BSI España ha publicado su calendario de cursos para 2009, en áreas como ISO 27001, ISO 20000, BS 25999, etc.

De los cursos que se impartirán en breve durante el mes entrante, se incluye uno de Auditoría de ISO 27001 (Lead Auditor) del 19 al 23 de Enero en Madrid.

Más información e inscripciones en www.bsigroup.es.


BSI España tiene programado un curso de Auditoría de ISO 27001 (Lead Auditor) del 1 al 5 de Diciembre en Madrid.

En este curso se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el correspondiente certificado. Certificación de Lead Auditor en ISO 27001 que, progresivamente, el mercado va exigiendo cada vez más a los profesionales de la seguridad de la información.

Más información e inscripciones en www.bsigroup.es.


Carlos Ormella, conocido experto en seguridad de la información, ha aportado a ISO27000.ES un completo y profundo artículo sobre el retorno de la inversión en seguridad (ROSI) en relación a las primas de seguros.

Carlos introduce en la explicación del ROSI toda una serie de conceptos muy conocidos en Economía (TIR, VAN, PRI...) pero quizás no suficientemente utilizados en seguridad, buscando así un lenguaje común para técnicos y financieros.

Artículo disponible aquí.


La reciente publicación ITAF (A Professional Practices Framework for IT Assurance) es un manual de consulta que ha sido realizado por la red global de ISACA de Gobierno de IT, Control, Seguridad y consultoría de IT.

En un solo manual se integran directrices, estándares, definiciones, políticas y procedimientos, programas de trabajo, desarrollo de proyectos e informes, etc., relativos a auditoría y aseguramiento IT.

ITAF esta disponible sin cargo alguno para los miembros de ISACA, aunque hay un resumen gratuito de acceso libre en www.isaca.org/itaf.


Office Depot, una de las mayores empresas internacionales dedicadas a la venta de artículos para oficina, ha sido la primera en obtener la certificación del sistema de gestión de la calidad, bajo la nueva norma ISO 9001:2008 en España.

El sistema ha sido certificado por British Standards Institution (BSI), pionera, desde 1979, en normas que dieron origen a la ISO 9001.Con eso, BSI ha sido la primera entidad de certificación en certificar a una empresa en ISO 9001:2008.

Más información en BSI España.


Divertida -y real- presentación que realizaron Samuel Linares y Nacho Paredes en ENISE acerca de la falta de alineación de la industria de la seguridad con la situación real de la gran mayoría de compañías: en InfoSecMan.


El SC27 a través del grupo de Ad-Hoc de Evidencias electrónicas coordinado por Paloma LLaneza ha acordado elaborar dos normas sobre evidencias electrónicas:

Un PNE (Proyecto de Norma Española) de gestión de evidencias electrónicas. Esta norma pretende definir el proceso de gestión de las evidencias electrónicas, los controles que aplican a la gestión de las evidencias electrónicas y los formatos y mecanismos técnicos de estas, todo ello con la finalidad de que dichas evidencias electrónicas tengan la mayor consideración posible como prueba, en caso de ser posteriormente extraídas.

Un PNE de análisis forense, que cubre el proceso de captura de las evidencias con las garantías debidas para que tenga valor probatorio en juicio y frente a terceros.

Más información en el blog de AEDEL (Asociación Española de Evidencias Electrónicas).


El dominio 12 del Anexo A de ISO 27001 incluye una serie de controles orientados a la inclusión de todos los aspectos de seguridad en el proceso adquisición, desarrollo y mantenimiento de sistemas de información.

Existen distintas metodologías para la sistematización de las actividades que dan soporte al ciclo de vida del software y una de ellas es la creada por el Ministerio de Administraciones Públicas español, cuyo nombre es MÉTRICA 3.

Esta metodología de planificación, desarrollo y mantenimiento de sistemas de información cubre las fases del ciclo de vida correspondientes a la planificación de sistemas de información, estudio de viabilidad del sistema, análisis del sistema de información, diseño del sistema de información, construcción del sistema de información, implantación y aceptación del sistema y mantenimiento de sistemas de información.

La extensa documentación que la describe está disponible para su descarga gratuita en www.csi.map.es/csi/metrica3/index.html e incluye un documento dedicado exclusivamente a los aspectos relativos a la seguridad.


Blog de (ISC)²
08/November/2008
(ISC)², la prestigiosa organización orientada a la formación y certificación de profesionales de la seguridad de la información, mantiene un interesante blog en inglés en el cual colaboran regularmente conocidos expertos internacionales en la materia.

Disponible en blog.isc2.org


El "Canadian Centre for Emergency Preparedness" ofrece en su página web una serie de plantillas y ejemplos de planes de continuidad de negocio y de recuperación de desastres, además de incluir una lista de enlaces a otras webs que ofrecen lo mismo.

Disponible en www.ccep.ca/cceptemp.shtml


Este mes de Noviembre ha comenzado su andadura un nuevo blog en español dedicado a la sostenibilidad corporativa: http://sostenibilidadcorporativa.blogspot.com

Su autor, reconocido experto en la materia, la define como la pervivencia de la organización a medio y largo plazo de forma compatible con sus grupos de interés y creando valor para los mismos, basándose en la ética personal y empresarial, la creatividad, liderazgo, innovación y en todas las herramientas y metodologías disponibles. Entre dichas herramientas, la gestión proactiva y estratégica de desafíos (riesgos y oportunidades) de manera alineada con las expectativas de los diversos grupos de interés, a fin de maximizar la sostenibilidad corporativa de forma consiliente con el bien individual y general, actual y futuro.


Hasta final de 2008, BSI ofrece los siguientes cursos de ISO 27001 y BS 25999 en España:

Auditor Jefe de ISO 27001:
10-14 Noviembre, Madrid.
24-28 Noviembre, Madrid.
1-5 Diciembre, Madrid.
15-19 Diciembre, Valencia.

Implantación de ISO 27001:
1-3 Diciembre, Madrid.

