científicas. Hay que tener en cuenta que en la actualidad el 80% del valor de cualquier empresa son los activos intangibles: patentes, marcas, colaboradores, suministradores, acervo profesional, fondo de comercio, accionistas, socios, etc."<BR><BR> "Los principales riesgos están en las innovaciones en el sector aeroespacial, defensa, energía solar, automoción, desarrollos de software en la ingeniería naval, y en especial en los conocimientos de las propias personas."<BR><BR> Acceso a la entrevista completa en <a href="http://www.borrmart.es/articulo_seguritecnia.php?id=1814&numero=342">Seguritecnia</a>.<br> <br> 20 Aug 2008 22:52:57 GMT http://www.iso27000.es A mes de Agosto de 2008, hay 4.698 organizaciones con certificación acreditada en ISO 27001 en el mundo, según el conocido registro internacional de <A href="http://www.iso27001certificates.com">International Register of ISMS Certificates</A>.<BR><BR> En esta actualización del registro ya se han eliminado las certificaciones registradas en BS 7799 que se no hayan renovado bajo ISO 27001.<BR> <BR>Encabeza la lista, como desde hace años, Japón, con 2.733 certificaciones, le sigue India con 391 y el Reino Unido con 358.<BR> <BR> Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:<BR> <BR> España: 25<BR> México: 8<BR> Colombia: 7.<BR> Chile: 3.<BR> Perú: 3.<BR> Uruguay: 1.<BR> <BR> La nueva posición de España se ha visto impulsada por un importante número de certificaciones realizada y comunicada al registro por DNV.<BR><BR> En el caso de Argentina, han desaparecido las 2 certificaciones de pasados meses tras la actualización a sólo certificados ISO 27001.<BR><BR> 20 Aug 2008 22:52:56 GMT http://www.iso27000.es La seguridad es sólo una de una serie de consideraciones que un director de proyecto tiene que hacer frente cuando desarrolla un proyecto para la empresa. ¿Qué herramientas y habilidades necesita un profesional en seguridad para garantizar que la seguridad se incluye de forma oportuna y eficaz? <br> <br> Para responder a esta pregunta se identifican en este trabajo importantes habilidades, conocimientos fundamentales y buenas prácticas, por ejemplo, evaluación de riesgos de seguridad, que cuando se combinan son convincentes argumentos para persuadir a los directores de proyectos de hornear la seguridad en sus proyectos.<br> <br> Acceso a la descarga del trabajo de Alex Clayton en <a href="http://www.sans.org/reading_room/whitepapers/leadership/32863.php">Sans.org</a>.<br> <br> 20 Aug 2008 22:52:56 GMT http://www.iso27000.es El Open Source Security Testing Methodology Manual (OSSTMM) es una metodología objeto de revisión para la realización de pruebas de seguridad y métricas. El casos de prueba de OSSTMM se dividen en cinco canales (secciones) que de forma conjunta prueban: la información y los datos de control, los niveles de concienciación del personal de seguridad, niveles de control del fraude e ingeniería social, informática y redes de telecomunicaciones, dispositivos inalámbricos, dispositivos móviles, la seguridad física controles de acceso, seguridad los procesos y las ubicaciones físicas, como edificios, los perímetros, y las bases militares.<br> <br> Más información, acceso a descargas o convertirse en miembro desde <a href="http://www.isecom.org/osstmm/">isecom.org</a>.<br> <br> 20 Aug 2008 22:52:55 GMT http://www.iso27000.es <a href="http://adeona.cs.washington.edu/">Adeona</a> es un servicio abierto y gratuito, patrocinado por la Universidad de Washington, para realizar un seguimiento de la localización de un ordenador portátil perdido o robado.<br> <br> A diferencia de otros servicios, éste es totalmente gratuito y se basa en protocolos abiertos y documentados.<br> <br> Además la aplicación realiza un notable esfuerzo para garantizar la privacidad de los datos, de forma que nadie excepto el propietario del ordenador pueda acceder a la información registrada.<br> <br> Artículo completo y enlaces en <a href="http://seguridad-informacion.blogspot.com/2008/08/adeona-servicio-gratuito-para.html">CRYPTEX</a>.<br> <br> 20 Aug 2008 22:52:54 GMT http://www.iso27000.es La Asociación de Usuarios de Bancos, Cajas y Seguros, a través de Vicent Bellido, abogado de Castellón y miembro del equipo jurídico de ADICAE ha obtenido una de las primeras sentencias en España sobre fraude a consumidores en banca electrónica. La resolución permitirá a los socios de ADICAE afectados recuperar de Bancaja más de 6.000 euros estafados por el procedimiento de &ldquo;Phishing".<br> <br> Los socios afectados detectaron la realización de dos transferencias bancarias a través de internet a terceras personas sin su consentimiento. Ante dicho fraude procedieron a comunciar lo ocurrido a la entidad interponiendo asimismo una denuncia ante la Policía. Después presentaron una reclamación ante el Servicio de Atención al Cliente de Bancaja que no atendió a la reclamación de devolución del importe sustraído por entender que existía negligencia por parte de los usuarios en la custodia de las claves. <br> <br> ADICAE llevó el caso ante los Tribunales, obeteníendose una sentencia que salvaguarda los intereses de los consumidores, haciendo responsable objetiva a la entidad bancaria condenándola como la única responsable. El negocio de la banca por Internet, permite a las entidades un ahorro económico muy significativo. Sin embargo, tan solo invierten en su propia seguridad informática y no en la de sus clientes a quienes pretenden imponer toda la responsabilidad en caso de fraude.<br> <br> Artículo completo en <a href="http://www.cronicalocal.info/noticia.asp?ref=244139">cronicallocal.info</a>.<br> <br> 20 Aug 2008 22:52:53 GMT http://www.iso27000.es La filtración afecta a cuatro canciones del álbum 'No Line On The Horizon' que será comercializado en noviembre, incluyendo el primer single 'Sexy Boots'.<br> <br> El mecanismo de filtrado a la Red resulta de lo más cómico. Dicen que Bono escuchaba a toda pastilla la maqueta del nuevo disco, en el equipo de sonido de su casa en el sur de Francia y un avispado transeúnte que pasaba por allí las grabó y las colgó en Internet. <br> <br> Artículo completo en <a href="http://www.theinquirer.es/2008/08/17/canciones-del-proximo-disco-de-u2-llegan-a-internet-por-la-indiscrecion-de-bono.html">theinquirer.es</a>.<br> <br> 20 Aug 2008 22:52:52 GMT http://www.iso27000.es El libro ofrece de una forma sencilla y práctica una guía con ejercicios para cualquier persona con responsabilidad para la planificación y ejecución de la gestión de continuidad del negocio (BCM).<br> <br> Este libro "how-to 'l es una guía para las operaciones con información privilegiada para llevar a cabo con éxito ejercicios para la continuidad del negocio. Permite probar y evaluar la eficacia de su actual capacidad de gestión de incidentes y los planes de recuperación en las empresas. <br> <br> Partiendo de la creación de un programa de ejercicios que se adapte a sus circunstancias, a través de la planificación y ejecución de un ejercicio, con la presentación y evaluación, el libro utiliza casos de estudio y puntos de aprendizaje y proporciona documentos muestra de planificación para apoyar el cumplimiento de BS 25999, el estándar de BCM.<br> <br> Información completa de <a href="www.bsigroup.com/bip2143 ">bip2143</a> junto a enlaces de descarga gratuitos del índice de contenidos y primer capítulo.<br> <br> 20 Aug 2008 22:52:49 GMT http://www.iso27000.es En el marco de la segunda edición del bSecure Conference, ante más de 120 asistentes, Jesús Torrecillas, consultor de Seguridad de Cemex, dijo en su ponencia: &ldquo;Si no entendemos que nuestra labor es la de invertir en seguridad y no ser 'compradores' entonces mejor dediquémonos a vender churros".<br> <br> Asimismo, advirtió que el oficial de seguridad es visto como un pistolero venido a más debido a que no sabe vender el modelo de seguridad a la alta dirección, la cual sólo entiende de retornos de inversión y de tranquilidad en el negocio.<br> <br> Como resultado de más de 15 años de experiencia en seguridad empresarial, Torrecillas ha identificado los 10 errores más frecuentes que cometen los directivos en este terreno.<br> <br> Articulo completo en <a href="http://netmedia.info/articulo-31-8133-1.html">netmedia.info</a><br> <br> 13 Aug 2008 01:03:05 GMT http://www.iso27000.es ISO acaba de publicar recientemente la combinación de libro y CD dando a las organizaciones consejos de cómo hacer uso integrado de estándares de sistemas de gestión. <br> <br> El uso integrado de sistemas de gestión destila la experiencia y los conocimientos de un grupo de trabajo ISO compuesto por 16 miembros procedentes de organizaciones empresariales que representan a una amplia gama de países y sectores, así como de los organismos de normalización y del mundo académico.<br> <br> Información completa y detalles de compra de la publicación en <a href="http://www.iso.org/iso/pressrelease.htm?refid=Ref1144">iso.org</a><br> <br> 13 Aug 2008 01:02:57 GMT http://www.iso27000.es Las tradicionales herramientas de control y métodos nativos son útiles para diagnosticar problemas en un determinado punto en el tiempo, pero por lo general no se puede elevar a toda la empresa. La auditoría de los agujeros que aparecen nos ciegan de las actividades esenciales que se realizan en los sistemas que contienen nuestros más codiciados secretos comerciales, listas de clientes, propiedad intelectual, y demás.<br> <br> En los últimos años, herramientas nativas de auditoría, tales como SQL Profiler, trazan las funciones, y se desencadena por todo lo que tenemos. Pero ya no son el único juego disponible. Una nueva categoría de tecnología ha surgido que faculta a las empresas a "ver" e inmediatamente analizar lo que está pasando con los datos sensibles. Esta nueva tecnología, denominada monitorización de seguimiento de actividad (DAM), tiene la capacidad de supervisar los datos sensibles cuando se accede a ellos desde los servidores de datos y analizar la actividad para determinar si el usuario, o el acceso particular, tiene el potencial de poner en peligro los datos o crear situaciones de no conformidad.<br> <br> Articulo completo de Michael Semaniuk en <a href="http://www.net-security.org/article.php?id=1161&p=1">Net Security</a><br> <br> 13 Aug 2008 01:02:56 GMT http://www.iso27000.es Los últimos resultados de la encuesta anual de Databarracks sobre Backup y Recuperación indican que, en general, el 91% de las empresas afirman estar seguros en su solución de copia de seguridad. Tras realizar investigaciones adicionales, el 74% de estas empresas no utilizan el cifrado o la replicación y no tienen copias de seguridad externas y confían a pesar de saltarse estos pasos.<br> <br> Además, el 67% todavía considera que su solución de copia de seguridad es segura a pesar de que no mantienen o comprueban los registros de las copias de seguridad y no realizan pruebas de restauración para asegurarse de que funcionan correctamente. <br> <br> La encuesta también revela que el 27% de la pérdida de datos en las empresas es causada por errores humanos, el 26% por fallo en el hardware, y el 19% por fallo en el software. En informes anteriores de 2006 se indica que el fallo causado por el hardware provocó la mayor parte de la pérdida de datos con un 61%, mientras que el error humano sólo representó el 2%.<br> <br> Noticia completa en <a href="http://www.net-security.org/secworld.php?id=6406">Net Security</a><br> <br> 13 Aug 2008 01:02:55 GMT http://www.iso27000.es El fabricante de guitarras Fender Musical Instruments Europa está reforzando su plan de continuidad del negocio para apoyar su expansión europea.<br> <br> La empresa, que tiene su sede principal en Londres, proporciona las aplicaciones para todas las empresas europeas que cubre en el Reino Unido, Francia, Alemania, España y Suecia. <br> <br> Dave Skorecki, administrador de la infraestructura europea en Fender Europa, dijo que la compañía tenía que reevaluar su continuidad del negocio después de diez años de crecimiento. Con este fin, la compañía está utilizando los servicios de datacentre de TelecityGroup para garantizar que el equipo se mantiene durante las 24 horas del día.<br> <br> Fuente de la noticia en <a href="http://www.computerweekly.com/Articles/2008/08/06/231761/guitar-maker-fender-signs-business-continuity-plan.htm">Computerweekly</a><br> <br> 13 Aug 2008 01:02:54 GMT http://www.iso27000.es El Instituto Nacional de Tecnologías de la Comunicación (INTECO), dentro del marco del Plan Avanza, ha recibido, por parte de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), dependiente del Ministerio de Industria, Turismo y Comercio (MYTIC), una encomienda de Gestión para poner en marcha el proyecto destinado a fomentar y promover tanto la implantación como la certificación de Sistemas de Gestión de la Seguridad de la Información (SGSI), en la PYME española.<br> <br> Este proyecto se realizará en colaboración con el Consejo Superior de Cámaras de Comercio, Industria y Navegación de España y está orientado a la consecución de tres objetivos principales:<br> <br> * Concienciación y sensibilización de las PYMES en los Sistemas de Gestión de la Seguridad de la Información.<br> * Implantación de un SGSI y Certificación del sistema según la normativa ISO 27001.<br> * Aumentar la productividad y competitividad de las empresas beneficiarias del programa.<br> <br> A través del <a href="https://sgsi.inteco.es">nuevo portal</a> se podrán consultar todos los detalles relativos a dicho proyecto así como solicitar la participación en el mismo y obtener información relativa a los Sistemas de Gestión de la Seguridad de la Información.<br> <br> Noticia completa en <a href="http://www.inteco.es/Prensa/Actualidad_INTECO/nuevo_portal_SGSI">INTECO</a><br> <br> 13 Aug 2008 01:02:53 GMT http://www.iso27000.es El aspecto de la economía puede parecer sombrío pero no ha detenido a tres empresas de seguridad al lanzamiento de seguridad Web como servicio (SaaS) y la próxima generación de anti-malware software en la escena. <br> <br> Curiosamente, dos de las empresas son empresas de servicios de seguridad Web que fueron fundadas por antiguos ejecutivos de la empresa de seguridad de correo electrónico CipherTrust, que fue adquirida por Secure Computing hace más de un año.<br> <br> Noticia completa en <a href="http://www.darkreading.com/document.asp?doc_id=160763&f_src=darkreading_section_296">Dark Reading</a><br> <br> 13 Aug 2008 01:02:52 GMT http://www.iso27000.es Habitualmente se hace necesario demostrar a la Dirección de una empresa los retornos de inversión que puede suponer el proceso de implantación de una norma como ISO 27001 y se hace complicado encontrar información actualizada y útil que permita demostrar que tipo de incidentes han sucedido y que controles hubieran evitado o mitigado el impacto de haber estado implantados en una empresa.<br> <br> Efortresses pone a disposición en su página web de enlaces útiles ordenados por año en su apartado <a href="http://www.efortresses.com/welcome.htm">ISO27001 to Security Breaches Matrix</a><br> <br> Otro enlace útil en este sentido y en refencia a la pérdida de datos la encontramos en la base de datos de código abierto <a href="http://datalossdb.org/">DataLossDB</a>, proyecto de investigación encaminado a conocer y documentar la pérdida de datos informada por incidentes en todo el mundo. El esfuerzo es ahora una comunidad, con el paso a OSF, y se basa en las contribuciones de los usuarios para crecer y mantener la base de datos.