ISO 27001: Sistemas de gestión de la seguridad de la información

Novedades iso27002.es

Tue, 31 Jan 2012 11:47:09 +0100

Destacamos algunas de las novedades de ISO27002.es relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001:

- 12.6.1. Control de las vulnerabilidades técnicas: Enlaces a escaner de vulnerabilidades (free hasta 128 IPs) para desarrollar valoraciones en todo tu entorno y herramienta para la investigación forense y ejecutables en entornos Windows y Unix.

- 99.1.1 Cloud Computing: Ampliamos las soluciones de ISO 27002 con un apartado dedicado al Cloud Computing y posibles herramientas de utilidad.

- 15.1.2. Derechos de propiedad intelectual: Belarc Advisor no solo controla licencias instaladas en equipos y construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web de forma privada e interna a la empresa..

ISO27002.es cuenta con el patrocinío de: GesConsultor (Plataforma para Sistemas de Gestión).

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa.

El futuro en la autenticación Web

Tue, 31 Jan 2012 11:28:47 +0100

Muchos expertos en seguridad opinan que el modelo de confianza de Internet se ha roto por los problemas actuales con los protocolos "Secure Sockets Layer" y "Transport Layer Security". Plantear soluciones necesitará de tiempo y un alto grado de colaboración.

Artículo original en Dark Reading

Cuarta sesión anual abierta de la AEPD: Alojamiento en La Nube

Tue, 31 Jan 2012 11:26:32 +0100

El viernes 27 de enero de 2012 tuvo lugar la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos. Si las jornadas de los últimos dos años tuvieron por protagonistas a la Videovigilancia y a la Administración Electrónica, esta vez le tocó el turno al alojamiento de datos personales en La Nube.

Análisis de la jornada por José Carlos Moratilla de Audea

SABSA (Sherwood Applied Business Security Architecture) framework

Fri, 27 Jan 2012 21:04:39 +0100

SABSA es un modelo y una metodología para el desarrollo de arquitecturas de seguridad de la información en las empresas en función del riesgo y para la entrega de soluciones de seguridad de las infraestructuras que den soporte a las iniciativas críticas de negocio.

La características principales del modelo SABSA es que todo debe derivarse de un análisis de los requisitos de negocio y de la seguridad, especialmente en aquellos casos en los que la seguridad tiene una función de apoyo a las nuevas oportunidades de negocio que pueden ser desarrolladas y son susceptibles de ser explotadas.

Las empresas tendrán que adaptarse a la nueva normativa en materia de protección de datos de la Unión Europea

Fri, 27 Jan 2012 21:00:38 +0100

La nueva normativa sustituirá a la Directiva 95/46 de Protección de Datos de la UE, que ha sido parte importante de la legislación europea sobre privacidad y derechos humanos, y bajo la que se han regido las empresas europeas durante 13 años.

La propuesta para una legislación europea más estricta en materia de protección de datos va a obligar a las empresas en toda la UE a reforzar sus procesos de gestión de la información.

Noticia completa en Diario Jurídico

"WhatsApp es una aplicación insegura"

Thu, 26 Jan 2012 20:39:36 +0100

Félix Brezo, investigador en seguridad informática del instituto tecnológico DeustoTech de la Universidad de Deusto, es tajante: "WhatsApp es una aplicación insegura", y ofrece alternativas como Skype o Gtalk. "En el caso de una carta, cuando yo la envío tiene que leerla solo el destinatario", ilustra. Con WhatsApp, "mínimo el cartero lo va a ver". "Usar WhatsApp es como enviar secretos con postales", ejemplifica.

Apple ha decidido sacar esta aplicación de su tienda, del App Store. Las razones de esta decisión se desconocen, pero algunos expertos apuntan a la inseguridad.

La aplicación también registra las coordenadas GPS desde las que se envió cada mensaje si esta funcionalidad está activada.

Noticia completa en el Norte de Castilla

Cae casi 20% protección IT de infraestructuras críticas de gobierno e industria

Thu, 26 Jan 2012 20:36:59 +0100

La encuesta sobre Protección de Infraestructura Crítica (CIP, por sus siglas en inglés), realizada por la firma de seguridad Symantec, reveló que a diferencia del año 2010, en el 2011 las empresas mostraron un índice de participación CIP en programas gubernamentales de protección del 82%, lo que muestra una reducción de 18 puntos.