Auditor Jefe de BS 25999:
10-14 Noviembre, Barcelona.
24-28 Noviembre, Valencia.
15-19 Diciembre, Madrid.

Implantación de BS 25999:
17-18 Noviembre, Madrid.

Más información e inscripciones en www.bsigroup.es


A mes de Octubre de 2008, hay 4.848 organizaciones con certificación acreditada en ISO 27001 en el mundo, según el conocido registro "International Register of ISMS Certificates".

Encabeza la lista, como desde hace años, Japón, con 2.789 certificaciones, le sigue India con 427 y el Reino Unido con 368.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

España: 25.
México: 20.
Colombia: 7.
Chile: 3.
Perú: 3.
Uruguay: 1.


Desde hace un par de meses, Edgard Ansola y Dani Puente, dos profesionales de la seguridad de la información de una conocida empresa española, mantienen EDDASEC, un blog dedicado a distintos temas relacionados con la materia (LOPD, concienciación, auditoría, continuidad de negocio, tests de penetración, etc.).

Disponible en http://eddasec.blogspot.com/


El ROSI e ISO 27001
02/November/2008
AudiSec, empresa española especializada en seguridad de la información ha hecho llegar a ISO27000.ES para su publicación un artículo abordando el ROSI -retorno de la inversión en seguridad- en relación a ISO 27001.


En los últimos meses, NIST (National Institute of Standards and Technology de EEUU) ha publicado o revisado dentro de su serie SP 800 los siguientes estándares:

SP 800-124: Guidelines on Cell Phone and PDA Security
SP 800-123: Guide to General Server Security
SP 800-121: Guide to Bluetooth Security
SP 800-115: Technical Guide to Information Security Testing and Assessment
SP 800-113: Guide to SSL VPNs
SP 800-79-1: Guidelines for the Accreditation of Personal Identity Verification (PIV) Card Issuers
SP 800-73-2: Interfaces for Personal Identity Verification
SP 800-68: Guide to Securing Microsoft Windows XP Systems for IT Professionals
SP 800-67: Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher
SP 800-66: An Introductory Resource Guide for Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule
SP 800-64: Considerations in the System Development Life Cycle
SP 800-60: Guide for Mapping Types of Information and Information Systems to Security Categories
SP 800-55: Performance Measurement Guide for Information Security
SP 800-53-A: Guide for Assessing the Security Controls in Federal Information Systems
SP 800-48: Guide to Securing Legacy IEEE 802.11 Wireless Networks

Todos ellos están disponibles para su descarga gratuita en http://csrc.nist.gov/publications/PubsSPs.html


El pasado mes de Julio, British Standards Institution publicó el documento PAS 1998:2008 con el título de "Whistleblowing Arrangements. Code of Practice", que está disponible para su descarga gratuita aquí.

Whistleblowing es el término inglés que describe la acción por la cual una persona que trabaja en o para una organización pone en conocimiento o denuncia un posible fraude, crimen, peligro u otro riesgo grave que podría suponer una amenaza para clientes, empleados, accionistas, público en general o la reputación de la propia organización.

Mediante la implantación de una estrategia clara para canalizar y gestionar este tipo de acciones, alineada con el buen gobierno corporativo, se puede evitar que los empleados opten por la vía del silencio cuando descubren que se está cometiendo algún tipo de fraude o mala práctica. Algunos componentes de esta estrategia pueden ser útiles en el área de seguridad de la información.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 80 páginas que persigue ayudar en la selección de la solución de virtualización más adecuada. Los capítulos que contiene son:

# Chapter 1: The Virtualization Assessment
# Chapter 2: Virtualization Software Options
# Chapter 3: Best Practices in Implementing Virtualization
# Chapter 4: Managing Virtualization Environments

El documento, previa inscripción, puede descargarse gratuitamente de Realtime Nexus.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 238 páginas dedicado al "Business Service Management" que tan de actualidad está. Los capítulos que contiene son:

# Chapter 1: The Power of Business Service Management
# Chapter 2: The Alignment of IT and Business
# Chapter 3: IT Service Management Evolution
# Chapter 4: Implementing BSM
# Chapter 5: End-User Experience Monitoring
# Chapter 6: Achieving Management Value
# Chapter 7: Achieving Operational Value
# Chapter 8: Achieving IT Value
# Chapter 9: Integrating BSM with ITIL and Six Sigma
# Chapter 10: A Primer on BSM

El documento, previa inscripción, puede descargarse gratuitamente de Realtime Nexus.


El capítulo de Madrid de ISACA imparte el 10 y 11 de Noviembre un curso sobre implantación de planes de continuidad de negocio.

Más información en auditoresdesistemas.com


Durante el mes de Noviembre se abrirá el plazo de inscripción de Pymes en el proyecto de implantación y certificación de SGSIs del INTECO para Andalucía, Ceuta, Melilla, Región de Murcia, Castilla La Mancha, Cataluña e Islas Baleares.

El plazo para Aragón y Comunidad Valenciana sigue abierto desde Octubre, mientras que el del resto de comunidades españolas ya está cerrado.

Asimismo, hay que recordar que el catálogo de implantadores quedó cerrado también durante el mes de Octubre.

Más información en https://sgsi.inteco.es/


The Institute of Internal Auditors publicó este verano los volúmenes 10 y 11 de su excelente serie de guías de auditoría de tecnologías de la información, dedicados en esta ocasión a la gestión de continuidad de negocio y a la elaboración del programa de auditorías TI, respectivamente.