<br> <br> 13 Aug 2008 01:02:51 GMT http://www.iso27000.es El Centro de Métrica es un foro abierto dedicado a mejorar el uso eficaz y eficiente de las métricas para medir, analizar y mejorar la gestión empresarial, gestión de riesgos y el cumplimiento legal. Una lista de correo para la comunidad se mantiene y administra por SecurityMetrics.org.<br> <br> El Centro de Métricas está implantado y administrado por PlexLogic. Metrics Center ofrece dos servicios iniciales para conectar personas, información, análisis concretos. <br> <br> La misión de Metrics Center es conectar personas, información y análisis con el fin de transformar datos en conocimiento, acciones y, en última instancia valor. <br> <br> Metrics center dispone de un catálogo de métricas sobre estándares como PCI, NIST o ISO/IEC 27002.<br> <br> Enlace al servicio disponible en <a href="http://www.metricscenter.org/index.php/plexlogicmetricviewer">metricscenter.org</a><br> <br> 13 Aug 2008 01:02:50 GMT http://www.iso27000.es Un nuevo software de código abierto desarrollado en el MIT (el Instituto Tecnológico de Massachussets) ayudará a apaciguar los miedos de los pacientes sobre el acceso a sus datos privados, facilitando el uso de dichos datos para la investigación médica.<br> <br> Un equipo de investigadores de dicho instituto ha creado un programa informático capaz de borrar de manera automática datos de los registros médicos que podrían identificar a los pacientes, al tiempo que deja intacta la información médica relevante.<br> <br> Artículo y enlace a noticia disponible en <a href="http://www.tendencias21.net/index.php?action=breve&id_article=1000236">Tendencias 21</a><br> <br> 13 Aug 2008 01:02:48 GMT http://www.iso27000.es Este artículo de Sergio Hernando tiene como tema estrella un asunto que está bastante de moda en los últimos tiempos: el Cloud Computing..<br> <br> Artículo completo disponible en <a href="http://www.sahw.com/wp/archivos/2008/07/22/evaluando-las-mejoras-en-la-seguridad-que-puede-aportar-el-cloud-computing/">Blog de Sergio Hernando</a><br> <br> 1 Aug 2008 01:58:27 GMT http://www.iso27000.es La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) del gobierno de Venezuela, tiene publicada en su site dos documentos relacionados con su trabajo en lo que respecta a la seguridad de la información:<br> <br> &raquo; Guía para el Diseño e Implantación de Arquitecturas Tecnológicas de Seguridad Informática en el Sector de la Administración Pública.<br> <br> Documento guía, contenido de los estándares tecnológicos de seguridad informática y de los lineamientos para el diseño y construcción de una Arquitectura Tecnológica de Seguridad Informática efectiva y normalizada al nivel del sector de la administración pública. <br> <br> &raquo; Políticas de Seguridad Informática.<br> <br> Este manual incluye casi todas las políticas ahora consideradas parte de la normal profesional no militar en seguridad informática.<br> <br> Noticia completa y enlaces a las descargas en <a href="http://seguridad-informacion.blogspot.com/2008/07/polticas-de-seguridad-informtica-gua.html">CRIPTEX</a><br> <br> 1 Aug 2008 01:58:26 GMT http://www.iso27000.es Interesante artículo de Javier Cao Avellaneda sobre los principales documentos que aparecen en un SGSI.<br> <br> Artículo completo disponible en <a href="http://sgsi-iso27001.blogspot.com/2008/07/como-resumen-al-documento-que-ya-indiqu.html">Blog SGSI de Javier Cao</a><br> <br> 1 Aug 2008 01:58:25 GMT http://www.iso27000.es CNCA es la administración para la certificación y acreditación de personas en la república china y ha puesto a libre disposición el documento ISO/IEC 27006.<br> <br> Con el nombre completo de "ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems", esta norma internacional recoge los requisitos para la acreditación de organismos que certifican sistemas de gestión de seguridad de la información. <br> <br> El enlace de descarga en PDF disponible desde <a href="http://www.cnca.gov.cn/cnca/rdht/sactc261/zxtz/images/20080325/3988.pdf">CNCA </a><br> <br> 1 Aug 2008 01:58:24 GMT http://www.iso27000.es www.iso27000.es ha realizado una entrevista a José Miguel González, gerente de seguridad lógica de Telefónica España.<br> <br> Entre varias cuestiones relacionadas con la seguridad, José Miguel nos indica la importancia de pertenecer a asociaciones profesionales, en especial, el interés de Telefónica en pertenecer al Information Security Forum (ISF), prestigiosa organización dedicada a la seguridad de la información, que tiene entre sus socios a más de 300 de las mayores empresas del mundo. Con él hemos hablado de los objetivos y actividades de Telefónica en el ISF.<br> <br> El podcast está disponible en nuestra sección de <a href="http://www.iso27000.es/download/isf_telefonica.mp3">Artículos y Podcasts. </a><br> <br> 1 Aug 2008 01:58:23 GMT http://www.iso27000.es El foro cuenta con más de 180 miembros de todo el mundo y de distintos ámbitos de actuación. La pertenencia a este foro supone el total reconocimiento internacional del Equipo gubernamental español. Con su ingreso, el CCN-CERT compartirá objetivos, ideas e información sobre seguridad informática de forma global.<br> <br> El CCN-CERT (Equipo de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia) ha sido admitido como miembro de pleno derecho del Forum de Respuesta a Incidentes y Equipos de Seguridad Informática, FIRST (Forum of Incident Response and Security Teams). Este es el primero y más importante de los foros existentes en todo el mundo, dado que reúne a más de 180 miembros de Europa, América, Asia y Oceanía, procedentes del entorno gubernamental, económico, educativo, empresarial y financiero.<br> <br> Noticia completa en <a href="https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&catid=62&id=1632:el-ccn-cert-obtiene-su-ingreso-en-el-first&Itemid=86">CCN-CERT</a><br> <br> 1 Aug 2008 01:58:22 GMT http://www.iso27000.es Dado que en ocasiones la insuficiencia de los sistemas de tecnología de información (TI) o incluso un corto e insuficiente alcance de un Sistema de Gestión puede obstaculizar el desempeño y la competitividad de las organizaciones o exponerlas al gravoso riesgo de incumplir la legislación vigente - entre otros muchos riesgos -, la recién publicada norma ISO/IEC 38500 ha llegado para establecer a nivel internacional una serie de directrices, básicas o generalistas, de orientación a la alta dirección en relación con el buen gobierno corporativo de TI.<br> <br> ISO/IEC 38500:2008 fija los estándares de una buena gestión de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, utilizados de manera cotidiana por una organización, suelen estar gestionados tanto por especialistas en TI internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.<br> <br> Artículo completo en <a href="http://www.sigea.es/index.php?option=com_content&task=view&id=129&Itemid=40">Boletín Sigea</a><br> <br> 1 Aug 2008 01:58:20 GMT http://www.iso27000.es El sello Europrise indica a los usuarios de la web cuáles son los sitios que no rompen las reglas con respecto al uso y almacenamiento de datos de carácter personal o del comportamiento en línea.<br> <br> La Comisión Europea concedió el 14 de Julio su primer "sello de aprobación" en privacidad a un servicio en línea, allanando el camino para los negocios electrónicos en toda Europa mediante la certificación de sus prácticas de protección de la información personal de los usuarios. El sello de privacidad, denominado Europrise (European Seal privacidad), es un detallado programa de pruebas de conformidad diseñado para certificar que un servicio en línea cumple con todas las leyes y reglamentos internos de la UE relativos al manejo de los datos de clientes. Noticia completa en <a href="http://www.darkreading.com/document.asp?doc_id=158905&f_src=darkreading_section_296">Darkreading</a><br> <br> 17 Jul 2008 01:05:24 GMT http://www.iso27000.es Científicos japoneses han puesto a punto el primer ADN artificial del mundo, posibilitando así el desarrollo de un bioordenador potencialmente capaz de representar la información a través de la reacción de moléculas orgánicas: en lugar de ceros y unos, la codificación se realizaría en función del estado de la molécula. <br> <br> Aunque los bioordenadores son en la actualidad meramente teóricos, la cantidad de información que podrían almacenar sería un billón de veces mayor que la de un supercomputador convencional, mientras que la velocidad de cálculo podría estar un millón de veces por encima.<br> <br> Noticia de Juan R. Coca. en <a href="http://www.tendencias21.net/Cientificos-japoneses-desarrollan-el-primer-ADN-artificial-del-mundo_a2431.html">tendencias21</a><br> <br> 17 Jul 2008 01:04:37 GMT http://www.iso27000.es El pasado día 10 de julio, saltaba la noticia en varios medios de comunicación; "La CE pide a España información "lo antes posible" sobre la aplicación de la norma comunitaria contra ciberataques". La norma comunitaria a la que se hace referencia en esta noticia, no es otra que la Decisión Marco 2005/222/JAI [PDF] del Consejo de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información y que debería haber sido aplicada, antes del 16 de marzo de 2008.<br> <br> Fernando Acero analiza en un <a href="http://www.kriptopolis.org/las-prisas-de-europa">completo artículo</a> el marco regulatorio europeo en este sentido.<br> <br> 17 Jul 2008 01:04:41 GMT http://www.iso27000.es Este documento, escrito por Ginger Taylor, se inicia con una reseña histórica de ITIL y, a continuación, pasa a una visión general de alto nivel de la versión 3 con especial atención a la Gestión de Seguridad de la Información. <br> <br> Este documento se ocupará de cómo este proceso ha madurado y cómo las organizaciones pueden garantizar mejor la confidencialidad, integridad y disponibilidad de sus servicios de TI mediante la aplicación del marco ITIL.<br> <br> Descarga del documento en pdf desde <a href="http://www.infosecwriters.com/text_resources/pdf/GTaylor_ITIL.pdf">Infosecwriters</a><br> <br> 17 Jul 2008 01:04:45 GMT http://www.iso27000.es La industria en torno a los centros de datos crece rápidamente a nivel mundial y son ya numerosos los profesionales y organizaciones que buscan ayuda para comprender mejor lo que disponen en sus Centros de Procesamiento de Datos (CPDs) y lo que deben solicitar a la hora de abordar un mantenimiento, una renovación o incluso la construcción de nuevas instalaciones según modelos de mayor eficiencia energética, operatividad y disponibilidad..<br> <br> En base a estas consideraciones y con objeto de reducir la clara desconexión actual entre lo denominado &laquo;verde&raquo; y el ahorro real de energía, el CAT (Círculo de las Artes y la Tecnología) ha iniciado con el apoyo de organizaciones internacionales líderes en esta materia, una iniciativa que permitirá impulsar unas &ldquo;buenas prácticas" en relación a la construcción y mantenimiento de Centros de Procesamiento de Datos eficientes, también denominados &ldquo;Green Data Centers".<br> <br> Entre los estándares considerados para este proyecto estarán la ISO/IEC 20000, ISO/IEC 27001 o TIA 942, además de diversos estándares de cableado y fabricación de componentes y materiales y mutliples documentos relacionados aportados por los colaboradores en esta iniciativa.<br> <br> El (CAT) es un Centro de Excelencia promovido por el Ministerio de Industria Turismo y Comercio como plataforma de desarrollo de la Sociedad del Conocimiento a través del desarrollo de programas y proyectos vinculados al uso de las Tecnologías de la Información y Comunicación (TIC).<br> <br> Descarga <a href="http://www.caytec.es/GDC.pdf"> presentación CAT sobre GDC</a><br> <br> Próximo evento CAT <a href="http://www.caytec.es/Agenda_Alcazar_19_Julio.pdf">sábado 19 de Julio </a> para profesionales dentro del <a href="http://www.caytec.es/triptico Alcazar.pdf">programa general de Noche de Luna</a>.<br> <br> 17 Jul 2008 01:26:54 GMT http://www.iso27000.es En el marco del taller nacional las Tecnologías de la información y el aseguramiento de datos personales en el sector público mexicano, Websense en colaboración con el Instituto Federal de Acceso a la Información Pública, informó que según el estudio de Web@Work 2007 el 56% de las empresas en nuestro país no cuentan con una solución para proteger su información.<br> <br> El mencinado taller nacional tuvo como objetivo principal la creación de un marco de referencia en seguridad, para resguardar la información confidencial de las personas físicas y morales, evitando el riesgo de pérdidas tales como datos confidenciales, propiedad intelectual, secretos comerciales y cualquier información regulada que se pueda perder a través de Internet.<br> <br> Noticia completa en <a href="http://bsecure.com.mx/articulos.php?id_art=6647&id_sec=57">Bsecure</a>.<br> <br> 17 Jul 2008 01:04:52 GMT http://www.iso27000.es La reunión del SC27 en Kyoto del pasado mes de Abril acordó revisar la norma ISO / IEC 27002:2005 y abrió el periodo de petición oficial de contribuciones.<br> <br> La fecha límite para las presentaciones al SC27 es el 1 de Septiembre y no se preveen cambios importantes de ISO 27002 en este momento, ya que el estándar es un método ampliamente utilizado y, por supuesto, tiene su conexión más directa con el Anexo A de ISO 27001 y cambios significativos podrían perturbar especialmente a los procesos de certificación. <br> <br> De todos modos, habrá que esperar al periodo de revisión y que se inicia en Chipre, según indica en su<a href="http://bitacora.palomallaneza.com/2008/07/13/27002-revisitada/">blog Paloma Llaneza</a>.<br> <br> 17 Jul 2008 01:04:55 GMT http://www.iso27000.es El informe final sobre los procedimientos de manipulación de datos en el Gobierno inglés ha sido publicado. En el informe se establece la forma de mejora de los compromisos del Gobierno en torno a la seguridad de la información y los datos, poniendo en marcha medidas de protección básicas, lograr una cultura de trabajo, mejorar la gestión y control del rendimiento.<br> <br> Acceso libre a los distintos documentos en pdf en <a href="http://www.cabinetoffice.gov.uk/reports/data_handling.aspx">Cabinet Office</a>.<br> <br> 17 Jul 2008 01:04:59 GMT http://www.iso27000.es El Banco de Crédito BCP introduce al mercado financiero boliviano el Creditoken, un pequeño dispositivo que hace virtualmente imposible vulnerar la seguridad de los usuarios de servicios bancarios en internet, previniendo el robo de información, identidad y estafa financiera.<br> <br> El BCP prevé que el uso del Creditoken sea empleado en las cerca de 50 mil transacciones por internet que registran semanalmente, y espera que incentive una mayor recurrencia a los servicios ofrecidos mediante internet por la entidad financiera.<br> <br> El dispositivo no tiene ningún costo al cliente, y sólo está previsto un cobro de un dólar al mes por el servicio mediante débito automático en cuenta.<br> <br> En su explicación, los expertos en banca por internet manifestaron que el Creditoken genera a través de una mini pantalla LCD, de manera aleatoria, una combinación distinta de seis números cada minuto.<br> <br> Al combinar los números con su PIN (clave personal de cuatro dígitos), el cliente estará habilitado para realizar transacciones con total seguridad a través de la página web del BCP, indicaron los expertos que presentaron la nueva tecnología.<br> <br> Estos servicios pueden ser también accedidos mediante cualquier dispositivo móvil vía WAP (Wireless Application Protocol, acceso a datos a través de teléfono móvil).