Mientras tanto en América Latina, incluido México, el índice de participación es de 88%.

Noticia completa en b:secure

2012: actualización de amenazas y vulnerabilidades

Thu, 26 Jan 2012 20:25:16 +0100

CISCO ha publicado un interesante informe en el que analiza el pasado 2011 y sintetiza las amenazas y vulnerabilidades asociadas a las actividades actuales de los usuarios y en el que destaca el modo en que se utilizan los dispositivos que facilitan la movilidad y las exposiciones de las empresas a las que se debería hacer frente con medidas de seguridad apropiadas para evitar afectaciones.

INTECO-OSI: Servicio de soporte y ayuda en tiempo real

Thu, 26 Jan 2012 20:12:34 +0100

La Oficina de Seguridad del Internauta (OSI), servicio del Instituto Nacional de Tecnologías de la Comunicación, INTECO, acaba de lanzar un nuevo canal para su relación con los usuarios: un servicio de soporte y ayuda en tiempo real, basado en un sistema de chat, al que puede accederse desde su página web www.osi.es.

A través de este nuevo canal los técnicos de la OSI ayudarán gratuitamente a los usuarios que tengan dudas o problemas de seguridad, de una forma interactiva, dinámica y no intrusiva, guiándoles en caso necesario a través de indicaciones sobre la propia pantalla del ordenador del usuario.

Bayes y los falsos positivos

Thu, 26 Jan 2012 20:06:21 +0100

En muchos casos la primera vez que un especialista de la información se encuentra con la regla de Bayes es cuando se busca justificar las inversiones en seguridad de una empresa para poder "vender" en proyecto en cuestión a un gerente de administración y finanzas.

Articulo del Ing.Carlos Ormella Meyer para iso27000.es

Los Reyes Magos pasaron por nuestro portal ISO27002.es de soluciones en seguridad

Wed, 11 Jan 2012 11:44:00 +0100

ISO27000.es incorpora novedades para este 2012 relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001, entre las que destacamos:

- 10.1.1. Documentación de procedimientos operativos: Incluimos un enlace a una guía práctica para el análisis y plan de respuesta a incidentes para ataques DoS de Denegación del Servicio.

- 10. 4. 1. Medidas y controles contra software malicioso: Solución gratuita disponible desde Android Market que proporciona defensa antirobo y escaner Anti-Virus Lite alerta sobre aplicaciones potencialmente maliciosas antes de que dañen tu nuevo smartphone.

Adicionalmente una guía ENISA con 5 líneas para combartir el robo de información sensible (SMS, llamadas, fotografías, geolocalización, etc.) en smartphnes.

- 10. 10. 1. Registro de incidencias: Guía de referencia rápida para habilitar auditoría en LINUX y registrar y hacer un seguimiento integral de acceso a los archivos, directorios y recursos de su sistema, así como de las llamadas del sistema.

ISO27002.es cuenta con el patrocinío de: GesConsultor (Plataforma para Sistemas de Gestión).

Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles patrocinios de esta iniciativa.

NIST busca comentarios públicos para la guía de seguridad BIOS

Wed, 11 Jan 2012 11:40:47 +0100

El proyecto de directrices en fase de borrador (NIST SP 800 a 155) está orientado a proveedores y profesionales de la seguridad con el propósito de mejorar la seguridad en BIOS.

NIST declaró que, los cambios no autorizados en BIOS pueden causar una amenaza significativa para la seguridad porque el sistema funciona en un nivel más bajo y antes de que otras protecciones de seguridad queden activas.

SP 800-155 explica los fundamentos para medir la integridad en BIOS como base para saber y notificar si se han aplicado modificaciones no deseadas.

Comentarios públicos al borrador abiertos hasta el 20 de enero de 2012 y enviados via email según se indica en "Comment SP 800-155” del propio documento.

Agenda TV: Canal GobiernoTI

Wed, 11 Jan 2012 11:27:29 +0100

Desde la asociación itSMF España se publican videos con ponencias relacionadas con el Gobierno TI desde la plataforma de video streaming globbtv.com que permanecen disponibles bajo demanda.