Ambas guías están disponibles para su descarga gratuita en http://www.theiia.org


Recientemente, se ha publicado un nuevo número de la revista online ENISA Quarterly Review. Los temas que trata en esta ocasión son:

* A Letter from the Executive Director
* A Word from the Editor
* Electronic Identity Cards and Citizens' Portals
* eID Interoperability: the Key to Success in Europe
* eduGAIN - a Pan-European Confederation
* Privacy and Capability Management for the European eIDM Framework
* Common Criteria Protection Profiles for the Spanish eID-related Applications
* Complexity is the Achilles Heel of eID - the Swedish eID System
* Finnish Government Proposes Access to Employee Identification Data
* ENISA's Activities on eID - an Update
* Can Online Social Networks Qualify as Identity Management Systems
* Food for Thought: Can we be Green and Secure?
* An Interview with Kevin Mitnick - Social Engineering: No Silver Bullets

Disponible en: www.enisa.europa.eu/eq/


Desde dmoz.org dejan a disposición pública 80 modelos de políticas que pueden servir de modelo de referencia.


Es esencial que aquellos responsables de la creación de políticas dentro de un entorno de pequeñas empresas comprendan la necesidad de utilizar métodos no técnicos y poco convencionales para hacer una política efectiva y exigible.

Trabajo de Bruce D.Waugh publicado PDF en Infowriters


El PCI Security Standards Council (PCI SSC) anunció el lanzamiento de la versión 1.2 de la PCI DSS. Esta última versión es la culminación de dos años de interacción y sugerencias de los interesados de la industria, y está diseñada para aclarar y facilitar la implementación de la norma para la seguridad de cuentas de titulares de tarjetas. La versión 1.2 ya entró en vigencia y la versión 1.1 de la norma caducará el 31 de diciembre de 2008.

Noticia completa en Financialtech Magazine


La tercera edición del DISI se celebrará el lunes 1 de diciembre de 2008 desde las 09:00 hasta las 15:15 horas, en el Salón de Actos del Campus Sur de la Universidad Politécnica de Madrid, España, contando en esta ocasión con la destacada presencia de la Dra. Radia Perlman, Sun Microsystems Fellow Network Protocols and Security Project Principal Investigator en Estados Unidos, connotada investigadora de seguridad en redes, autora de dos libros sobre networking y con más de 50 patentes a su haber en Sun.

La Dra. Perlman es además ganadora de varios premios, nominada en dos ocasiones como una de las 20 personas más influyentes en la industria de los Estados Unidos por Data Communications Magazine y en muchos medios de comunicación es reconocida como "la Madre de Internet" gracias a su invento del spanning-tree protocol.

Noticia con información completa del evento en Hispasec


Microsoft establecerá en la capital colombiana el primer laboratorio latinoamericano contra la piratería en la industria informática, anunciaron hoy fuentes de la multinacional estadounidense.

El director general de Antipiratería de Microsoft, Keith Beeman, informó en Bogotá de que su compañía invertirá en esta planta unos 450.000 dólares.

El llamado Laboratorio de Microsoft de Identificación de Producto Pirata en Latinoamérica entrará en funcionamiento el próximo noviembre y será el noveno que la multinacional pone en servicio en el mundo, dijo Beeman.

Noticia completa en Alfa-redi


Los blogs se convierten en la nueva brecha para la seguridad en la navegación por Internet.

Los usuarios que no cuentan con protección corren el riesgo de infectarse con una amplia gama de amenazas que posiblemente están hospedadas en la página final a la que lleva este ataque. En este caso en particular, TROJ_BHO.EZ crea entradas del registro que lo instalándolo como un BHO. Monitoriza los hábitos de navegación para entregar “contenido publicitario relevante". Estas páginas no solicitadas afectan la óptima experiencia de navegación del usuario.

La reputación de las firmas de publicación de blogs también se puede ver afectada por estos ataques, ya que los blogs llevan a URLs maliciosas y los usuarios pueden suponer que los dominios del blog son maliciosos también.

Noticia completa en Cibersur


Este nuevo boletín toma el relevo de boletines de seguridad de la compañía como "McAfee Sage" o "the McAfee Global Threat Report", según el país de publicación.

El boletín (en inglés) es de descarga gratuita y está disponible en macafee.com.


Desde Áudea Seguridad de la Información nos envían dos interesantes documentos en relación a la impresión de documentos y a las cámaras de tráfico en relación al cumplimiento de la LOPD.


HP presenta un nuevo juego online para educar a las pymes frente a las amenazas de seguridad informática.

El juego incluye situaciones relacionadas con problemas de seguridad como son virus informáticos, robo de identidades y recuperación de datos y como las pequeñas y medianas empresas deben hacer frente a estos contratiempos para proteger sus actividades profesionales.

“Hemos trabajado con varios propietarios de pequeñas empresas que siendo conscientes de los daños causados por las intrusiones en sus sistemas no saben cual es la mejor manera para protegerse de estos ataques" afirmó Didier Philippe, Presidente del Instituto Micro-Enterprise Acceleration (MEA-I). “Accelerate Security" les ayuda a implantar procedimientos básicos de seguridad en sus actividades diarias".

“Accelerate Security" es gratuito y está disponible en knowledge-city.

Noticia completa en CRIPTEX.


"Tenía pendiente desde hace unos días elaborar esta entrada. Tras unos comentarios en relación al post de Joseba Enjuto sobre la caracterización de los Servicios TI, quería hablar sobre la " subcontratación del riesgo". Lo primero que quiero justificar es el titulo. La gestión del riesgo sólo permite cuatro decisiones posibles:

* Aceptarlo
* Evitarlo
* Reducirlo o
* Transferirlo a un tercero

En general, se suele entender por transferencia del riesgo cuando éste se tiene identificado y se decide que un externo sea quien lo gestione a cambio de cierta contraprestación: habitualmente puede ser la externalización de servicios, la contratación de seguros, etc. Es habitual, como bien apuntaban en los comentarios de "Seguridad y Gestión" que el término para definir este proceso sea la "externalización del riesgo" pero ahora voy a justificar un poco por qué prefiero no llamarlo así. "

Artículo completo en blog de Javier Cao.


El ISM ha sido desarrollado por la ·Defence Signals Directorate" en virtud de su función de proporcionar las políticas y normas para los organismos del Gobierno australiano con el objeto de ayudar en la protección de la información oficial del Gobierno que es procesada, almacenada o comunicada por los sistemas del Gobierno de Australia.