<br> <br> Según destacaron los ejecutivos del BCP, el uso de estos dispositivos a nivel mundial ha mostrado descensos significativos en casos de estafas a usuarios de servicios bancarios por internet.<br> <br> Noticia completa <a href="http://www.opinion.com.bo/Portal.html?CodNot=33595&CodSec=4">Opinion.com.bo</a>.<br> <br> 17 Jul 2008 01:05:02 GMT http://www.iso27000.es La globalización, la interdependencia regional, la creciente regulación o el outsourcing, son algunos de los puntos que más afectan en la actualidad a un negocio, el cual a la vez sufre una gran presión por ser cada vez más competitivo. En este contexto se hace fundamental que las organizaciones estén preparadas para afrontar un eventual incidente que interrumpa su actividad.<BR><BR> Esta fue una de las cuestiones planteadas por Lyndon Bird, Director Técnico General del Business Continuity Institute (BCI) y reconocido especialista en todo el mundo, en la celebración de la Conferencia Internacional de Continuidad de Negocio celebrada el pasado mes de junio en Barcelona y en la que se presentó la versión en castellano de la norma internacional de continuidad de negocio BS25999.<BR><BR> BCI hace llegar a ISO27000.es este encuentro con Lyndon Bird y la <A href="http://www.iso27000.es/download/LyndonBird.pdf">exclusiva entrevista</A> <BR><BR> 10 Jul 2008 23:42:09 GMT http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf El PCI Security Standards Council anunció la inclusión de dos nuevos tipos de dispositivos en la industria de pagos para el programa PED, para reforzar la seguridad de la información del titular de la tarjeta. Los terminales de pago no atendidos (UPTs) y los módulos de seguridad del hardware (HSMs) ahora pueden sufrir una prueba rigurosa y un programa de aprobación para garantizar que cumplan con las normas de la industria para garantizar la confidencialidad de los datos sensibles en el pago con tarjeta durante cualquier punto de la transacción.<BR><BR> El Consejo también conservará una lista de UPTs y HSMs aprobados, brindará documentación y entrenamiento para los laboratorios que evalúen estos dispositivos, y será una fuente única de información para los proveedores de dispositivos y sus clientes.<BR><BR> Fuente y noticia completa en <A href="http://www.financialtech-mag.com/000_estructura/index.php?id=24&idb=162&ntt=10439&sec=10&vn=1">Financialtech magazine</A> <BR><BR> 10 Jul 2008 23:42:10 GMT http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf Se celebrará el próximo 16 de Julio en el Hotel Radisson SAS Portman de Londres y con una duración de un único día, tiene lugar 18 meses después de la publicación de la primera norma británica sobre la continuidad del negocio; BS 25999-1, y con los siguientes contenidos: <BR><BR> * Ultimas noticias en BS 25999 y otras normas relacionadas<BR><BR> * Situación actual en BCM certificación - los procesos y requisitos<BR><BR> * Las predicciones sobre las tendencias en el futuro de las amenazas y cómo manejarlas<BR><BR> * problemas y soluciones de las mejores prácticas, con estudios de casos por los que van a la cabeza <BR><BR> * Una oportunidad de trabajar en red con compañeros y compartir problemas y soluciones<BR><BR> Enlace al evento en <A href="http://www.bsigroup.com/en/Training-and-Conferences/About-conferences/UK-conferences/Improving-Business-Continuity-Management/">BSIgroup</A> <BR><BR> 10 Jul 2008 23:42:11 GMT http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Observatorio de la Seguridad de la Información, publica el Estudio sobre la situación de seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas para conocer el estado de las diferentes tecnologías inalámbricas del mercado y de sus dispositivos de acceso.<BR><BR> Descarga directa <A href="http://www.inteco.es/file/1000140108">del estudio en pdf</A> <BR><BR> 10 Jul 2008 23:42:12 GMT http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf Cinco proveedores de TI han formado una organización denominada "Consorcio de la Industria para el Avance de la Seguridad en Internet". <BR><BR> Cisco, IBM, Intel, Juniper Networks y Microsoft han formado el grupo sin fines de lucro para hacer frente a múltiples amenazas a la seguridad de producto en las, cada vez más complejas, infraestructuras de TI. <BR><BR> El Consorcio denominado <A href="http://www.icasi.org">ICASI</A> se centrará en la lucha contra gusanos y virus de amplio alcance, así como los sofisticados ataques mútilples dirigidos contra los productos o protocolos compartidos en varios productos. <BR><BR> Icasi se sentará junto a los actuales organismos de seguridad de Internet como el Sans Institute y especialistas en seguridad como Symantec, que publican informes acerca de los más acuciantes problemas de seguridad web. <BR><BR> Icasi permitirá a los proveedores de TI a trabajar juntos para hacer frente a las amenazas multi-proveedor, según indica el grupo: "El consorcio proporcionará un mecanismo internacional que comprende al vendedor y cliente. Hasta la fecha no ha habido un entorno fiable desde el vendedor que permita a las empresas identificar, evaluar y mitigar los problemas generales de seguridad multi-producto en favor de los clientes. Icasi pretende llenar este vacío.<BR><BR> Acceso al artículo en <A href="http://www.computerweekly.com/Articles/2008/06/30/231279/microsoft-intel-cisco-ibm-and-juniper-networks-form-security.htm">computerweekly</A> <BR><BR> 10 Jul 2008 23:42:13 GMT http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf El 20 de noviembre de 2007, el Canciller designado Kieran Poynter, Presidente y Socio Principal de PricewaterhouseCoopers, investigó las circunstancias que condujeron a la pérdida significativa de datos personales confidenciales sobre los niños beneficiarios de prestaciones así como de otras recientes pérdidas de datos confidenciales junto a las lecciones que deben ser aprendidas . Kieran Poynter ha publicado su informe final el 25 de junio de 2008.<BR><BR> Acceso al Informe completo disponible en <A href="http://www.hm-treasury.gov.uk/independent_reviews/poynter_review/poynter_review_index.cfm">BHM Treasury Goverment</A> <BR><BR> 10 Jul 2008 23:42:13 GMT http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf Según indica David Lacey en su blog, los ataques a la integridad de los datos será la próxima gran preocupación. No vemos muchos de estos ataques, por lo que no hacemos todo lo que se debiera para defender la integridad de nuestra propiedad intelectual. Pero el impacto de incluso, un pequeño cambio a una base de datos puede ser muy perjudicial a los servicios, la confianza y la reputación. <BR><BR> El foco de la seguridad en nuestro e-Business ha cambiado en los últimos años de la disponibilidad a la confidencialidad. El siguiente punto de atención se centrará en la integridad.<BR><BR> Post completo y acceso a video en <A href="http://www.computerweekly.com/blogs/david_lacey/2008/06/the_next_big_threat.html">Blogs de computerweekly</A> <BR><BR> 10 Jul 2008 23:42:14 GMT http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf Aunque no existen faltas de atención dedicadas a la protección de nuestros datos de amenazas externas las evidencias demuestran, sin embargo, que las personas autorizadas dentro de la organización plantean un riesgo extraordinario para los datos sensibles de una organización. <BR><BR> El nuevo número de (IN)SECURE dedica una interesante artículo a la <A href="http://www.net-security.org/dl/insecure/INSECURE-Mag-17.pdf">formación y concienciación en seguridad</A> <BR><BR> 10 Jul 2008 23:42:16 GMT http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf Del 14 al 18 de Julio, BSI España imparte en Madrid un curso de auditor jefe de ISO 27001.<BR> <BR> En él se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona al alumno el título de Lead Auditor.<BR> <BR> Más información e inscripciones en <A href="http://www.bsigroup.es/es/Formacion/Areas-formacion/seguridad-informacion/auditor-jefe-ISO27001/">www.bsigroup.es</A>.<BR> <BR> 28 Jun 2008 08:42:25 GMT http://www.iso27000.es/eventos.html Durante este mes de Junio ha sido publicado el estándar ISO/IEC 27005:2008, dedicado a la gestión de riesgos de seguridad de la información.<BR> <BR> Es la cuarta norma de la serie ISO 27000 que se publica (tras ISO 27001, ISO 27002 e ISO 27006) y es una guía de apoyo al estándar de gestión de seguridad de la información ISO/IEC 27001 en cuanto a la gestión de riesgos.<BR> <BR> Con su publicación, quedan sustituidas y retiradas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.<BR> <BR> La norma puede ser adquirida online en <A href="http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42107">www.iso.org</A>.<BR> <BR> 24 Jun 2008 07:52:41 GMT http://www.iso27000.es La empresa consultora española Audisec ha desarrollado una herramienta de gestión del ciclo de vida de un SGSI llamada GLOBAL SGSI.<BR> <BR> Se trata de un software que puede ayudar a una organización a gestionar el lanzamiento de un proyecto de implantación de un SGSI (sistema de gestión de seguridad de la información), el gap analysis, el inventario de activos, el análisis y gestión del riesgo, toda la documentación que requiere el estándar, las auditorías internas, los cuadros de mando, la mejora continua, el manejo de incidentes de seguridad, etc.<BR> <BR> Más información y una presentación de la herramienta en la página web de Audisec, <A href="http://audisec.es/index.php?option=com_content&task=view&id=36&Itemid=56">www.audisec.es</A>.<BR> <BR> 24 Jun 2008 07:50:56 GMT http://www.iso27000.es BSI y BCI España han hecho llegar a ISO27000.es la siguiente nota de prensa:<BR> <BR> " Las crisis no se pueden evitar, pero las organizaciones pueden prepararse para minimizar sus efectos. Ésta ha sido una de las bases sobre las que se ha articulado el discurso de los expertos presentes en la Conferencia Internacional de Continuidad de Negocio celebrada recientemente en Barcelona. El evento, organizado por la British Standards Institution (BSI) y el Business Continuity Institute (BCI), ha sido también la ocasión para presentar la versión en castellano de la norma mundial en continuidad de negocio BS 25999, una norma pionera diseñada para que un negocio continúe a pesar de circunstancias desafiantes e inesperadas.<BR> En la conferencia se hizo referencia precisamente a las últimas circunstancias desafiantes que se han tenido que afrontar en nuestro país (...<A href="http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf">nota de prensa completa</A>). " <BR><BR> 24 Jun 2008 07:47:36 GMT http://www.iso27000.es/download/NotaPrensaEventoBCM.pdf A principios de Junio ha sido publicado el estándar ISO/IEC 38500:2008 de gobierno corporativo de las tecnologías de la información.<BR> <BR> Esta norma aplica al gobierno de los procesos de gestión (y decisiones) relativos a los servicios de información y comunicaciones utilizados por una organización. Procesos estos que pueden estar controlados por especialistas TI propios de la organización o por proveedores de servicios externos o por unidades de negocio dentro de la organización y que afectan a las obligaciones legales, regulatorias y éticas en el uso de las TI.<BR> <BR> El estándar se desarrolla alrededor de 6 principios (responsabilidad, estrategia, adquisición, desempeño, cumplimiento y comportamiento humano) y está alineado con la definición de gobierno corporativo que hizo en 1992 el Report of the Committee on the Financial Aspects of Corporate Governance, más conocido como el Informe Cadbury.<BR> <BR> La norma puede ser adquirida online en <A href="http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639">www.iso.org</A>.<BR> <BR> 24 Jun 2008 07:45:57 GMT http://www.iso27000.es La XIII conferencia Latin America CACS, organizada por ISACA, tendrá lugar en la ciudad de Santiago de Chile del 17 al 20 de Agosto de 2008.<BR> <BR> La conferencia Latin America CACS ha cobrado prestigio profesional, ya que se enfoca en las más recientes estrategias para dar soluciones a problemas complejos relacionados con aseguramiento, seguridad y gobierno de la tecnología de información. Este evento atrae a notables conferenciantes de toda Latinoamérica.<BR> <BR> Los temas de la conferencia están distribuidos en 3 pistas:<BR> Pista 1 Gobierno y Control de TI (IT Governance and Control)<BR> Pista 2 Auditoría de Sistemas de Información (IT Assurance)<BR> Pista 3 Gestión de Seguridad de Sistemas de Información (IT Security Management)<BR> <BR> Talleres:<BR> * WS1 Curso de Fundamentos de COBIT (Taller con duración de dos días antes de la conferencia)<BR> * WS2 Curso de Preparación al Examen CISA (Taller con duración de dos días antes de la conferencia)<BR> * WS3 Implementación de Gobierno de TI utilizando COBIT y Val IT (Taller con duración de dos días después de la conferencia)<BR> * WS4 Curso de Preparación al Examen CISM (Taller con duración de dos días después de la conferencia<BR> * WS5 Cómputo forense en la organización (Taller con duración de un día después de la conferencia.<BR> <BR> Más información sobre el evento en <A href="http://www.isaca.org/latincacs">www.isaca.org/latincacs</A>.<BR> <BR> 23 Jun 2008 23:10:11 GMT http://www.iso27000.es/eventos.html El 10 y 11 de Julio, el Capítulo de Madrid de ISACA organiza un curso de análisis forense y generación de evidencias electrónicas, en el cual los expertos Paloma Llaneza, Francisco Lázaro, Elena de la Calle y Julio San José abordarán una visión transversal de cómo generar, almacenar, extraer, analizar y, en su caso, aportar en juicio información electrónica con valor legal de prueba, tanto desde el punto de vista legal y normativo como desde el técnico.<BR> <BR> Más información sobre el evento en <A href="http://www.auditoresdesistemas.com/formacion/cursosdetalle.asp?realizado=1">www.auditoresdesistemas.com</A>.<BR> <BR> 23 Jun 2008 22:24:16 GMT http://www.iso27000.es/eventos.html <A href="http://www.marcusevans.com/html/sectors.asp?sectorID=45">Marcus Evans</A>, compañía especializada en la organización de eventos, congresos y conferencias, organiza del 30 de Junio al 1 de Julio en Madrid una conferencia dedicada a la Gestión y Gobierno de las Tecnologías de la Información.<BR> <BR> A lo largo de los dos días, expertos en la materia procedentes de empresas como Codere, Mercedes Benz España, Cuatrecasas, Telefónica España, Junta de Andalucía, Sol Meliá, Henkel, Repsol YPF, Siemens Enterprise Communications, NH Hotels, Bolsa de Bilbao, Deutsche Bank, Caixa Galicia, Universidad Carlos III o Chronoexpress disertarán sobre diferentes aspectos de la gestión y gobierno de TI, tales como definición de roles para dirigir la TI, implementación de CobiT, orientación de las TI a procesos, mitigación de riesgos asociados a TI, gobierno de la seguridad en proyectos TI, medición del rendimiento de la TI, gestión de costes de TI, sistema de gestión de TI, desarrollo de servicios certificables ISO 20000, ITIL, planificación estratégica, etc., enfocado siempre desde el punto de vista de la experiencia práctica de estas empresas de primer nivel.<BR> <BR> Más información sobre el evento en <A href="http://www.marcusevans.com/html/eventdetail.asp?eventID=14239&SectorID=45&divisionID=">Marcus Evans</A>.<BR> <BR> 23 Jun 2008 22:19:57 GMT http://www.iso27000.es/eventos.html (ISC)2, la organización que gestiona certificaciones personales de seguridad de la información como CISSP o SSCP, ha lanzado hace algunos meses un interesante blog de seguridad -en inglés- en el cual colaboran expertos internacionales aportando sus opiniones sobre distintos temas relacionados con la materia.<BR> <BR> Está disponible en <A href="http://blog.isc2.org/">http://blog.isc2.org/</A>.