Entre los temas publicados recientemente y relacionados con seguridad destacamos:

- SEGURIDAD DESDE EL DISEÑO: CONFÍA EN LA INNOVACIÓN

- INTEGRAR PARA SIMPLIFICAR: 20K+27K+14K+38K+...

Fraude y delito económico mundial 2011

Wed, 11 Jan 2012 00:57:55 +0100

"La escasez de recursos, junto con las difíciles circunstancias económicas por las que atraviesa España, se ha convertido en un caldo de cultivo perfecto para la proliferación de los delitos económicos en nuestro país."

"En el estudio de este año destaca el crecimiento con fuerza de los delitos informáticos, que han llegado a representar entorno al 4% sobre el total de los casos de fraude sufridos por las empresas españolas en los últimos 12 meses, y un incremento de aproximadamente el 130% en relación a los datos derivados de nuestro Informe sobre delitos económicos y fraude empresarial de 2009."

Publicaciones ENISA

Wed, 11 Jan 2012 00:25:27 +0100

ENISA ha publicado recientemente:

- Un informe sobre que identifica áreas potenciales de mejora para aumentar la seguridad de la información y la resiliencia de los sistemas públicos, redes, productos y servicios.

- Un informe sobre seguridad informática en el sector marítimo.

- Un informe sobre eventos de seguridad en UE y la celebración un posible mes Europeo para la seguridad.

Los autores de iso27000.es hemos participado de nuevo en los grupos de ENISA junto a otros colaboradores de varios paises para la elaboración de este último informe.

¿Pediste un smartphone a los Reyes Magos? Ahora toca protegerlo

Wed, 11 Jan 2012 00:04:31 +0100

Para todos aquellos que quieran estrenar el móvil inteligente que le han traído los Reyes Magos, de forma segura, Kaspersky Lab ha reunido una serie de consejos que ayudarán a los usuarios para navegar de forma segura y rápida en la Red, ya que los smartphones seguirán siendo objetivo principal de los cibercriminales en 2012.

ESPECIAL: Los 10 consejos de seguridad del 2012 para CISO y empresas

Wed, 11 Jan 2012 00:01:35 +0100

"La siguiente guía no apunta a la promoción o venta de ningún producto en particular, sino que buscan actuar como marco de referencia para conocer y comenzar a analizar vectores de ataque que quizá hemos pasado por alto o aún no estamos contemplando."

Japón lanzará virus como táctica de ciberdefensa

Tue, 10 Jan 2012 23:51:45 +0100

De acuerdo con medios japoneses, la Secretaría de Defensa del país nipón se encuentra en proceso de desarrollo de un virus informático capaz de rastrear, identificar, y deshabilitar fuentes de ciberataques. Artículo completo e implicaciones en b:secure

Oferta de empleo: Consultor de seguridad

Tue, 10 Jan 2012 23:48:33 +0100

La consultora de seguridad AUDEA busca profesionales para desarrollar labores de auditoría, consultoría y formación en seguridad.

Seguridad “low cost”

Tue, 10 Jan 2012 23:44:00 +0100

En el blog de Alfredo Reino se desarrollan referencias de soluciones gratuitas y de bajo coste tomando en consideración a la PYME y MICROPYME.

20 preguntas para hacerle a su proveedor de la nube

Tue, 10 Jan 2012 23:10:06 +0100

Tan pronto como usted contrate a un proveedor de nube debería preocuparse no sólo por su seguridad TI interna, también por la del propio proveedor. Si es una empresa pequeña o mediana podría asumir que la seguridad del proveedor es superior a la suya, y puede que tenga razón, pero asegúrese de hacer en cualquier caso algunas preguntas correctas.

NIST SAMATE Reference Dataset Project

Tue, 10 Jan 2012 22:55:25 +0100

El propósito del conjunto de datos de referencia SAMATE (SRD) es proporcionar a usuarios, investigadores y desarrolladores de software, unas herramientas para la seguridad con una serie de fallos de seguridad conocidos. Estos casos de prueba son diseños, código fuente, archivos binarios, etc, de todas las fases del ciclo de vida del software.

El proyecto prevé abarcar una amplia variedad de posibles vulnerabilidades, lenguajes, plataformas y compiladores y convertirse en un esfuerzo a gran escala con la recopilación de casos de prueba de muchos colaboradores.