Las agencias del Gobierno de Australia están obligadas a utilizar el manual de protección y seguridad del Gobierno de Australia para cumplir con el IMS para la protección de la información cuando es procesada, almacenada o comunicada por los sistemas.

Descarga de la última revisión del documento en pdf desde Australian Goverment.


La primera red comercial de telecomunicación protegida con tecnologías de criptografía cuántica ha sido presentada en una demostración por responsables del proyecto SECOQC. Fundamentado en los principios de la física cuántica, el sistema desarrollado hace impenetrable el intercambio de datos a cualquier tipo de escucha o intromisión no autorizada.

Noticia completa en Tendencias21.


Buscan las últimas tecnologías en seguridad? Entonces, lo mismo que los jueces del concurso anual Global Security Challengue diseñado para ayudar a buscar e identificar las startups más prometedoras en la industria.

Ayer, los jueces del GSC anunciaron los seis finalistas para el premio, que será anunciado el 13 de noviembre. El ganador recibirá una subvención de 500.000 dólares en efectivo y tutelaje de los financiadores, cortesía del gupo de apoyo técnico del gobierno de los EE.UU..

Noticia completa en Darkreading.


La entrevista realizada por net-security.org está en formato video desde el enlace de su página web y presenta la agencia ENISA y el trabajo que realiza.


En (ISC) ², una de las prioridades es la difusión de concienciación sobre la seguridad cibernética en todo el mundo. El Cyber de Exchange ofrece videos, presentaciones, carteles, entre otros, ofrecidos por los mejores expertos en la seguridad de la información.

Enlace al proyecto en Cyberexchange


El desarrollo de software de alta seguridad con reducidos fallos se verá reforzado por la apertura del proyecto de investigación Tokeneer a la comunidad de código abierto por la Agencia de Seguridad Nacional (NSA) de los EEUU.

El proyecto ha demostrado la manera de cumplir o superar el nivel de evaluación (EAL) 5 del los Criterios Comunes demostrando así un camino hacia los niveles más altos de garantía de seguridad.

La apertura sin precedentes del proyecto a la comunidad de código abierto tiene como objetivo demostrar cómo el software de alta seguridad se puede desarrollar de manera eficaz dentro de unos costes, la mejora de las prácticas industriales y proporcionando un punto de partida para la investigación académica y la enseñanza.

Noticia completa en Net-Security

Enlace al proyecto en Adacore.com


Un trabajo de investigación trata de cuantificar la pérdida de tiempo en lecturas de políticas de privacidad confusas o sobrescritas.

Políticas de privacidad mal escritas y complicadas conducen a los usuarios a tomar malas decisiones cuando están conectados y podrían de forma eventual poner en peligro las prácticas de autorregulación de la privacidad en Internet, según un nuevo informe de investigación.

En un documento sobre las tendencias en las políticas de privacidad de la Universidad Carnegie Mellon, los investigadores Aleecia McDonald y Lorrie Fe Cranor intentaron cuantificar los problemas de las prácticas actuales mediante la medición del tiempo necesario para leer y entender las hoy dispares, largas y complejas normas de privacidad en la web.

Noticia completa en Darkreading

Descarga en pdf del estudio


La Comisión Europea tiene previsto desvelar una propuesta que facilitará y hará más seguras las transacciones on line para los consumidores de los Veintisiete.

Aproximadamente un tercio de los consumidores de la UE, o unas 150 millones de personas, compran ya en Internet. Pero sólo 30 millones de ellos lo hacen de forma transfronteriza, y las nuevas normas están destinadas a alentar esas compras en el extranjero.

La Comisión Europea quiere acabar con las barreras para los productos y servicios transfronterizos para incrementar la competencia, ofrecer a los negocios un mercado más amplio y reducir el precio para el consumidor.

Noticia completa en Cibersur


El nuevo número de (IN)SECURE dedica una interesante artículo a la seguridad en redes e información en Europa


“Amenazas internas y externas a la Seguridad de la Información hoy: Cómo afrontar estos desafíos desde las organizaciones públicas y privadas"

Fecha: 13 de noviembre de 2008

Lugar de celebración: Salón de Actos de la Torre AGBAR (Avda Diagonal, 211), Barcelona.

Objetivos de esta jornada:
- Analizar cuáles son y cómo afrontar las actuales amenazas, en el ámbito global, para la seguridad de la información de las empresas e instituciones públicas y privadas.

- Dimensionar el problema y su alcance de la mano de expertos nacionales e internacionales que avanzarán tendencias, retos y prioridades y compartirán con los participantes experiencias de éxito.

- Obtener pautas eficaces de “psicología de la seguridad"; aprender técnicas de comunicación y dirección de personas para involucrar al capital humano de las organizaciones en la defensa proactiva.

Algunos ponentes destacados:
. Howard A. Schmidt, President and CEO R&H Security Consulting LLC and Former White House Cyber Security Advisor

. Cormac Callanan, Consultant Council of Europe on Cybercrime, CEO Aconite Internet Solutions

. Fernando Aparicio, Director General de PayPal España . Andreu Bravo, Responsable de Seguridad de la Información del Grupo Gas Natura

. Tomás Roy, Director de Calidad, Seguridad y Relaciones con Proveedores del Centro de Telecomunicaciones y Tecnologías de la Información (CTiTI) de la Generalitat de Catalunya

. Juan Salom, Comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil

. Cristina Segura, Subdirectora de Sistemas de Información de ASERCO (Grupo Agbar)

. Guido Stein, Consultor, Profesor de IESE en el Departamento de Dirección de Personas en las Organizaciones; y secretario general del Instituto Empresa y Humanismo de IESE

. Juan Miguel Velasco, Director Asociado de Servicios y Soluciones de Seguridad de Telefónica

Tasas de inscripción: Socios de ISMS Forum Spain: gratuito. No socios: 360€.

La jornada incluye un coffee-break y un almuerzo. Además de la documentación del congreso, todos los participantes recibirán un ejemplar de la obra “Patrolling Cyberspace", de Howard A. Schmidt.