<BR> <BR> 24 Jun 2008 09:06:30 GMT http://www.iso27000.es Eugene Kaspersky, CEO y co-fundador de Kaspersky Lab, impartirá la conferencia &ldquo;iCrime vs Threat Prevention industry". En ella expondrá las principales tendencias y focos de interés en la seguridad de la información y las razones por las que se generan los problemas relativos a la seguridad. Además hablará del desarrollo de la industria y hacia donde evolucionará. <BR> <BR> Por último, prestará especial atención a las amenazas más preocupantes -la más peligrosa de las cuales es el ciberterrorismo- y aportará algunos recientes e impactantes ejemplos. <BR> <BR> Con una trayectoria de más de 15 años en el campo de la seguridad de la información, Kaspersky es uno de los máximos expertos mundiales en antivirus. <BR> <BR> La actividad organizada por ISMS Forum Spain continuará con una demostración práctica a cargo del director de la Unidad de e-Crime de S21sec, David Barroso, quien dirigirá la sesión &ldquo;Una experiencia práctica sobre malware". Barroso es uno de los expertos en informática forense más reconocidos en nuestro país. <BR> <BR> Esta actividad organizada conjuntamente por ISMS Forum Spain y Reed Exhibitions se celebrará en el marco de Infosecurity 2008 que, bajo el lema "El valor de la confianza" se celebrará en el Palacio de Congresos del Campo de las Naciones. <BR> <BR> Registro e información completa en <A href="http://www.infosecurity.com.es/es-es/registroonline.cfm">Registro ISMSForum</A>.<BR> <BR> 5 Jun 2008 22:53:10 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 Oscar O'Connor describe los procesos involucrados hasta el momento en la creación de BS 25777, el nuevo estándar para las Tecnologías de la Información y Comunicación.<BR> <BR> Articulo de <A href="http://www.thebci.org/Continuity_March_2008.pdf">The BCI Journal</A>.<BR> <BR> 5 Jun 2008 23:53:09 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 la &ldquo;V Jornada de Protección de Datos en los Servicios Sociales de la Comunidad de Madrid" se celebrará el próximo miércoles día 18 de junio de 2008, entre las 09:15 y las 14:00 horas en la Residencia de PP.MM. "Gran Residencia" (C/ General Ricardos, 177 de Madrid-28025). <BR> <BR> La inscripción es gratuita, por riguroso orden de solicitud, mediante la remisión de un correo electrónico a apdcm@madrid.org. <BR> <BR> Organizado por la Agencia de Protección de Datos de la Comunidad de madrid, contará con la participación del Excmo. Sr. D. Alfredo Prada Presa, Vicepresidente Segundo y Consejero de Justicia y Administraciones Públicas; del Excmo. Sr. D. Arturo Canalda González, Defensor del Menor de la Comunidad de Madrid y de la Ilma. Sra. Dª. Regina Plañiol de Lacalle, Viceconsejera de Familia y Asuntos Sociales de la Comunidad de Madrid.. <BR> <BR> Información completa en <A href="http://www.madrid.org/cs/Satellite?c=CM_Texto_FA&cid=1142443902438&idPage=1109266883768&language=es&pagename=APDCM%2FCM_Texto_FA%2FmuestraTextoFA_APDCM">Madrid.org</A>.<BR> <BR> 5 Jun 2008 23:53:08 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 ¿Qué pasaría si su red pudiera adaptarse de manera proactiva a las amenazas y las necesidades de la empresa? Esa es la visión de adaptación de la infraestructura de seguridad que Gartner ha dado a conocer. <BR> <BR> Neil MacDonald, vicepresidente de Gartner, afirma que este es el modelo de seguridad necesario para dar cabida a la aparición de varios perímetros y piezas móviles en la red, cada vez más avanzadas y dirigidas a las amenazas de las empresas. "No podemos controlar todo [en la red] jamás", dice MacDonald. Es por eso que una política de seguridad basada en el modelo contextual tiene sentido, dice. <BR> <BR> Artículo completo publicado en <A href="http://www.darkreading.com/document.asp?doc_id=155538">Darkreading</A>.<BR> <BR> 5 Jun 2008 23:53:07 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 El correo electrónico es posiblemente la aplicación empresarial más importante para la comunicación del personal a través de Internet. Las personas dependen de ella para enviar texto, imágenes e incluso archivos de sonido con rapidez a sus destinos. Queda muy lejos al servicio postal e incluso el Pony Express, que entregaban mensajes a sus destinos en días o incluso semanas. <BR> <BR> El E-Mail fue diseñado para ser fácil de usar y para una rápida entrega del mensaje al destino final. Debido a estos factores, el E-Mail no dispone de muchas medidas de seguridad por defecto. La cadena de servicios de correo electrónico no ofrecen no repudio entre remitente y receptor. Fallan también en proporcionar encriptación para proteger la naturaleza de texto claro del E-Mail, y que atraviesa Internet. <BR> <BR> El objetivo de este trabajo será la de proporcionar métodos seguros de envío y recepción de E-Mails a través de Internet. Esto incluye tanto tecnologías servidor / proveedor, así como, soluciones de cliente del usuario final para abarcar soluciones de E-Mail tecnología en su conjunto. <BR> <BR> Guía de Brian Donadio en pdf publicada en <A href="http://www.infosecwriters.com/text_resources/pdf/BDonadio_Email.pdf">Infosecwriters</A>.<BR> <BR> 5 Jun 2008 23:53:06 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 La unidad de delitos económicos de la ciudad de Londres está preparando un proyecto piloto para registrar, localizar, evaluar y notificar e-crímenes. Si tiene éxito, este piloto podría abrir el camino a un centro nacional de información sobre el e-crimen. <BR> <BR> El piloto, que ahora está en fase de dotación de personal, se iniciará en el verano. Se utilizará la información de cuatro grupos que representan a los sectores público y privado, dijo el superintendente detective David Clark, que dirige la unidad.<BR> <BR> La unidad está entrevistando a posibles proveedores de software, entre ellos Detica, que ha realizado trabajos de similares para la Oficina de Fraude en Seguros. <BR> <BR> Una característica clave será poner a prueba las relaciones de los informes entre los organismos de represión como la Unidad del Crimen Organizado, el Centro contra la explotación Infantil y el Centro de Protección Online (CEOP), la Asociación de oficinas e-crimen de Jefes de Policía, la Policía Metropolitana entre otros, como el Centro Nacional de Informes de Fraude que está planificado. <BR> <BR> Clarke rehusó a decir lo que costaría el piloto pero indicó que es un proyecto de bajo coste presupuestario.<BR> <BR> Noticia publicada en <A href="http://www.computerweekly.com/Articles/2008/06/04/230927/city-of-london-police-to-pilot-e-crime-database.htm">Computerweekly</A>.<BR> <BR> 5 Jun 2008 23:53:05 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 Patrocinado por Cisco y realizado por la consultora Kaagan Research, el primer Latin American Security Index proporciona un punto de referencia para comprender cómo las empresas de la región evalúan la seguridad de su información clave, y cuáles son sus esfuerzos para establecer y mantener estándares que ayuden a conservar segura esa información.<BR> <BR> El Cisco Security Index (CISI) ha sido creado con base en las respuestas a una encuesta realizada por la consultora Kaagan Research a más de 600 gerentes de sistemas de información de compañías pertenecientes a seis países Latinoamericanos.<BR> <BR> CISI incorpora evaluaciones relacionadas con la familia de estándares ISMS, que comprenden estándares sobre Información de la Seguridad publicadas conjuntamente por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). El índice refleja en gran parte el marco estructurado ISO 27001, que es el estándar con el cual deben certificarse los sistemas de administración de Seguridad de la Información de las organizaciones.<BR> <BR> Descarga en formato pdf disponible del <A href="http://www.ieco.clarin.com/2008/05/19/cisco_security_index.pdf">CISCO security index</A>.<BR> <BR> 5 Jun 2008 23:53:04 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 El programa de cursos que el capítulo de ISACA en Valencia tiene previsto para el 2008 es: <BR> <BR> - Curso CISA. Abril 2008 hasta 13 de Junio de 2008<BR> <BR> - Curso CobiT-Foundation del 19 al 21 de Junio.<BR> <BR> - Curso Lead Auditor ISO 27001 por Veridion del 23 al 27 de Junio.<BR> <BR> - Curso CISA Diciembre 2008. Desde Octubre a Diciembre.<BR> <BR> - Curso CISM Diciembre 2008. Desde Octubre a Diciembre.<BR> <BR> - Curso CobiT-Foundation Septiembre<BR> <BR> - Curso CobiT-Foundation Diciembre<BR> <BR> - Curso Lead Auditor ISO 27001 por Veridion del 23 al 27 de Septiembre.<BR> <BR> Más información y registro disponible en <A href="http://www.isaca-cv.org/">ISACA Valencia</A>.<BR> <BR> 5 Jun 2008 22:53:03 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 El curso de Auditor de ISO 27001 te proporciona el conocimiento necesario para realizar una auditoria de un sistema de gestión de los sistemas de información (ISMS).<BR> <BR> El curso se basa en la ISO 19011:2002 y otros estándares de auditoria internacionales de acuerdo al criterio del estándar ISO 27001:2005.<BR> <BR> Los alumnos también adquirirán el conocimiento necesario para proporcionar el asesoramiento esencial para las personas y organizaciones interesadas en el cumplimiento de este estándar.<BR> <BR> El curso incluye un examen final.<BR> <BR> El curso se impartirá en su totalidad en ESAT, centro certificado donde también se ralizará el examen.<BR> <BR> Es el primer curso de Veridion que se imparte en España/Valencia. <BR> <BR> Enlace a <A href="http://www.esat.es/curso_iso27001.php">Formación ISO 27001 Valencia Veridion</A>.<BR> <BR> Enlace a calendario internacional y <A href="http://www.veridion.net/formation_eng.php">Listado de cursos Veridion</A>.<BR> <BR> 5 Jun 2008 22:53:01 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 Con un primer premio de 500.000 US$, el propósito de esta competición anual es ayudar a Start-Ups y a ideas innovadoras en el campo de la seguridad.<BR> <BR> Algunos ejemplos de las áreas de interés de este concurso son el campo biométrico, sensores de detección, seguridad de red, almacenamiento de datos, videovigilancia, RFID, biotecnología y software de búsqueda, entre otros.<BR> <BR> La fecha tope de registro (gratuito) y entrega de ideas para el concurso es el 15 de Junio.<BR> <BR> Enlace a la iniciativa y detalles en <A href="http://www.globalsecuritychallenge.com/competition/competition.html">The Global Security Challenge Competitions 2008</A>.<BR> <BR> 5 Jun 2008 23:53:00 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 Unified Compliance Framework (UCF) es la primera y más grande iniciativa independiente para mapear controles TI de todas las normas internacionales, regulaciones y mejores prácticas. <BR> <BR> La UCF logra su objetivo mediante la armonización de las condiciones y los controles contra una lista maestra jerárquica. Básicamente, significa que podemos presentar la complejidad de las normas, estándares y políticas que se deben seguir en una simple hoja de cálculo con vínculos que profundizan al nivel y detalle de información según necesidad.<BR> <BR> Enlace a la iniciativa y acceso a recursos en <A href="http://www.unifiedcomplianceframework.com/">Unified Compliance Framework</A>.<BR> <BR> 5 Jun 2008 23:52:58 GMT http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 <A href="http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/Noticias/Eventos/Lanzamiento-mundial-nueva-BS-25999-en-espanol/">BSI España</A> organiza en Barcelona el 19 de Junio un evento de presentación de la versión en español de BS 25999 (gestión de continuidad de negocio), como continuación al celebrado recientemente en Madrid (ver correspondiente nota de prensa en otra noticia de ISO27000.es).<BR> <BR> La conferencia tendrá lugar en el Gran Hotel Princesa Sofía, es de inscripción gratuita con plazas limitadas, contará con distintas ponencias dedicadas a la gestión de continuidad de negocio y permitirá a los asistentes adquirir las dos partes de la norma con un 50% de descuento.<BR> <BR> Más información e inscripciones en <A href="http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-de-gestion/Noticias/Eventos/Lanzamiento-mundial-nueva-BS-25999-en-espanol/">BSI España</A>.<BR> <BR> 25 May 2008 11:40:43 +0100 http://www.iso27000.es/eventos.html A4A9CA14-953D-4264-9871-854196E9AD18 La empresa americana AXUR está promocionando su herramienta de gestión de SGSI llamada "Axur ISMS".<BR> <BR> Esta herramienta cubre distintos aspectos de la implantación y gestión de un SGSI basado en ISO 27001. Tiene un módulo de gestión de riesgos (con evaluación de riesgos, implementación de controles, indicadores, generación de evidencias del proceso...), un módulo de gestión de políticas (distribución electrónica de documentos, control de revisiones y aprobaciones, informes de acceso a documentos, gestión del histórico...), un módulo de mejora continua (seguimiento de acciones correctivas y preventivas, recolección de evidencias, registro de incidentes de seguridad, valoración de impactos por incidentes...) y un módulo de generación de informes (entre otros genera los documentos exigidos por ISO 27001: SOA, plan de tratamiento de riesgos, inventario de activos, etc.).<BR> <BR> La aplicación se comercializa como SaaS (Software as a Service) y se accede vía navegador. Está incluida en el catálogo de herramientas de <A href="http://www.enisa.europa.eu/rmra/methods_tools/t_axur.html">ENISA</A>, la Agencia Europea de Seguridad de las Redes y la Información.<BR> <BR> Información, acceso a una demo y video de demostración las ofrece AXUR en su página web <A href="http://isms.axur.net">página web</A>.<BR> <BR> 25 May 2008 08:38:40 GMT http://www.iso27000.es 535C7BC0-9749-49F9-9DDC-AF8C9D54BEE8 <A href="https://www.ismsforum.es/noticia.php?noticia=97">ISMS Forum Spain</A> ha traducido y editado en castellano un nuevo manual. Se trata de la "Guía de Medidas y Métricas 2007" de OCEG (Open Compliance & Ethics Group, EEUU), subtitulada "Una propuesta para la evaluación de resultados y métricas para disponer de una capacidad integrada de GRC (Governance, Risk, Compliance and Ethics)".<BR> <BR> En el camino de integrar buen gobierno, gestión del riesgo, controles, cumplimiento normativo y ética en el día a día del negocio, la Guía de Medidas y Métricas de OCEG ayuda a medir estos procesos e informar acerca del rendimiento y de las capacidades de GRC en las organizaciones.<BR> <BR> Esta guía se ha traducido gracias a un acuerdo con Open Comliance & Ethics Group (OCEG). Todos los asistentes a la III Jornada Internacional de ISMS Forum Spain, el próximo 29 de mayo, recibirán un ejemplar impreso. Esta jornada contará, además, con una conferencia del presidente de OCEG, Scott Mitchell.<BR> <BR> 25 May 2008 12:12:06 GMT http://www.iso27000.es 79010C30-4B56-407C-9143-BA4F305E1BCE El documento NIST Draft SP 800-123, Guide to General Server Security se encuentra disponible al público para comentarios hasta el 13 de Junio.<BR> <BR> Esta guía tiene como objetivo ayudar a las organizaciones a instalar, configurar y mantener servidores seguros. Proporciona recomendaciones sobre cómo securizar el sistema operativo y el software de un servidor, así como mantener la configuración segura a través de parches y actualizaciones, tests de seguridad, monitorización de logs y backup de ficheros de datos y de sistema operativo.<BR> <BR> Disponible <A href="http://csrc.nist.gov/publications/drafts/800-123/Draft-SP800-123.pdf">aquí</A>.<BR> <BR> 25 May 2008 10:08:01 GMT http://www.iso27000.es 37E86999-33BF-4CB3-8E3C-0EBA12A8C051 ENISA (European Network and Information Security Agency) ha publicado el número correspondiente al primer trimestre de 2008 de su "ENISA Quarterly Review".<BR> <BR> Los artículos que incluye son:<BR> <BR> * A Letter from the Executive Director - Resilience in Networks<BR> * Resilient eCommunication Networks<BR> * Towards an EU Policy Initiative on Critical CIIP<BR> * The ARECI Study<BR> * Improving Internet Resilience in Norway<BR> * Inter-domain Routing - the Shortcomings<BR> * .SE Celebrates its First Anniversary with DNSSEC<BR> * Anycast - A Solution for Reliable DNS Services<BR> * INTERSECTION - Resiliency and Security for Heterogeneous Communication Infrastructures<BR> * BUGYO - Building Security Assurance in Open Infrastructures<BR> * eMobility - Shaping the Future of Wireless Communications<BR> * Self Cleansing and Intrusion Tolerance<BR> * ENISA Activities on Resilient Public eCommunication Networks<BR> * The Economics of NIS<BR> * Food for Thought: What's Cooking (or not)?<BR> <BR> Puede descargarse <A href="http://www.enisa.europa.eu/pages/02_02.htm">aquí</A>.<BR> <BR> 24 May 2008 23:12:31 GMT http://www.iso27000.es FC4E4F96-3B36-4E45-BA69-7D0DE11D5C23 El 11 y 12 de Junio tendrá lugar en Madrid el evento anual InfoSecurity Iberia, con expositores, seminarios, conferencias y presentaciones relacionadas con la seguridad de la información. La feria tiene lugar conjuntamente con Storage Expo, centrada en soluciones de almacenamiento de datos, y Documation, dedicada a gestión de la información.<BR> <BR> Inscripción online <A href="http://www.infosecurity.com.es/es-es/index.cfm">aquí</A>.<BR> <BR> 24 May 2008 22:42:48 GMT http://www.iso27000.es/eventos.html B213EF30-2F50-49BA-8A4F-81756E55A036 Gary Hinson, cuyas actividades en el campo de los SGSI mencionamos frecuentemente, resume en un formato Mind Maps informaciones y comentarios sobre la última reunión del SC27 de ISO en Kyoto, donde ha participado como representante de Nueva Zelanda.<BR> <BR> Disponible <A href="http://www.iso27001security.com/NZ_Notes_from_Kyoto_08_WG1.pdf">aquí</A>.<BR> <BR> 24 May 2008 11:13:05 GMT http://www.iso27000.es 7CDB8429-5678-44F6-8B89-C268593BB9DE <A href="http://www.bsigroup.es">BSI España</A> ha hecho llegar a ISO27000.es la siguiente nota de prensa:<BR> <BR> British Standards Institution (BSI) junto con Business Continuity Institute(BCI) presentó en Madrid la nueva norma de Continuidad de Negocio, BS 25999, ahora traducida en español.<BR> <BR> El evento, que tuvo que dejar de aceptar inscripciones por estar completo, contó con las ponencias deorganizaciones como el Banco Santander, British Standards Institution, Business Continuity Institute,Deloitte, Grupo Eulen, Hewlett-Packard, Instituto de Empresa, PriceWaterhouseCoopers. Entre los asistentes de más de noventa organizaciones, se destacaba el sector bancario, de telecomunicaciones y empresas de servicios profesionales.<BR> <BR> Entre los ponentes, cabía destacar a Lyndon Bird, Director Técnico Global del BCI y uno de los mayores expertos en continuidad de negocio a nivel mundial, que dijo como conclusión final a su ponencia, "que no se debe ver la continuidad de negocio como la respuesta a un desastre, sino como una manera de gestionar diferente". Elena Maestre, Directora de PriceWaterhouseCoopers, explicó la evolución que ha tenido la continuidad de negocio en las empresas españolas y señaló que "la BS 25999 viene a focalizar todos los factores que deben ser considerados en una adecuada gestión de continuidad de negocio".<BR> <BR> Márcio Viegas, Director General de BSI España, comentó que "la sorprendente demanda de este evento y el alto nivel de los ponentes y asistencias, pone de manifiesto que los directivos españoles están atentos a la continuidad de sus negocios."<BR> <BR> Viegas concluyó que "nuestro esfuerzo en traducir y publicar la norma BS 25999 y ayudará a las empresas españolas a cumplir con requisitos obligatorios, como las MIFID, para el sector financiero, o voluntarias de cara a sus clientes, empleados, accionistas y toda la sociedad. La BS 25999 es la primera norma en gestión de continuidad de negocio y se ha concebido para ayudar a minimizar el riesgo de interrupciones en el negocio."<BR> <BR> 24 May 2008 07:15:40 +0100 http://www.iso27000.es 3448992D-6D18-49A9-9236-96C6362178C9 Según el periodico especializado en información sobre la Unión Europea <A href="http://www.europeanvoice.com/article/imported/enisa-%E2%80%93-an-agency-fighting-for-its-survival/60760.aspx">European Voice</A>, ENISA (European Network and Information Security Agency) está luchando por su supervivencia, marcada en cualquier caso por la limitación de poder que ha tenido desde su nacimiento.<BR> <BR> Una de las posibilidades que sopesa la Comisión Europea es integrar las competencias actuales de ENISA en la futura EECMA (European Electronic Communications Market Authority) -ver también <A href="http://www.europarl.europa.eu/news/expert/infopress_page/052-22179-058-02-09-909-20080225IPR22128-27-02-2008-2008-false/default_es.htm">aquí</A>- . A favor de ENISA juega en este caso la oposición que existe desde sectores económicos y políticos a la existencia de un "super-regulador" europeo de telecomunicaciones. Por otra parte, los apoyos recibidos de diversos parlamentarios europeos pueden llevar a la extensión del mandato por otros tres años tras finalizar el plazo inicial de 5 años en 2009.<BR> <BR> 23 May 2008 13:54:11 GMT http:// 5C811D41-0C78-4E8F-91BB-F8633F1B96C6 <A href="http://www.marcusevans.com/html/sectors.asp?sectorID=45">Marcus Evans</A>, compañía especializada en la organización de eventos, congresos y conferencias, organiza del 30 de Junio al 1 de Julio en Madrid una conferencia dedicada a la Gestión y Gobierno de las Tecnologías de la Información.<BR> <BR> A lo largo de los dos días, expertos en la materia procedentes de empresas como Codere, Mercedes Benz España, Cuatrecasas, Telefónica España, Junta de Andalucía, Sol Meliá, Henkel, Repsol YPF, Siemens Enterprise Communications, NH Hotels, Bolsa de Bilbao, Deutsche Bank, Caixa Galicia, Universidad Carlos III o Chronoexpress disertarán sobre diferentes aspectos de la gestión y gobierno de TI, tales como definición de roles para dirigir la TI, implementación de CobiT, orientación de las TI a procesos, mitigación de riesgos asociados a TI, gobierno de la seguridad en proyectos TI, medición del rendimiento de la TI, gestión de costes de TI, sistema de gestión de TI, desarrollo de servicios certificables ISO 20000, ITIL, planificación estratégica, etc., enfocado siempre desde el punto de vista de la experiencia práctica de estas empresas de primer nivel.<BR> <BR> Más información sobre el evento en <A href="http://www.marcusevans.com/html/eventdetail.asp?eventID=14239&SectorID=45&divisionID=">Marcus Evans</A>.<BR> <BR> 4 May 2008 19:30:05 +0100 http://www.iso27000.es/eventos.html British Standards Institution (BSI), junto con el Business Continuity Institute (BCI), organiza un evento de lanzamiento mundial de la versión en español de la norma BS 25999 de continuidad de negocio el próximo 7 de mayo del 2008 en el hotel Meliá Castilla de Madrid.<BR> <BR> A través de una serie de presentaciones, conferencias y mesas redondas, se podrá escuchar a expertos a nivel mundial en la continuidad de negocio y directores de: Banco Santander, Business Continuity Institute, Deloitte, Grupo Eulen, Hewlett-Packard, Instituto de Empresa, PriceWaterhouseCoopers, BSI Reino Unido y BSI España. <BR> <BR> El evento es gratuito, con traducción simultánea y plazas limitadas.<BR> <BR> Inscripciones, hasta el 5 de Mayo, en <A href="http://www.bsigroup.es/es/Forms-Folder/BCM-Launch-Event/">BSI España</A> o contactando por teléfono (91 400 86 20) o e-mail (info.spain@bsigroup.com). <BR> <BR> 25 Apr 2008 06:38:22 +0100 http://www.iso27000.es Disponible como un servicio bajo demanda, Veracode ofrece la más simple y rentable manera de aplicar las mejores prácticas de seguridad, reducir el costo operacional y lograr el cumplimiento sin necesidad de ningún hardware, software o capacitación.<BR> <BR> Tanto si una organización está desarrollando software internamente, busca el cumplimiento o compra o contrata software comercial o externo provisto por terceros, Veracode protege a las empresas de vulnerabilidades de seguridad en el software que las puedan poner en situación de riesgo.<BR> <BR> Más información en <A href="http://www.veracode.com/solutions">Veracode</A>.<BR> <BR> 23 Apr 2008 21:40:52 +0100 http://www.iso27000.es Permiten que las empresas que las utilizan puedan operar de modo seguro y fiable en un entorno de amenaza creciente a la información, y donde es una norma cada vez más habitual la de interactuar sin límites, independientemente de la ubicación de los datos o el número de colaboradores.<BR> <BR> Este documento establece los principales componentes que se necesitan en un COA para satisfacer estos requisitos. Existen trabajos relacionados publicados o están en desarrollo para describir estos componentes.<BR> <BR> Aunque muchas organizaciones están tratando de responder a la cuestión de la des-perimeterization de las barreras entre redes privadas corporativas e Internet, a menudo carecen de un marco y un conjunto de principios para organizar e implantar soluciones específicas. Este documento pretende llenar este vacío.<BR> <BR> Descarga del documento en PDF desde <A href="http://www.opengroup.org/jericho/COA_v1.0.pdf">Opengroup.org</A>.<BR> <BR> 23 Apr 2008 22:40:50 GMT http://www.iso27000.es Yoggie Security Systems pone a disposición el primer mini ordenador embebido para odenadores, diseñado para ofrecer la seguridad más completa en Internet. <BR> <BR> El Gatekeeper Card Pro contiene 13 aplicaciones de seguridad integradas directamente en la tarjeta en miniatura. La tarjeta se inserta directamente en la ranura ExpressCard de un ordenador portátil, permitiendo una protección transparente cada vez te conectas. <BR> <BR> La tarjeta es un verdadero ordenador con su propio procesador, memoria y sistema operativo protegido. Esta es la primera vez que todo un equipo ha sido diseñado para su instalación en otro ordenador - esencialmente un ordenador dentro de un ordenador - con el fin de proporcionar protección en materia de seguridad. <BR> <BR> Para los usuarios de empresa o de los consumidores, simplemente se conecta y se olvidan del diseño de la tarjeta de Gatekeeper Pro. No requiere complejas instalaciones, configuraciones o administración (aunque los usuarios avanzados pueden alterar la configuración en caso que deseen hacerlo). <BR> <BR> Los usuarios no tienen que preocuparse por las actualizaciones que el dispositivo comprueba automáticamente para ellos cada vez que se conecta a Internet y gestiona todo el proceso de modo transparente. <BR> <BR> Lo mejor de todo, como se libera de la funcionalidad de seguridad (incluidas las actualizaciones) a la computadora portátil que acoge la tarjeta, los usuarios experimentan un mejor rendimiento de sus portátiles. Noticia completa en <A href="http://www.net-security.org/secworld.php?id=6051">Net Security</A>.<BR> <BR> 23 Apr 2008 22:40:48 GMT http://www.iso27000.es El número 16 de esta publicación ofrece los siguientes contenidos:<BR><BR> * Security policy considerations for virtual worlds<BR> * US political elections and cybercrime<BR> * Using packet analysis for network troubleshooting<BR> * The effectiveness of industry certifications<BR> * Is your data safe? Secure your web apps<BR> * RSA Conference 2008 / Black Hat 2008 Europe<BR> * Windows log forensics: did you cover your tracks?<BR> * Traditional vs. non-tranditional database auditing<BR> * Payment card data: know your defense options<BR> * Security risks for mobile computing on public WLANs: hotspot registration<BR> * Network event analysis with Net/FSE<BR> * Producing secure software with security enhanced software development processes<BR> <BR> Descarga en formato PDF de <A href="http://www.net-security.org/dl/insecure/INSECURE-Mag-16.pdf">(IN)Secure</A>.<BR> <BR> 23 Apr 2008 22:40:46 GMT http://www.iso27000.es El PCI Security Standards Council, el organismo global de normas abiertas que suministra gestión de la norma para la seguridad de la información en la Industria de Pagos con Tarjeta (PCI DSS), requisitos de seguridad para los dispositivos de entrada de PIN (PED), y aplicaciones de pago (PA-DSS), anunció la presentación de la versión 1.1 de la Norma de Seguridad de la Información para las Aplicaciones de Pago (PA-DSS, Payment Application Data Security Standard).<BR><BR> &ldquo;Muchos comerciantes y minoristas confían el proceso a terceros proveedores de software, para que se ocupen de las aplicaciones que ejecutan el procesamiento del pago", declaró J. Joseph Finizio, director ejecutivo de la Asociación de Proveedores de Soluciones Minoristas estadounidense. "Gracias a que el Consejo se ocupará de la gestión de una lista de aplicaciones de pago homologadas, reconocida a nivel global, todos los comerciantes, sin importar el tamaño de su empresa, podrán seleccionar las aplicaciones de pago homologadas y aceptadas por las marcas de pago más importantes, asegurando así que la información del usuario de tarjetas de pago seguirá protegida".<BR><BR> Noticia completa en <A href="http://www.financialtech-mag.com/000_estructura/index.php?id=24&idb=154&ntt=10039&sec=10&vn=1">Finantialtech</A>.<BR> <BR> Enlace relacionado en <A href="https://www.pcisecuritystandards.org/pdfs/pci_pa-dss_faqs.pdf">PCISecuritystandards</A>.<BR> <BR> 23 Apr 2008 22:40:44 GMT http://www.iso27000.es La virtualización es una tecnología emergente que todavía está siendo evaluada en la utilidad y rentabilidad por muchas empresas.<BR><BR> Hablaremos de los dos principales productos de virtualización de servidores en el mercado de hoy. Estos productos son VMware y Microsoft Virtual Server 2005 R2. Vamos a hacer un examen exhaustivo de estos productos con un esbozo de las características y los costos de cada uno. <BR><BR> También vamos a tocar en los beneficios de la virtualización de servidores y cómo pueden ahorrar dinero.<BR><BR> También en esta esfera se incluyen algunos ejemplos de cómo la virtualización de servidor puede no ser una buena opción para determinadas configuraciones de servidor.<BR><BR> Vamos a describir las ventajas y desventajas de cada producto y también hablar de los riesgos de seguridad y las amenazas que surgen de la virtualización.<BR><BR> También vamos a cubrir el concepto erróneo de que la virtualización reduce los riesgos de seguridad. El hecho es que la virtualización tiene su propio conjunto de los riesgos de seguridad y puede no ser una buena opción para determinados tipos de servidores.<BR><BR> Descarga en pdf del artículo de Daniel James en <A href="http://www.infosecwriters.com/text_resources/pdf/DJames_Virtualization.pdf">Infosecwriters.com</A>.<BR> <BR> 23 Apr 2008 22:40:27 GMT http://www.iso27000.es Intervención del pasado evento de Enero organizado por <A href="http://www.owasp.org">OWASP</A> (Open Web Application Security Project), comunidad dedicada a capacitar a las organizaciones a desarrollar, comprar y mantener aplicaciones fiables.<BR><BR> Todas las herramientas, documentos, forums y capítulos son gratuitos y están disponibles para cualquier interesado en mejorar la seguridad de las aplicaciones.<BR><BR> Intervención de Bruce Schneier en formato .mov disponible en <A href="http://video.google.com/videoplay?docid=-1695798832162574124&hl=en">video.google.com</A>.