Idiomas: Se facilitará traducción simultánea inglés-español.

Más información en ismsforum.es


Un investigador demostrará mediante una herramienta libre de plug-and-play esta semana que automáticamente se generan ataques de man-in-the-middle a sesiones de banca online, Gmail, Facebook, LiveJournal, LinkedIn y a pesar de la seguridad en el proceso de acceso.

Jay Beale, quien recientemente publicó la herramienta "Middler" en código fuente abierto, hará un demostración completa en la Conferencia Sectorial en Toronto. Middler también está diseñada para su uso por un atacante sin habilidades o experiencia.

Enlace a la noticia completa en Darkreading.com


Este portal es un repositorio en el que los profesionales pueden pensar de forma creativa, colaborativa e investigar sobre nuevas ideas relacionadas con las métricas de seguridad.

Enlace en Securitymetrics.org o desde nuestra sección de Enlaces


Cuando se trata de asegurar las aplicaciones en una red, la limitación de los privilegios es la regla de oro. Las vulnerabilidades que exponen las aplicaciones web comienzan con las bases de datos y siguen hasta llegar al código de la aplicación en sí. Los usuarios o las funciones de la aplicación deberían disponer únicamente del acceso a la base de datos estrictamente necesario.

Johnny Long's Google Hacking Site proporciona una guía para encontrar vulnerables de aplicaciones web usando elaboradas búsquedas en Google. Alternativamente, usted podría utilizar la herramienta Goolag tool de Cult of the Dead Cow'. No se olvide de comprobar el sitio OWASP para información de vulnerabilidades y exploits.

Articulo completo en Computerweekly


"Desde junio de este año, ya contamos con una nueva norma dentro de la serie ISO 27000. Se trata de quizás, una de las normas más estructurales de la serie ya que establece un criterio sobre la gestión del riesgo y proporciona un marco normalizado que nos puede ayudar a definir nuestra propia metodología y que tiene por título ISO/IEC 27005:2008, Information technology -- Security techniques -- Information security risk management.

El análisis del riesgo es crucial para el desarrollo y operación de un SGSI. Aunque se habla mucho del tema, en esta fase la organización debe construir lo que será su "modelo de seguridad", una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización)."

Articulo completo de Javier Cao en su blog de Sistemas de Gestión Seguridad de la Información


El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Observatorio de la Seguridad de la Información publica el “Estudio sobre el Sector de la Seguridad TIC en España", con el fin de aportar una visión detallada y actual acerca del mercado de la seguridad en nuestro país, haciéndose eco de sus necesidades y sus oportunidades.

Noticia completa y descarga en INTECO


El PCI Security Standards Council anunció las fechas y la ubicación de los Congresos de la Comunidad que organizará para las organizaciones participantes. Este año, el Consejo celebrará dos eventos, uno en Estados Unidos y otro en Bélgica, para permitir un debate global de las normas de seguridad del PCI entre los accionistas. Las fechas y la ubicación de los eventos son las siguientes::

* Estados Unidos: 23-25 de septiembre de 2008, Orlando, Florida.
* Bélgica: 21-23 de octubre de 2008, Bruselas.

Cada congreso se inaugurará con una recepción cóctel vespertina, y una presentación que tratará el tema de la próxima versión de la norma PCI DSS, anunciada como 1.2, la implementación continua de la norma PA-DSS y las últimas novedades en materia de Requisitos de Seguridad PED. Cada congreso permitirá a los participantes interactuar con la gerencia del Consejo.

Noticia completa en Finantialtech


Clases de manejo
28/September/2008
Una de las bases para una arquitectura de procesos de seguridad de información es el manejo de incidentes.

En el libro Secrets & lies, el autor Bruce Schneider explica: “Los ataques, criminales o no, son imprevistos pues son eventos que toman a la gente por sorpresa; son anomalías en el aspecto social y afectan la vida de las víctimas".

De acuerdo con la encuesta anual del Instituto de Seguridad Computacional (CSI, por sus siglas en inglés) y el FBI, los incidentes de seguridad de la información (SI) van al alza, además de que en su edición de 2007 se mostró una tendencia muy interesante: los ataques por virus (o código malicioso) pasaron del primer sitio al segundo en la lista de los principales ataques, desbancados por el abuso de personal interno.

Articulo completo de Ricardo Morales en bsecure.com.mx


El convenio que se ha ratificado tendrá como objetivo el impulso de la Implantación y Certificación de Sistemas de Gestión de la Seguridad de la Información en las pequeñas y medianas empresas. Para ello, Inteco dedicará 1.7 millones de euros y el Consejo Superior de Cámaras de Comercio aportará las infraestructuras y medios técnicos y humanos necesarios para la ejecución de las jornadas y la captación de las empresas, así como del desarrollo del proyecto.

Noticia completa en computing.es


Tb·Security ha pasado a formar parte del exclusivo grupo de colaboradores del Instituto de Ingeniería de Software de la Universidad norteamericana Carnegie Mellon, convirtiéndose así en la primera empresa española autorizada a impartir sus cursos especializados en seguridad de la información, creación y gestión de Equipos de Respuesta a Incidentes de Seguridad (CERTs o CSIRTs).

La formación que ahora facilita TB·Security a todos sus clientes (tanto de España como de Latinoamérica) está adaptada a las necesidades de todo tipo de organización (pública o privada) y a sus distintos perfiles (usuarios finales/empleados, gestores y mandos ejecutivos o responsables TIC y de Seguridad).