<BR> <BR> 23 Apr 2008 22:40:25 GMT http://www.iso27000.es La semana del 7 al 11 de Abril se realizo la II Campaña de Seguridad organizada por <A href="http://www.fundaciondedalo.org">Fundación Dédalo</A>, esta fundación quiso dar continuidad al proyecto con una segunda campaña, ya que como ellos mismos afirman &ldquo;la seguridad tecnológica en nuestro entorno pasa por la información, sensibilización y concienciación de los usuarios sobre una utilización correcta de las Nuevas Tecnologías de la Información y la Comunicación."<BR><BR> Noticia completa y enlaces a presentaciones en <A href="http://seguridad-informacion.blogspot.com/2008/04/presentaciones-ii-semana-de-seguridad.html">Criptex</A>.<BR> <BR> 23 Apr 2008 22:40:23 GMT http://www.iso27000.es La aplicación gratuita SEG-USB.EXE previene el auto arranqué en dispositivos USB, evitando la ejecución automática de programas sin nuestro consentimiento. El programa contiene dos opciones:<BR><BR> * Prevenir el uso automático de dispositivos removibles USBPREVENCIÓN ACTIVADA<BR><BR> * Configuración original en de dispositivos removibles USBPREVENCIÓN DESACTIVADA <BR><BR> Noticia completa en <A href="http://seguridad-informacion.blogspot.com/2008/04/seg-usb-herramienta-gratuita-para.html">Criptex</A>.<BR> <BR> Descarga de la herramienta en: <A href="http://seguridad.internautas.org/archivos/seg-usb.zip">seguridad.internautas.org</A>.<BR> <BR> 23 Apr 2008 22:40:21 GMT http://www.iso27000.es Después de algo más de un año de trabajo entre bambalinas, y bajo el amparo de la Unión Europea, ha comenzado su andadura el proyecto WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats), formado por un grupo de universidades y empresas internacionales, entre las que se encuentra Hispasec..<BR> <BR> El proyecto WOMBAT tiene como objetivo proporcionar nuevos métodos para entender las amenazas que atacan directamente a la economía de Internet y los ciudadanos. Para alcanzar su objetivo el proyecto aborda (i) concentrar en tiempo real los reportes de ataques de una gran diversidad de fuentes, (ii) enriquecer esos datos con varias técnicas de análisis automatizado y (iii) identificar la causa raíz de los mismos.<BR> <BR> El conocimiento adquirido será compartido con todos los agentes de seguridad interesados (ISPs, CERTS, empresas de seguridad, etc), de cara a aumentar el nivel de seguridad y confianza de los ciudadanos europeos.<BR> <BR> El proyecto, parcialmente financiado por la Unión Europea bajo el Séptimo Programa Marco (7PM), está integrado por:<BR> (Francia) - France Telecom R&D<BR> (Francia) - Institut Eurecom<BR> (Austria) - Technical University Vienna<BR> (Italia) - Politecnico di Milano - Dip. Elettronica e Informaziones<BR> (Holanda) - Vrije Universiteit Amsterdam<BR> (Grecia) - Foundation for Research and Technology<BR> (España) - Hispasec<BR> (Polonia) - Research and Academic Computer Network<BR> (Irlanda) - Symantec Ltd.<BR> (Singapur)- Institute for Infocomm Research<BR> Noticia de <A href="http://blog.hispasec.com/laboratorio/280">Blog Hispasec</A>.<BR> <BR> Más información en: <A href="http://www.wombat-project.eu/">Wombat-project.eu</A>.<BR> <BR> 23 Apr 2008 22:40:17 GMT http://www.iso27000.es Aidcon Consulting ha hecho llegar a ISO27000.ES la siguiente nota de prensa:<BR> <BR> "La consultora malagueña Aidcon Consulting participa en un proyecto agrupado gestionado por la asociación ETICOM-CONETIC para la implantación y certificación de empresas del sector TIC, con las subvenciones del Plan Avanza Pyme.<BR> Aidcon es la consultora andaluza con más experiencia en ISO 27001, con 14 empresas implantadas y certificadas en el año 2007.<BR> Más información y formulario de adhesión al proyecto en el email contacto@aidcon.com o en el teléfono 952404997 (Juan Carlos López).<BR> Fecha límite 15 de abril."<BR> <BR> Nota: ISO27000.ES recuerda en este punto que no mantiene ninguna relación comercial con empresa alguna y que notas de prensa como esta o cualquiera de las publicadas en días anteriores en el mismo sentido sólo son difundidas en función del interés que tienen para la promoción general de la norma ISO 27001 y los sistemas de gestión de seguridad de la información.<BR> <BR> 11 Apr 2008 09:53:59 GMT http://www.iso27000.es Audisec Seguridad de la Información S.L. ha hecho llegar a ISO27000.ES la siguiente nota de prensa:<BR> <BR> "Audisec Seguridad de la Información S.L. está buscando crear un grupo de empresas interesadas en la certificación ISO 27001 para aprovechar las ayudas en forma de subvención que el subprograma Avanza PYME tiene dispuestas a tal efecto. Dicho plan concede ayudas de hasta un 60% del coste total del proyecto de certificación.<BR> <BR> La principal novedad que propone Audisec es el hecho de poder utilizar durante el proceso de consultoría una herramienta de implantación desarrollada internamente que cubre todas las fases de la norma, incluida la fase de mantenimiento del sistema de gestión, ayudando así tanto a la empresa que desea certificarse como a la empresa consultora. Cabe resaltar que dicha herramienta ha sido utilizada por Audisec en su proceso de implantación de la norma.<BR> <BR> Es una gran oportunidad para mejorar la seguridad de los procesos de negocio de nuestras empresas a un bajo coste gracias a estas nuevas subvenciones de Ministerio de Industria.<BR> <BR> Aquellas empresas interesadas pueden ponerse en contacto con Audisec en info@audisec.es y visitando la web <A href="http://www.audisec.es">www.audisec.es</A> o a través de los teléfonos: 902 056 203 y 926 612 310"<BR> <BR> Nota: ISO27000.ES recuerda en este punto que no mantiene ninguna relación comercial con empresa alguna y que notas de prensa como esta o cualquiera de las publicadas en días anteriores en el mismo sentido sólo son difundidas en función del interés que tienen para la promoción general de la norma ISO 27001 y los sistemas de gestión de seguridad de la información.<BR> <BR> 3 Apr 2008 20:16:50 +0100 http://www.iso27000.es BSI España ha hecho llegar a ISO27000.ES la siguiente nota de prensa:<BR> <BR> "BSI España está creando un nuevo grupo de empresas interesadas en mejorar y certificar la calidad y seguridad de sus procesos TIC en general (ITIL/ISO 20000, ISO 27001, CMMI), para solicitar conjuntamente una subvención dentro del ámbito del plan Avanza del Ministerio de Industria.<br> <br> El proyecto incorpora nuevas mejoras en el método de implantación de estas normas y modelos, con la consiguiente reducción de costes para los participantes, gracias a la colectivización de diversas actividades del proyecto.<br> <br> Aunque las subvenciones (entre 6.000 y 35.000 euros) sólo aplican a las PYMES, se permite la incorporación de empresas no PYMES que puedan aprovechar las ventajas de la metodología y de las sinergias entre todos los participantes.<br> <br> Las empresas interesadas en participar en el grupo de solicitantes de la subvención, deben enviar un correo electrónico a alejandro.garcia@bsigroup.com, indicando:<br> <br> - Nombre de la entidad<br> - CIF<br> - Dirección<br> - Fecha de constitución<br> - Nombre del apoderado<br> - NIF del apoderado<br> - Número de personas en plantilla a 31-12-2007<br> - Facturación correspondiente a 2007<br> - Persona de contacto<br> - Forma de contacto (teléfono, fax y correo electrónico)<br> - En qué se desea obtener el certificado (CMMI - ISO 20000 - ISO 27001)<br> - En qué fecha piensan que pueden obtener el certificado (máximo 31-12-2009)<br><br> Está prevista la celebración de una reunión con las empresas interesadas próximamente."<br> <br> Nota: ISO27000.ES recuerda en este punto que no mantiene ninguna relación comercial con empresa alguna y que notas de prensa como esta o cualquiera de las publicadas en días anteriores en el mismo sentido sólo son difundidas en función del interés que tienen para la promoción general de la norma ISO 27001 y los sistemas de gestión de seguridad de la información.<BR> <BR> 3 Apr 2008 06:11:02 +0100 http://www.iso27000.es Según publica <A href="http://www.redestelecom.es/Contenido.aspx?contenidoID=200803270003">Redes Telecom</A>, durante el año 2008 la empresa española especializada en seguridad S21sec planea consolidar de manera definitiva su plan de expansión internacional que comenzó en el año 2007 con la apertura de dos oficinas en México DF y Monterrey, creándose S21sec México, S.A. y la creación de una alianza estratégica con un partner local en Argentina, Reino Unido y Dubai. "Nuestro objetivo es invertir 2,4 millones de euros durante este año para llevar a cabo estos proyectos", sostiene el director general de S21Sec, Xavier Mitxelena.<BR> <BR> El volumen de negocio previsto es de 5 millones de euros para este año y 12 millones de euros para el 2009. Así, si en 2007 el negocio internacional representaba un 12 por ciento del total de la compañía, el objetivo es conseguir un 20 por ciento el próximo año fiscal. "Las empresas multinacionales con las que trabajamos nos exigen actuar a nivel global y tener presencia en los mercados locales. Esta exigencia nos llevó a abrir nuestras primeras oficinas en México", declara Mitxelena.<BR> <BR> El principal reto para el 2008 consiste en la creación de dos oficinas propias en Londres y Dubai para ofrecer los servicios de antifraude, vigilancia, inteligencia, servicios gestionados y la suite Bitacora 4.0, así como la apertura de una nueva oficina en EEUU para la exportación de tecnología propia y la vigilancia tecnológica. <BR> <BR> Fuente: <A href="http://www.redestelecom.es/Contenido.aspx?contenidoID=200803270003">www.redestelecom.es</A>.<BR> <BR> 2 Apr 2008 09:49:29 +0100 http://www.redestelecom.es/Contenido.aspx?contenidoID=200803270003 La Cátedra de Riesgos de Seguridad de la Información del Instituto de Empresa organiza el 10 de Abril en su sede de Madrid una Jornada bajo el título de "Creación e Implantación de un Plan de Seguridad y el Valor Agregado para el Negocio".<BR> <BR> Las ponencias previstas son:<BR> <BR> - El análisis de la situación real a nivel de plan de seguridad en las empresas españolas. Por Marcos Gómez, Subdirector eConfianza de INTECO, Director Asociado de la Cátedra de Riesgos.<BR> - El plan de seguridad en organizaciones multinacionales. Por Roberto López, Consultor de Seguridad de GMV. <BR> - Ejemplos prácticos del uso de la tecnología en la implantación de un plan de seguridad. Por David Nuñez. Principal Sales Consultant-Seguridad de Oracle.<BR> - Como hacer seguimiento y mantenimiento de un plan de seguridad. Por Juan Ignacio Sánchez, Adjunto al Subdirector General de Seguridad y Medio Ambiente, MAPFRE.<BR> <BR> La asistencia es gratuita previa inscripción enviando un e-mail a catedra.riesgos@ie.edu. Plazas limitadas.<BR> <BR> Más información en: <A href="http://crsi.ie.edu/Actividades/JornadasdeAn%C3%A1lisisyDebate/1raJornada2008/tabid/154/Default.aspx">crsi.ie.edu</A>.<BR> <BR> 30 Mar 2008 13:07:13 +0100 http://www.iso27000.es/eventos.html Cristian Borghello organiza, a través de Segu-Info, su Cuarto Seminario y Taller en Santa Fé (Argentina), el 10 y 11 de Abril, avalado y auspiciado por la Universidad Tecnológica Nacional (UTN) Facultad Regional Santa Fe y dedicado en esta ocasión a la protección de identidades.<BR> <BR> Se tratarán temas como Robo de Identidad, Web 2.0 Information Disclosure, Privacidad y nuevas tecnologías, Los Cazadores de Mitos de la Seguridad, Blind SQL Injection basado en tiempos, etc.<BR> <BR> Tanto el seminario como el taller contarán con la participación de Chema Alonso, conocido experto en seguridad informática, Microsoft MVP Windows Security y ponente recientemente en la "Black Hat Europe 2008".<BR> <BR> Más información en <A href="http://www.segu-info.com.ar/prensa/seminario_20080410.htm">Segu-Info</A>.<BR> <BR> 30 Mar 2008 12:22:50 +0100 http://www.iso27000.es/eventos.html ADACSI, el capítulo de Buenos Aires de ISACA, ofrece en Mayo cursos de preparación a los exámenes de CISA y CISM:<BR> <BR> 5-9 y 16 de Mayo: Preparación CISA, incluido simulacro de examen.<BR> 12-16 de Mayo: Preparación CISM, incluido simulacro de examen.<BR> <BR> Más información en <A href="http://www.jel22.com.ar/cursos2008/">ADACSI</A>.<BR> <BR> 30 Mar 2008 12:08:29 +0100 http://www.iso27000.es/eventos.html El 8 y 9 de Mayo tendrá lugar en el Hotel Hilton de Cartagena de Indias (Colombia) el 2º Congreso Internacional de Seguridad de la Información (CISI 2008).<BR> <BR> Reconocidos ponentes de diversos países impartirán ponencias sobre temas como Ingeniería Social, Gobierno de Seguridad de la información, Fraudes Bancarios, Amenazas y riesgos de Seguridad en el Mundo Empresarial, Últimos Ataques a las Funciones Hash, El Algoritmo RSA: Fortalezas y Debilidades, Atacando RSA mediante nuevos algoritmos, SANS Internet Storm Center - Fighting Malware and recent trends, Implantando Gobierno de TI utilizando Cobit y Val IT, Metodología de Defensa, Estrategia de Implementación de un Sistema de Gestión de Seguridad de la Información.<BR> <BR> Más información e inscripciones en <A href="http://www.tecnoeventos.com.co/info.php?id=15">www.tecnoeventos.com.co</A>.<BR> <BR> 30 Mar 2008 11:58:18 +0100 http://www.iso27000.es/eventos.html La empresa Root-Secure ofrece entre Abril y Junio los siguientes cursos en Buenos Aires:<BR> <BR> 8-9 Abril, Network Security Infrastructure<BR> 24-25 Abril, Control Interno de TI y Seguridad de la Información<BR> 7-8 Mayo, Hardening Windows Servers and Desktops<BR> 21-22 Mayo, Gerenciamiento de Seguridad<BR> 2-6 Junio, Bootcamp CISSP <BR> 10 y 12 Junio, Talleres CISSP<BR> 18-20 Junio, Ethical Hacking<BR> <BR> <BR> Más información e inscripciones en <A href="http://www.root-secure.com/site/educacion.html">www.root-secure.com</A>.<BR> <BR> 30 Mar 2008 10:17:00 +0100 http://www.iso27000.es/eventos.html A mes de Marzo de 2008, hay 4.457 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo (en ISO 27001, 4.076).<BR> <BR> Encabeza la lista, como desde hace años, Japón, con 2.554 certificaciones, le sigue India con 427 y el Reino Unido con 365.<BR> <BR> Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:<BR> <BR> México: 13.<BR> España: 13 (ver nota más abajo)<BR> Colombia: 3.<BR> Chile: 3.<BR> Argentina: 2.<BR> Perú: 2.<BR> Uruguay: 1.<BR> <BR> Esta información puede consultarse en <A href="http://www.iso27001certificates.com">International Register of ISMS Certificates</A>.<BR> <BR> Nota: España figura en la lista con 13 certificaciones, aunque estrictamente son sólo 12. La empresa Axalto ya no existe como tal y, desde su fusión con Gemplus, se llama Gemalto, que también está presente en la lista.<BR> <BR> 30 Mar 2008 10:03:31 +0100 http://www.iso27000.es Del 16 al 18 de Julio, el experto peruano Alberto Alexander impartirá un curso de implantación de sistemas de gestión de seguridad de la información basados en ISO 27001 en el Hotel Chateau Miramar de La Habana (Cuba), organizado por la Sociedad Ecuatoriana de Seguridad, Salud Ocupacional y Gestión Ambiental.<BR> <BR> Más información en <A href="http://www.seso.org.ec/contents/eventos.htm">www.seso.org.ec</A>.<BR> <BR> 30 Mar 2008 09:20:31 +0100 http://www.iso27000.es/eventos.html www.iso27000.es ha realizado una entrevista a Rafael Rodriguez de Cora, consejero delegado de CALS.<br> <br> Esta empresa, entre otras actividades, es agente para España, Portugal y Latinoamérica del Information Security Forum (ISF), prestigiosa organización dedicada a la seguridad de la información, que tiene entre sus socios a más de 300 de las mayores empresas del mundo. Con él hemos hablado de los objetivos y actividades del ISF.<br> <br> El podcast está disponible en nuestra sección de <a href="http://www.iso27000.es/download/Cals_RafaelRodriguezDeCora.mp3">Artículos y Podcasts</a>.<br> <br> 24 Mar 2008 21:25:40 +0100 http://www.iso27000.es/download/Cals_RafaelRodriguezDeCora.mp3 <a href="http://www.esa-security.com">ESA Security</a> convoca a las PYMES interesadas en la implantación y certificación de un SGSI a la asistencia de una reunión informativa que celebrará el próximo 1 de Abril en sus instalaciones.<br><br> El objetivo es habilitar a las PYMES nacionales interesadas en acceder y beneficiarse de los fondos destinados para el <a href="http://www.planavanza.es/NR/rdonlyres/0FE33446-9B90-40B8-8527-1A5BDEA6559A/25565/FAQSPYME20080306.pdf"> Plan Avanza 2008</a> en la implantación y certificación acreditada de un SGSI según ISO 27001 <br><br> ESA Security ha obtenido de AENOR la certificación UNE 71502:2004 de su Sistema de Gestión de Seguridad de la Información (SGSI), además de obtener de la Entidad Certificadora SGS la certificación ISO/IEC 27001:2005 acreditada por UKAS.<br> <br> Asistencia o participación en el plan avanza con ESA Security dirigirse a arantxag@esa-security.com <br> <br> 24 Mar 2008 22:25:39 GMT http://www.iso27000.es El cumplimiento de TI de Realtime es un eJournal escrito por expertos en cumplimiento TI como Rebecca Herold. Esta publicación mensual ofrece consejos expertos sobre <br> <br> * Hacer frente a los desafíos presentados por el cumplimiento de las normas y reglamentos en relación a las nuevas tecnologías <br> * Hacer frente a los factores humanos para evitar las amenazas de abuso de información privilegiada, y cumplir con las exigencias de cumplimiento <br> * Mejores prácticas en protección de datos, seguridad de la información, la prevención del robo de identidad, la gestión del riesgo <br> * Cómo cumplir con el mayor éxito con la protección de datos y privacidad de las leyes, reglamentos y normas en todo el mundo <br> * La comunicación más efectiva con los dirigentes empresariales acerca de la seguridad de la información, la privacidad y el cumplimiento <br> * Proporcionar una formación eficaz y la sensibilización para el cumplimiento, la seguridad de la información y la privacidad <br> * El trabajo con todos los departamentos para lograr el cumplimiento efectivo y la seguridad <br> * Cumplimiento de los retos actuales y tendencias <br> Además, cada mes el blog comunitario tendrá un número de entradas relacionadas con el tema eJournal del mes. <br> El acceso a esta publicación se ofrece sin cargo alguno a los lectores. bajo registro previo en <a href="http://nexus.realtimepublishers.com/rtitc.htm"> Realtime</a> <br> <br> 24 Mar 2008 22:25:38 GMT http://www.iso27000.es <a href="http://bitacora.palomallaneza.com/2008/03/21/certificaciones-varias/">Paloma Llaneza</a> comenta un <a href="http://www.enisa.europa.eu/doc/pdf/deliverables/inf_sec_certification_2008.pdf"> documento ENISA</a> en el que se proporciona una visión general sobre las certificaciones de seguridad de la Información de productos, personas y procesos, con las correspondientes recomendaciones<br> <br> 24 Mar 2008 22:25:37 GMT http://www.iso27000.es Para descargar las presentaciones ingrese a la conferencia de su interés, a través del vínculo Descargar Presentación podrá acceder al archivo .pdf, .rar o .zip según corresponda. <br> <br> Noticia y listado completo de presentaciones en <a href="http://seguridad-informacion.blogspot.com/2008/03/presentaciones-segurinfo-2008.html">CRYPTEX - Seguridad de la Informacion</a>. 24 Mar 2008 22:25:36 GMT http://www.iso27000.es Gracias a la colaboración de la empresa consultora Morse Spain SL, el role play del próximo 26 de Marzo en Madrid permitirá realizar una introducción práctica a la gestión de servicios TI mediante la competición de resultados en varios grupos según una empresa modelada con la herramienta Polestar.<br> <br> Esta dirigido a cualquier persona que requiera una comprensión inicial básica de la mejora que puede suponer la implantación de los procesos de la norma ISO 20000 y cómo mejorar la calidad de la administración de los servicios TI dentro de cualquier organización y sector.<br> <br> La asistencia es gratuita previa notificación de asistencia y limitada a un máximo de dos personas por empresa.<br> <br> Información y contacto en <a href="http://www.es.sgs.com/es/ssc_iso20000_eventos_sgs.pdf">Minisite SGS</a>. 24 Mar 2008 22:25:35 GMT http://www.iso27000.es Eficientes y económicas, las hojas de cálculo son muy abundantes en el mundo de los negocios.<br> <br> Muchos gerentes, por ejemplo, confian en hojas de cálculo para realizar un seguimiento de los flujos de los procesos de trabajo e informes de datos financieros, mientras que a nivel ejecutivo, pueden ofrecer instantáneas rápidas y concisas de la organización que, a menudo, guían las decisiones críticas de negocio.<br> <br> Sin embargo, la principal ventaja de las hojas de cálculo - su simplicidad y facilidad de uso - también plantea los mayores riesgos. Por ejemplo, en muchas organizaciones las hojas de cálculo actúan como aplicaciones autónomas que carecen de un sistema de control.<br> <br> Por lo tanto, los empleados son capaces de crear, acceder, manipular, distribuir y hoja de cálculo de datos, así como introducir errores críticos al introducir manualmente nueva información o configurar fórmulas existentes.<br> <br> Los auditores internos pueden ayudar a las organizaciones detectar estos y otros riesgos mediante la creación de un inventario de hojas de cálculo y el desarrollo de líneas de base, entre otras medidas.<br> <br> Artículo completo de Tim Burdick en <a href="http://www.theiia.org/itaudit/features/in-depth-features-3-10-08/feature-2/">ITAudit</a>.<br> <br> 24 Mar 2008 22:25:34 GMT http://www.iso27000.es En este documento se presenta una manera de componer las políticas de seguridad de la información basado en la Web utilizando una aplicación, llamada la "Base de datos de conocimiento". <br> <br> El distintivo de esta aplicación es que ofrece soporte para el desarrollo de nuevos documentos utilizando una "compilación de secciones".<br> <br> Los autores pueden definir el esbozo de un documento (las secciones de que está compuesto) y, a continuación, pueden completar las secciones con nuevo contenido.<br> <br> El nuevo contenido puede ser texto original escrito por el autor de política o de partes de texto extraído de los actuales (previamente importados a la base de datos), los documentos de seguridad. <br> <br> Además, la aplicación permite la vinculación de los documentos existentes de conocimientos para componer documentos más grandes (Por ejemplo, guías que contienen un conjunto de políticas que pertenezcan a la misma área temática).<br> <br> La principal filosofía seguida en el desarrollo de esta aplicación es permitir a los usuarios no expertos ser capaces de entender qué es lo que se trata en la composición de una política de seguridad. Además, proporciona plantillas para proyectos como la autoría de políticas personalizadas.<br> <br> Documento sobre el uso de las herramienta y referencias a políticas en <a href="http://www.enisa.europa.eu/doc/pdf/deliverables/knowledge_sec_policy_com_2008.pdf">ENISA</a>.<br> <br> 24 Mar 2008 22:25:33 GMT http://www.iso27000.es (ISC) 2 anunció que sus titulaciones ISSMP (Information Systems Security Management Professional) y CAP (Certification and Accreditation Professional) han sido acreditados por la Organización Internacional para la Estandarización (ISO) y el Instituto Nacional Americano de Estándares (ANSI). <br> <br> El ISSMP sirve como zona de concentración de profesionales CISSP del (ISC) 2 y está diseñado para profesionales de la seguridad de la información/garantía/gestión de los riesgos que se centran en toda la variedad de la gestión del riesgo en la empresa. Aquellos que obtengan el ISSMP debe demostrar competencia en cinco ámbitos de la CBK y debe ser un CISSP en vigor.<br> <br> CAP fue desarrollado en conjunto con el Departamento de Estado de EEUU en respuesta a los requisitos FISMA (U.S. Federal Information Security Management Act), y es la única credencial para los profesionales que participan en el proceso de certificación y acreditación en el sector público así como la gestión de riesgos/mitigación en el sector privado. <br> <br> ANSI/ISO/IEC 17024 establece un punto de referencia a nivel nacional y mundial para la certificación de personas. <br> <br> Noticia en <a href="http://www.net-security.org/secworld.php?id=5898">Net-Security</a>.<br> <br> 24 Mar 2008 22:25:32 GMT http://www.iso27000.es El Jueves 27 de Marzo de 2008 se celebrará en Madrid una nueva edición de las Conferencias de Seguridad FIST. El evento tendrá lugar gracias al patrocinio de S21Sec y a la colaboración del Consejo Superior de Investigaciones Científicas.<br> <br> Información completa en <a href="http://www.fistconference.org/madrid.php">Conferencias FIST</a>.<br> <br> 24 Mar 2008 22:25:31 GMT http://www.iso27000.es Actualmente, estos proyectos no están cumpliendo su objetivo principal: determinar el nivel de riesgo aceptable con el cual puede vivir una organización. Habrá que corregir el rumbo para darle verdadero valor al negocio.<br> <br> Hablar de riesgos en tecnología es complejo. Los resultados son intangibles y es complicado demostrar el retorno de la inversión, pero una vez que estos dos aspectos se dimensionan, los resultados son de mucha valía para cualquier organización.<br> <br> Las compañías no requieren saber la precisión de los valores del riesgo, sino cuáles son aquellos que ponen en peligro la capacidad de operación, servicio y, en algunos casos, la supervivencia de la organización.<br> <br> Articulo completo de Adrian Palma en <a href="http://bsecure.com.mx/articulos.php?id_art=6620&id_sec=66">BSecure</a>.<br> <br> 24 Mar 2008 22:25:30 GMT http://www.iso27000.es BSI (British Standards Institution) ofrece a lo largo de las próximas semanas varios cursos de introducción, implantación y auditoría de ISO 27001 (gestión de seguridad de la información), ISO 20000 (gestión de servicios TI) y BS 25999 (gestión de continuidad de negocio) en Madrid, Barcelona y Bilbao.<br> <br> Más información en <a href="http://www.bsigroup.es/es/Formacion/programacion-cursos/">www.bsigroup.es</a>.<br> <br> 16 Mar 2008 19:50:02 GMT http://www.iso27000.es Del 18 de Marzo al 17 de Abril estará abierto el plazo de presentación de solicitudes de subvención del subprograma Avanza Pyme, al que se pueden acoger acciones para la obtención de certificaciones del proceso del software, certificaciones sobre gestión de servicios TIC y certificaciones sobre sistemas de gestión de la seguridad de la información.<br> <br> Los beneficiarios son pequeñas y medianas empresas, entidades sin fines de lucro y agrupaciones o asociaciones empresariales en las que participen PYMES.<br> <br> Los conceptos susceptibles de ayuda son:<br> <br> - Inversiones materiales o inmateriales de productos de tecnología de la información y las comunicaciones dedicados al proyecto o acción.<br> - Gastos de servicios de tecnología de la información y las comunicaciones dedicados al proyecto o acción durante su plazo de ejecución.<br> - Gastos de personal técnico directamente asignado al proyecto y que tenga relación laboral con la entidad beneficiaria.<br> - Subcontrataciones exclusivamente derivadas del proyecto o acción.<br> - Otros gastos generales suplementarios directamente derivados del proyecto o acción y debidamente justificados.<br> <br> Los importes máximos son:<br> <br> - ISO/IEC 27001:2005 :19.000 euros<br> - UNE-ISO/IEC 20000-1:2005 : 20.000 euros<br> - CMMI o SPICE Nivel 5 : 35.000 euros<br> - CMMI o SPICE Nivel 4 : 30.000 euros<br> - CMMI o SPICE Nivel 2 : 20.000 euros<br> - ISO 9001:2000 (aplicación de UNE/ISO/IEC 90003:2005 Ingeniería del software; la convocatoria alude erróneamente a ISO 9003) : 6.000 euros<br> <br> Más información en <a href="http://www.mityc.es/DGDSI/Servicios/Asesorayudas/2335+Certificacion.htm">Ministerio de Industria</a> y <a href="http://www.mityc.es/NR/rdonlyres/4BC73D00-5DFF-44C5-9931-4B97685C912D/0/Convoca_Avanza2008.pdf">BOE</a>.<br> <br> 16 Mar 2008 19:45:53 +0100 http://www.iso27000.es ISO ha publicado recientemente el estándar "ISO/IEC 24762:2008. Guidelines for information and communications technology disaster recovery services", que proporciona directrices para la provisión de servicios de recuperación de desastres de tecnologías de la información y comunicaciones (TIC) como parte de la gestión de continuidad de negocio, aplicable a proveedores de servicios e instalaciones físicas de recuperación de desastres TIC tanto internos como externos (en outsourcing).<br> <br> La norma está a la venta en <a href="http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=41532">ISO.org</a>.<br> <br> 16 Mar 2008 19:38:14 +0100 http://www.iso27000.es La empresa murciana Firma, Proyectos y Formación ha elaborado un documento donde se recopilan los contenidos mínimos que deben incluir los procedimientos, normas y registros establecidos en el Título VIII (De las medidas de seguridad en el tratamiento de datos de carácter personal) del nuevo Reglamento de la LOPD.<br> <br> Para ello, han analizado los requisitos que establece cada una de las medidas, teniendo en cuenta las aplicables al tratamiento tanto automatizado como manual, seleccionando todas aquellas que requieren la elaboración de algún tipo de documento e identificando los contenidos mínimos de cada una de ellas. <br> <br> De esta forma, en la línea a la que ya nos tiene acostumbrados esta empresa con otros trabajos, pone a disposición pública un documento muy práctico y conciso. Descargable en <a href="http://www.firma-e.com/documentos/Contenido%20de%20los%20procedimientos.pdf">www.firma-e.com</a>.<br> <br> 16 Mar 2008 18:36:48 +0100 http://www.iso27000.es El IIA (Institute of Internal Auditors) ha publicado la segunda edición de su guía de la Sección 404 de Sarbanes-Oxley para directivos.<br> <br> La Sección 404 establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. Esta sección está, por tanto, muy relacionada con controles relativos a seguridad de la información.<br> <br> A lo largo de 78 páginas, esta guía da una visión completa de todo lo relacionado con la Sección 404 y cómo implantarlo y mantenerlo en una organización.<br> <br> Disponible para su descarga gratuita en <a href="http://www.theiia.org/download.cfm?file=31866">www.theiia.org</a>.<br> <br> 16 Mar 2008 18:14:51 +0100 http://www.iso27000.es El próximo 3 de Abril tendrá lugar en el Parc Tecnologic de Barcelona el evento Asegur@IT II.<br> <br> Las ponencias versarán sobre:<br> <br> Riesgos en sistemas de VoIP y sistemas IM.<br> Análisis Forense en Máquinas Windows.<br> Compromiso de servidores web mediante la inclusión de ficheros.<br> Novedades de seguridad de Microsoft.<br> <br> Más información e inscripciones en <a href="http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032372757&Culture=es-ES">Microsoft</a>.<br> <br> 16 Mar 2008 17:49:48 +0100 http://www.iso27000.es <a href="http://www.gobiernotic.es/2008/03/una-presentacin-interesante.html">Antonio Valle</a> referencia en su blog una interesante presentación que la empresa mexicana <a href="http://www.on-site.com.mx/">Microsistemas de Occidente SA de CV</a> ha puesto a disposición pública en <a href="http://www.slideshare.net">Slideshare</a>, relativa a un seminario de ITIL.<br> <br> Visualizable <a href="http://www.slideshare.net/guest9796c0/curso-itil-para-las-empresas/">aquí</a>.