Cinco son los cursos, acreditados por la Universidad, que la compañía ha incorporado a sus servicios de formación:

- Seguridad de la Información para personal técnico
- Creación de Equpos de Respuesta a Incidentes de Seguridad (CSISRTs)
- Gestión de Equipos de Respuesta a Incidentes de Seguridad (CSIRTs)
- Fundamentos de la gestión de incidentes
- Gestión de incidentes avanzada

Los interesados pueden contactar con Clara Baonza Díaz (cbaonza@tb-security.com) o Lorena Fernández Martín (lfernandez@tb-security.com) en el teléfono +34 91 301 34 95) o consultar la página web de TB-Security


El alcance de la nueva norma británica BS 25777 "Code of practice for information and communications technology continuity" será la de propociornar recomendaciones para la gestión de la continuidad del sector TIC dentro del marco para la gestión de la continuidad de negocio proporcionada por BS 25999-1.

Los interesados en consultar contenidos y comentarios de los borradores pueden hacerlo previo registro gratuito previo desde el portal de BSI


INTECO coorganiza ISSE 2008
28/September/2008
INTECO, junto con la ENISA (Agencia Europea de Seguridad de las Redes y de la Información, cuyo fin es garantizar a los usuarios de las redes de comunicación y sistemas de información el mayor grado de seguridad.), EEMA (Asociación Europea para la identidad electrónica y la seguridad) y TELETRUST (Organización sin animo de lucro para la promoción de la fiabilidad de la Tecnología de Información y Comunicación) organiza el próximo ISSE 2008 (Europe's only independent security conference) que se celebrará del 7 al 9 de Octubre de 2008 en Madrid.

En este evento internacional suelen tratarse las últimas novedades en tecnología, soluciones, tendencias de mercado y mejores prácticas en una amplia gama de temas de seguridad.

Noticia completa en Inteco

Información completa y registro en ISSE 2008


La UIT ha concluido un acuerdo con la Alianza Internacional Multilateral contra el Ciberterrorismo (IMPACT) para la puesta en práctica de la Agenda sobre Ciberseguridad Global. Así pues, la Agenda sobre Ciberseguridad Global de la UIT quedará ubicada en la modernísima sede mundial de IMPACT, en Cyberjaya, Kuala Lumpur.

La colaboración entre la UIT e IMPACT tiene como finalidad encontrar sinergias a fin de proporcionar:

El análisis en tiempo real, la recopilación y la difusión de información sobre las ciberamenazas globales
Un sistema de alerta temprana y de respuesta de emergencia para las ciberamenazas globales
Formación y capacitación sobre los aspectos técnicos, legales y políticos de la ciberseguridad
Este acuerdo se corresponde con la decisión adoptada por la Cumbre Mundial sobre la Sociedad de la Información de instaurar la seguridad y la confianza en la utilización de las tecnologías de la comunicación y la información (TIC). La Cumbre también solicitó que se instaurara una coordinación práctica entre las diversas partes interesadas, con miras a la información recíproca, la creación de conocimientos, el intercambio de prácticas óptimas y la asistencia para el establecimiento de alianzas entre el sector público y el privado.

La Agenda sobre Ciberseguridad Global de la UIT es un marco para la cooperación internacional, destinado a los gobiernos, las autoridades encargadas de velar por el cumplimiento de la legislación internacional, el sector privado, las organizaciones internacionales y la sociedad civil, con el fin de lograr un ciberespacio más seguro en una sociedad de la información cada vez más interconectada.

Aunque la Agenda sobre Ciberseguridad Global estará ubicada en el IMPACT Centre, la UIT dispondrá de una "vitrina virtual" en Ginebra en la que se mostrarán el sistema de alerta temprana, la gestión de crisis y el análisis en tiempo real de las ciberamenazas globales. Iniciativas de IMPACT, tales como el Centro de Respuesta Global, así como la formación y el desarrollo de calificaciones, la fiabilidad de la seguridad, la investigación y la cooperación internacional se llevarán a cabo bajo los auspicios de la Agenda sobre Ciberseguridad Global.

Noticia completa en Alfa-redi


Bankinter ha logrado la certificación BS 25999, que acredita al Banco en la gestión de la continuidad de negocio en sus plataformas y sistemas informáticos.

La Certificación del Sistema de Gestión de la Continuidad de Negocio (SGCN) ha sido otorgada por la British Standard Institution (BSI) con el siguiente alcance: "Identificación, autentificación y firma de operaciones financieras y sus evidencias electrónicas a través de Internet, Teleproceso Operativo y la infraestructura de routing de Renta Variable, para los centros de Tres Cantos y Alcobendas."

Para ello, la Entidad ha sido sometida a una revisión de los aspectos organizativos y técnicos asociados a la gestión de la continuidad, sus procesos operativos para la detección y respuesta ante incidentes y su gestión del riesgo mediante un análisis riguroso, metodológico y periódico.

La norma BS 25999 complementa el actual sistema de gestión ISO 27001, una Certificación Internacional del Sistema de Gestión de la Seguridad de la Información (SGSI) que Bankinter obtuvo en 2006, y que acreditaba al Banco con los estándares más elevados de calidad y rigor profesional en la gestión de la seguridad de sus sistemas informáticos.

Noticia completa en FinancialTech Magazine


En este estudio de ISACA, las compañías clasifican los siete mayores problemas empresariales relacionados con la tecnología para los próximos 12-18 meses.

Asegurar la información de identificación personal (PII) es una de las principales preocupaciones con las que se enfrentan empresas y ejecutivos de tecnología este año, según una encuesta realizada a más de 3.100 profesionales en más de 95 países.

El estudio, llevado a cabo por ISACA, identifica los siete principales problemas empresariales, en los que la tecnología ha causado impacto. Los encuestados clasificaron los siguientes problemas empresariales como los siete principales:

Conformidad regulatoria, específicamente la que protege la información de identificación personal e implementa la supervisión de transacciones

# Gestión corporativa y gobierno de TI
# Gestión de seguridad de la información
# Recuperación ante desastres/ continuidad del negocio
# Gestión del valor de TI
# Retos de la gestión de riesgos de TI
# Conformidad con la divulgación financiera


Noticia completa en FinancialTech Magazine

Desgarga en PDF del estudio ISACA


La encuesta de investigación del Centro para el Alojamiento confirma las preocupaciones sobre la debilidad de la seguridad en las redes de hotel.

Usted está poniendo los datos de su empresa en riesgo cuando se conecta a una red hotelera, según un nuevo estudio sobre las conexiones a Internet en hoteles de EE.UU.

El Centro investigación del Alojamiento de la Universidad de Cornell encuestó casi 150 hoteles y luego, sobre el terreno, probó la vulnerabilidad de una muestra de unos 50 hoteles. Alrededor del 20 por ciento de los cerca de 150 hoteles en el estudio todavía tienen activas redes básicas (y vulnerables) de Ethernet, y casi el 93 por ciento ofrece WiFi. De las 39 redes WiFi de hotel probadas sobre el terreno por un investigador de Cornell, sólo seis aplicaban codificación.

Noticia completa en Darkreading


Olvídese del panel de control privado; a día de hoy en Internet y en smartphones se habilitan sistemas de seguridad mediante navegador para la gestión de actualizaciones SMS, feeds de vídeo en vivo y opciones de ahorro económico.

¿Se puede instalar un sistema de seguridad fiable para un hogar o pequeña empresa de forma barata y administrarla cuando se encuentra desplazado?

Esa fue la pregunta formulada por James Seibert, presidente y propietario de Information Security Defense Network de San Peters, Mo. "Hemos entrado en una nueva oficina hace un año y medio y cuando lo hicimos, necesitábamos un nuevo sistema de alarma . Al tratarse de una empresa del sector de las Tecnologías de la Información, una de las principales cuestiones que estaba buscando era una forma de gestionar el sistema a distancia porque no estoy en la oficina mucho tiempo. Y pensaba realmente que no iba a encontrar lo que necesitaba. "

Sin embargo, finalmente Seibert descubrió un navegador "do-it-yourself" configurable de Alarm.com, que instaló por sí mismo. Se trataba de colocar sensores inalámbricos en las puertas que quería securizar, eligiendo la ubicación para la estación base y, a continuación, configurando el sistema desde su navegador."

Noticia completa en Informationweek


Poco ha durado la euforia en Google por su nuevo navegador. El gobierno alemán ha emitido un duro comunicado en el que aconseja a sus ciudadanos que no lo utilicen.

Así de rotundo se ha mostrado el Portavoz de la Agencia de Seguridad de la Información, Matthias Gardner, quien ha afirmado que la utilización del navegador, email y buscador proporcionaría al gigante de la red demasiados datos que debería ser privados.

Noticia completa en CRIPTEX


Algunos dentro de nuestra profesión han reconocido la necesidad de centrarse en los riesgos y han desarrollado procesos de análisis y herramientas que nos llevan en esa dirección.

FRAP y OCTAVE ® ?, son un par de las más conocidos ejemplos. El desafío aún sin respuesta, sin embargo, es que sin una sólida comprensión de qué es el riesgo, qué factores son los que impulsan el riesgo y sin una nomenclatura normalizada, no podemos ser coherentes o realmente eficaces en el uso de cualquier método.

FAIR trata de ofrecer estas bases fundamentales, así como. un marco para la realización de análisis de riesgos. Es importante señalar que gran parte del marco FAIR puede utilizarse para reforzar, en lugar de sustituir, los procesos de análisis de riesgos como los mencionados anteriormente.

Enlace a FAIR en versión wiki en FAIR Introductions

Descarga en pdf en FAIR Introductions


La próxima cita internacional organizada por ISMS Forum Spain será el próximo 13 de noviembre en una ubicación privilegiada: el Salón de Actos de la vanguardista Torre Agbar, en Barcelona.

A lo largo de una intensa jornada analizaremos las principales amenazas internas y externas para el mundo empresarial en el ámbito de la Seguridad de la Información y cómo deben afrontarlas las empresas y organizaciones.

Ya se han confirmado sus intervenciones Howard Schmidt (EE.UU), ex asesor de la Casa Blanca y presidente mundial de ISF; y Cormac Callanan (Irlanda), consultor del Consejo de Europa en cibercrimen, además de responsables de seguridad de la información de empresas e instituciones españolas de primer nivel.

El programa completo, la inscripción on-line y la información sobre alojamiento en condiciones especiales para los asistentes estará disponible en ismsforum a partir del próximo 30 de septiembre.


Reelegido como vicepresidente de ISACA por un plenario de más de 50.000 miembros en 140 países (2005-2007); distinguido con el "John Kuyers Best Speakers", por su aportación a dicha institución; con un currículum de casi 20 páginas imposible de resumir... Lucio Augusto Molina, consultor independiente en seguridad y auditoría de sistemas, ha dedicado parte de su vida a esta "faena" -la de un entorno lleno de siglas (CISA, CISM, CobIT, ValIT...)- de la que habla con la ilusión del primer día.

Entrevista completa en RedSeguridad


Dos años más tarde, ENISA amplía y actualiza su conocida guía y que contiene cuatro nuevas e importantes mejoras: un nuevo visualizado del modelado de los procesos, identificación de indicadores claves de rendimiento para el éxito, se presentan 6 casos de estudio, además de proporcionar 11 plantillas procedentes de toda Europa.

Dispone en pdf desde ENISA


www.musicalibre.es se convierte en la primera Web que Certifica la Seguridad de su Sistema de registo y Licenciamiento de temas musicales.

El esfuerzo ha sido realizado para darle solidez a las Licencias "Copyleft" a través de su sistema de registro y licenciamiento de música (LML) y queda avalado internacionalmente, pasando a posicionarse como el primer sistema de este tipo en Internet.

Noticia completa en Musicalibre.es


Microsoft Global Foundation Services (GFS) ha logrado la certificación con la norma ISO / IEC 27001:2005, la norma de seguridad de la información y se convierte en el primer gran proveedor de servicios en línea en hacerlo.

Microsoft se toma la protección de sus activos de información en serio y ha optado por medir su actual programa de seguridad de la información contra los requisitos del estándar para garantizar que su seguridad de la información está correctamente gestionada y mantenida.