<br> <br> 16 Mar 2008 17:26:57 +0100 http://www.iso27000.es Hace ya unos meses, <a href=" http://www.enisa.europa.eu">ENISA</a> (European Network and Information Security Agency) publicó un documento titulado "Botnets - La amenaza silenciosa", cuyo autor es David Barroso, de la empresa española S21sec.<br> <br> Se trata de un resumen de 12 páginas sobre el gran problema que representan los Botnets, sus métodos de infección y distribución, su uso y objetivos, los distintos roles dentro del crimen organizado, las tendencias, las contramedidas y los recursos disponibles.<br> <br> Está disponible para su descarga en <a href=" http://www.enisa.europa.eu/doc/pdf/deliverables/enisa_pp_botnets.pdf">ENISA</a>.<br> <br> 16 Mar 2008 11:52:00 +0100 http://www.iso27000.es <a href=" http://www.enisa.europa.eu">ENISA</a> (European Network and Information Security Agency) ha publicado una actualización de su directorio Who is Who de organismos, instituciones y organizaciones europeas relacionadas con la seguridad de la información, ordenada por países.<br> <br> Está disponible <a href=" http://www.enisa.europa.eu/doc/pdf/deliverables/who_is_who_dr_20080121.pdf">aquí</a>.<br> <br> 16 Mar 2008 11:36:59 +0100 http://www.iso27000.es Martín Pérez Sánchez, presidente del patronato de FUNCOAS (Fundación para la Transferencia del Conocimiento de ASIMELEC) y el presidente de ISMS Forum Spain, Gianluca D’Antonio, han firmado un acuerdo marco de colaboración, en virtud del cual ambas organizaciones cooperarán en la difusión y promoción de la seguridad de la información en España, así como en iniciativas que contribuyan a mejorar la formación de los profesionales del sector.<br> <br> El acuerdo, que tiene una vigencia anual prorrogable, prevé la cooperación en la organización de actividades de carácter divulgativo, editorial y/o formativo, y se ha concretado ya con la colaboración entre ambas instituciones en diversas iniciativas.<br> <br> Más información en <a href="https://www.ismsforum.es/noticias.php?id_seccion=6">ISMS Forum Spain</a>.<br> <br> 16 Mar 2008 10:34:43 +0100 http://www.iso27000.es El <a href="http://groups.google.com/group/iso27001security">ISO27k Implementers’ Forum</a>, liderado por <a href="http://www.iso27001security.com/index.html">Gary Hinson</a>, ha publicado otro de sus interesantes documentos colaborativos.<br> <br> En esta ocasión se trata de una guía de auditoría de SGSIs, con el objetivo de colaborar en el desarrollo de ISO/IEC 27007 (la norma ISO que estará dedicada a esta cuestión), aportándole al comité correspondiente una serie de ideas y recomendaciones procedentes de la prática.<br> <br> El documento, práctico y conciso como todos los que ha editado el foro hasta ahora, dedica 9 páginas al alcance (de la guía), referencias normativas, términos y definiciones, principios de auditoría, gestión de un plan de auditoría, actividades de auditoría y competencia y evaluación de auditores. En otras 27 páginas de anexos propone una checklist de auditoría para las cláusulas 4 a la 8 de ISO 27001 y otra para los 39 objetivos de control del Anexo A de la norma.<br> <br> El documento puede descargarse libremente de <a href="http://www.iso27001security.com/ISMS_Auditing_Guideline_release_1.pdf">www.iso27001security.com</a> <br><br> 16 Mar 2008 09:55:01 +0100 http://www.iso27000.es El próximo 29 de mayo, la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, celebrará su III Jornada Internacional bajo el título de "Compliance en Seguridad de la Información: claves y tendencias. Una visión global del presente y una mirada al futuro".<br> <br> Lugar de celebración: Hotel HUSA Princesa, Madrid.<br> <br> Organiza: ISMS Forum Spain, con la colaboración del Instituto Nacional de Tecnologías de la Comunicación (INTECO). <br> <br> Algunos ponentes destacados:<br><br> Andrea Pirotti, Director Ejecutivo de ENISA (European Network and Information Security Agency) <br> Scott L. Mitchell, Chair & CEO Open Compliance & Ethics Group (OCEG), EE.UU.<br> Enrique Martínez, director de INTECO<br> Salvador Soriano, subdirector general de Servicios de la Sociedad de la Información. Ministerio de Industria, Turismo y Comercio.<br> Lucio Augusto Molina Focazzio, Ex Vicepresidente de ISACA<br> Thomas Raschke, Senior Analyst, Forrester Research<br> Santiago Álvarez de Mon, Profesor de Dirección de Personas en las Organizaciones en el IESE<br> Pierre Noel, Lead IT Security Consultant. Information Security & Risk Management Evangelist, IBM<br> <br> Tasas de inscripción: Socios de ISMS Forum Spain, gratuito; no socios, 360 euros. La jornada incluye un coffee-break y un almuerzo.<br> <br> Idiomas: Se facilitará traducción simultánea inglés-español.<br> <br> Más Información: <a href="http://www.ismsforum.es">www.ismsforum.es</a> <br><br> 14 Mar 2008 12:02:34 +0100 http://www.iso27000.es Hemos revisado nuestra sección de <a href="http://www.iso27000.es/otros_estandar.html">Otros Estándares</a>, actualizando contenidos y añadiendo el estándar BS 25777 de gestión de continuidad de servicios TI, que se publicará en dos partes en 2008 y 2009.<br> <br> 5 Mar 2008 07:50:19 +0100 http://www.iso27000.es/otros_estandar.html Recientemente, el Business Continuity Institute ha publicado la versión de 2008 de su conocida guía de buenas prácticas de gestión de continuidad de negocio.<br> <br> Se trata de un excelente documento que, a lo largo de 121 páginas, va desgranando las distintas fases que componen la gestión de la continuidad de negocio en una organización. En esta ocasión, la guía se ha revisado para acercarla más a la norma BS 25999-2.<br> <br> Está disponible para su descarga gratuita en <a href="http://www.thebci.org/gpg.htm">www.thebci.org</a>.<br> <br> 4 Mar 2008 22:01:04 +0100 http://www.iso27000.es Durante el mes de Enero, ISACA ha certificado a los seis primeros profesionales a nivel mundial en su nueva certificación personal de CGEIT (Certified in the Governance of Enterprise IT), en el marco de su programa de "grandfathering" (exención de examen por méritos y reconocida experiencia profesional). Los certificados han sido para Christopher Dorr, John W. Lainhart, John P. Pironti, Vernon Richard Poole, Thomas Shaw y Nichola M. Tiesenga.<br> <br> Más información sobre la certificación CGEIT de buen gobierno de las tecnologías de la información en <a href="https://www.isaca.org/Template.cfm?Section=Certification&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=16&ContentID=36129">ISACA</a>.<br> <br> 4 Mar 2008 22:00:48 +0100 http://www.iso27000.es El Capítulo de Madrid de ISACA tiene previstos una serie de cursos de auditoría y seguridad a lo largo de los próximos meses. En concreto, se trata de los siguientes:<br> <br> Auditoría informática: Fundamentos. 26 y 27 de marzo.<br> Estadística para Auditores. 21 y 22 de abril 2008.<br> Seguridad en Aplicativos web. 12 y 13 de mayo 2008.<br> Análisis forense y generación de evidencias electrónicas. 9 y 10 de junio.<br> Seguridad en los SI: Aspectos prácticos; de la teoría a la realidad. 20 junio.<br> Criptografía para Auditores. 16 octubre.<br> Auditoría del Outsourcing en los SI. 30 octubre.<br> Plan de Continuidad de Negocio (Def., Impl., y Evoluc.). 10 y 11 de noviembre.<br> Normativas, guías y estándares en seguridad. EN PREPARACIÓN.<br> <br> Para más información: <a href="http://www.auditoresdesistemas.com/formacion/cursosdetalle.asp?realizado=1">www.auditoresdesistemas.com</a>.<br> <br> 4 Mar 2008 18:40:43 +0100 http://www.iso27000.es/eventos.html El Capítulo de Madrid de ISACA ha organizado unos cursos de preparación de cara a la convocatoria de examen de Junio de CISA y CISM.<br> <br> Para CISA, los cursos ofrecidos tienen dos modalidades:<br> <br> I. Curso Integral - Fines de Semana<br> Este curso, de 56 horas, que se desarrollará los fines de semana (viernes por la tarde y sábados por la mañana), abarca dos módulos: uno de teoría, y otro de simulacros de examen. La matriculación puede realizarse a ambos módulos, o a cualquiera de ellos.<br> Este curso comienza el 4 de abril de 2008, y se extiende (con fines de semana libres, entre ellos los festivos), hasta el 7 de junio.<br> <br> II. Curso Intensivo - Una semana<br> Este curso, de 32 horas, que se desarrollará durante una semana de lunes a viernes, abarca una revisión de las áreas de contenido, y asimismo simulacros de examen. Este curso está especialmente pensado para aquellas personas que vivan fuera de la ciudad de Madrid, o bien que por obligaciones profesionales no puedan asistir al Curso Integral de fines de semana.<br> Este curso se realizará en la semana del 5 al 9 de mayo de 2008. Los horarios serán por la mañana de 9:30 a 13:00 horas, y por la tarde de 15:00 a 18:00 horas, de lunes a jueves y el viernes en horario de mañana.<br> <br> Para CISM:<br> <br> Un curso, de 45 horas, que se desarrollará los fines de semana (sábados por la mañana) y abarca dos módulos: uno de teoría, y otro de simulacros de examen. La matriculación puede realizarse a ambos módulos, o a cualquiera de ellos.<br> Este curso comienza el 29 de marzo de 2008, y se extiende (con fines de semana libres, entre ellos los festivos), hasta el 7 de junio.<br> <br> Para más información: <a href="http://www.auditoresdesistemas.com/formacion/cursosdetalle.asp?realizado=1">www.auditoresdesistemas.com</a>.<br> <br> 4 Mar 2008 18:26:01 +0100 http://www.iso27000.es/eventos.html <a href="http://nexus.realtimepublishers.com">Realtime Publishers</a> publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.<br> <br> En esta ocasión, se trata de un documento de 88 páginas dedicado a la implantación certificados SSL de validación ampliada (Extended Validation SSL Certificates), un sistema mejorado en la autenticación y verificación que ofrecen los tradicionales certificados SSL. Los capítulos que contiene son:<br> <br> Chapter 1: Security Challenges and the Business Case for EV SSL Certificates<br> Chapter 2: Overview of SSL and EV-SSL Certificates<br> Chapter 3: Authentication and Verification<br> Chapter 4: User Experience<br> Chapter 5: Future of EV SSL Certificates<br> <br> El documento, previa inscripción, puede descargarse gratuitamente de <a href="http://nexus.realtimepublishers.com/sgevsc.htm">Realtime Nexus</a>.<br> <br> 4 Mar 2008 10:27:02 +0100 http://www.iso27000.es <a href="http://nexus.realtimepublishers.com">Realtime Publishers</a> publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.<br> <br> En esta ocasión, se trata de un documento de 238 páginas dedicado a la implantación de VoIP y telefonía IP, con 8 capítulos principales:<br> <br> Chapter 1: Forward ... Into the Past!<br> Chapter 2: The IP Telephony Lifecycle<br> Chapter 3: Planning & Assessment<br> Chapter 4: Design and Pre-Deployment Testing<br> Chapter 5: Implementation and Migration<br> Chapter 6: Ongoing Operations<br> Chapter 7: Optimization<br> Chapter 8: Sweating the Details and Assuring Success<br> <br> El documento, previa inscripción, puede descargarse gratuitamente de <a href="http://nexus.realtimepublishers.com/DGSDVIP.htm">Realtime Nexus</a>.<br> <br> 4 Mar 2008 10:22:07 +0100 http://www.iso27000.es <a href="http://nexus.realtimepublishers.com">Realtime Publishers</a> publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.<br> <br> En esta ocasión, se trata de un documento de 238 páginas dedicado a la gestión de plataformas virtualizadas, con 10 capítulos principales:<br> <br> Chapter 1: The Business Value of Virtualization<br> Chapter 2: Virtualization Scenarios and Applications<br> Chapter 3: Comparing Virtualization Approaches<br> Chapter 4: Virtualization Management Challenges<br> Chapter 5: Managing Heterogeneous Virtual Environments<br> Chapter 6: Monitoring Virtualization Performance<br> Chapter 7: Optimizing Virtualization Performance<br> Chapter 8: Virtualization Management: Policies and Processes<br> Chapter 9: Virtualization Management: Data Center Automation<br> Chapter 10: Evaluating Virtualization Management Solutions<br> <br> El documento, previa inscripción, puede descargarse gratuitamente de <a href="http://nexus.realtimepublishers.com/dgvpm.htm">Realtime Nexus</a>.<br> <br> 4 Mar 2008 10:01:31 +0100 http://www.iso27000.es Del 07 al 11 de Abril, la entidad de certificación SGS impartirá un curso IRCA de Lead Auditor en Sistemas de Gestión de Servicios TI (ISO 20000) en Bogotá, Colombia.<BR> <BR> El programa IRCA (International Register of Certificated Auditors) para auditores SGSTI ha sido desarrollado en asociación con la Japan Information Processing Development Corporation (JIPDEC) y el ITSMF UK, como respuesta a la demanda de auditores competentes en sistemas de gestión de servicios TI.<BR> <BR> Más información e inscripciones en <A href="http://www.co.sgs.com/es_co/training_co_v2/co_training_mini_site_auditores/auditor_lider_iso_20001.htm">SGS Colombia</A>.<BR> <BR> Asimismo, del 14 al 18 de Abril, se impartirá un curso IRCA de Lead Auditor en Sistemas de Gestión de Seguridad de la Información (ISO 27001), también en el centro de formación en Bogotá, Colombia.<BR> <BR> Más información e inscripciones en <A href="http://www.co.sgs.com/es_co/training_co_v2/co_training_mini_site_auditores/auditor_lider_iso_27001_iso_17799.htm">SGS Colombia</A>.<BR> <BR> Los cursos permiten la obtención del titulo de "Auditor Jefe" en las normas ISO 20000 e ISO 27001, expedido por el IRCA a aquellos alumnos que asistan al curso y que superen el examen final, recibiendo un título de reconocido prestigio internacional.<BR> <BR> 4 Mar 2008 09:20:13 +0100 http://www.iso27000.es/eventos.html La empresa GET -Grupo de Estudios Técnicos- ofrece en Madrid, a través de su Centro de Estudios de Seguridad, diversos cursos y seminarios relacionados con seguridad física y lógica.<BR> <BR> Próximamente, están previstos:<BR> <BR> 6 de Marzo, Televisión Digital en Seguridad (Vigilancia + Control)<BR> 12 a 13 de Marzo, Diseño, Instalación, Recepción y Mantenimiento de Sistemas de Detección de Intrusión<BR> 31 de Marzo, Evaluación de la Calidad de los Servicios de Seguridad<BR> 2 a 3 de Abril, Diseño, Instalación, Recepción y Mantenimiento de Sistemas de Vigilancia por CCTV<BR> 9 a 10 de Abril, Diseño, Instalación, Nuevas Tecnologías y Aplicaciones de Sistemas de Control y Gestión de Accesos<BR> 22 de Mayo, Comunicaciones de Seguridad Basadas en Redes IP<BR> <BR> Más información e inscripciones en <A href="http://www.seguridad-formacion.com/default.asp?pag=programas">GET</A>.<BR> <BR> 2 Mar 2008 11:44:27 +0100 http://www.iso27000.es/eventos.html En Noviembre pasado, British Standards Institution publicó el estándar BS 8495:2007, que es un código de buenas prácticas para el uso de sistemas de grabación con cámaras con objeto de utilizarse como evidencias en los tribunales.<BR> <BR> Puesto que cada vez están más extendidos los sistemas CCTV orientados a vigilancia y seguridad y aumenta el uso de las imágenes obtenidas como pruebas en juicios, este estándar da recomendaciones sobre la especificación, selección, instalación y operación de sistemas de grabación de CCTV digital, tratando temas como la calidad de imagen, autenticidad de imagen, almacenamiento, exportación de imágenes, concienciación de operadores o trazabilidad.<BR> <BR> La norma en inglés puede adquirirse online en <A href="http://www.bsigroup.com/en/Shop/Publication-Detail/?pid=000000000030156323">BSI</A>.<BR> <BR> 2 Mar 2008 11:09:56 +0100 http://www.iso27000.es La Fundación Dintel comienza a impartir el próximo 7 Marzo un curso de preparación al examen de CISM de ISACA que se extenderá hasta el 31 de Julio. Tendrá lugar en Madrid y on-line.<BR> <BR> Más información en <A href="http://www.dintel.org/web/Formacion/Tecnica/CISM/InfoGral.htm">Dintel.org&l