Artículo completo en businesstandards.com


Repligen Corporation, una compañía biofarmacéutica de Massachusetts, se ha convertido en la primera empresa en Norteamérica en obtener la certificación BS 25999 de Gestión de la Continuidad del Negocio, a raíz de una auditoría de Sistemas de Gestión de BSI en los EE.UU..

Repligen ha desarrollado y puesto en práctica un sistema para la gestión de la continuidad de negocio para garantizar el suministro ininterrumpido de su productos de proteína recombinante A, un elemento esencial utilizado en la fabricación de anticuerpos monoclonales terapéuticos de la industria biofarmacéutica. Aunque Repligen tenía un compromiso empresarial con la continuidad de negocio y la planificación de la continuidad de las actividades desde hace varios años, la certificación en BS 25999 sólo está disponible desde noviembre de 2007.

"Como el principal proveedor mundial de la proteína recombinante A, consideramos que era importante estar en la vanguardia de la continuidad del negocio para asegurar un suministro ininterrumpido de productos a nuestros clientes y, en última instancia a los pacientes", dijo Walter C Herlihy, presidente y CEO de Repligen Corporation. "Estamos muy orgullosos de ser la primera empresa en América del Norte han adquirido para la certificación.

Artículo completo en businesstandards.com


Una vez salvado el difícil reto de asegurar la capacidad y calidad del servicio, nos enfrentamos ahora a otro obstáculo, garantizar la seguridad de la información y de la infraestructura tecnológica necesaria, que podría suponer un impedimento para el desarrollo y despliegue de los servicios convergentes IP. En ese sentido, y al igual que se hace para servicios IP tradicionales, se debe enfocar la seguridad tanto en la red, como en el equipamiento final, teniendo en cuenta las mismas vulnerabilidades que en los entornos habituales, entre otras: acceso no autorizado, denegación de servicios, escucha de tráfico, alteración de información, suplantación de identidad tanto de usuario como terminal.

Artículo completo de Antonio Martínez disponible en nuestra sección de artículos y podcast


Tras la entrada en vigor el pasado 19 de Abril del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos, aprobado por el Consejo de ministros el 21 de diciembre, Áudea Seguridad de la Información organiza, en colaboración con Mariscal & Asociados y la Cámara de Comercio Alemana, una “Jornada sobre el Nuevo Reglamento de Desarrollo de la LOPD" el próximo 25 de Septiembre.

La misma tendrá lugar en la sede de la Cámara de Comercio Alemana, en la Avda. Pío XII, 26-28.

En dicha jornada se pondrán de manifiesto las novedades legislativas más significativas que se han producido como consecuencia de la entrada en vigor de RLOPD.

Programa:

19.00 h. Bienvenida
Las medidas de seguridad en el nuevo reglamento, Códigos tipo, Transferencias internacionales de datos. Dña. María José Blanco Antón, AEPD

19.40 h: Especialidades en relación con los principios de protección de datos, Novedades en materia de consentimiento y del encargado del tratamiento. Dña. María del Águila Bigorra, AUDEA

20.05 h: Caso práctico: Nintendo

20.30 h. Ruegos y preguntas

20.45 h. Clausura y Cocktail

Para formalizar su inscripción a la Jornada contactar con:
Marie Antonia von Schönburg (mantonia.schonburg@ahk.es, tel. 91 353 09 19.)
Elena Ortega de Nicolás (comunicación@audea.com)



Pepperweed es una empresa que valora la sencillez y es un asesor de confianza dentro de la industria de TI que acaba de liberar a las organizaciones de todos los tamaños el acceso a su "Enterprise Resource Planning (ERP) para IT".

ERP es un modelo de proceso abierto, que le garantiza la mejora de procesos y las mejores prácticas en base a un contenido de iniciación.

El modelo, disponible como descarga gratuita en el sitio web Pepperweed, ofrece una valiosa orientación sobre la manera de gobernar, administrar, controlar, operar y garantizar la función de TI. Fue diseñado como un producto neutral, simplificando la alineación de los grupos de herramientas mixtas, que es la realidad en la mayoría de las organizaciones.

Las características del modelo de procesos permite ser aprovechado en diversos marcos y normas, como ISO/IEC 20000, ITIL, IBPL, ITGI, PMI, ISO 27001, COBIT, y BPMN.

Información completa y descarga previo registro disponible en Pepperweed.


Una encuesta independiente de 1.130 propietarios de pequeñas empresas, encargada a la empresa para la continuidad del negocio SunGard, muestra que sólo una tercera parte de las PYME en el Reino Unido están tomando medidas para garantizar que su negocio pueda seguir funcionando normalmente bajo cualquier circunstancia.

Keith Tilley, vicepresidente de Europa de Disponibilidad de Servicios de SunGard, declaró: "Las pymes admiten sentir la presión de clientes para demostrar su capacidad de recuperación. Sin embargo, están haciendo muy poco para proteger sus negocios."

La encuesta encontró que el 40% del total de las PYMEs sufren graves perjuicios en las operaciones comerciales en caso de fallo en el hardware de computadoras.

Además, el 45% sufriría un total o grave menoscabo a las operaciones comerciales a raíz de un corte de energía o una inundación, y sólo el 10% sufriría deterioros para no ser capaces de funcionar normalmente en el caso de un incendio.

Menos del 10% de las PYME había oído hablar de BS 25999, la primera norma británica para la Gestión de Continuidad de Negocio, que se publicó en octubre de 2007.

La norma establece las definiciones de los principales procesos de continuidad del negocio, y establece las directrices para el desarrollo, ensayo y análisis de planes de continuidad del negocio.

Al ser informado sobre la norma, casi el 30% de los directivos de las PYMEs declararon su interés para lograr la certificación.

Noticia completa en computerweekly.


Si eres un viajero habitual que mantiene importantes archivos de la empresa en su computadora portátil y utiliza una solución de gestión centralizada de copia automática de seguridad de archivos a intervalos de tiempo fijo, no funcionará.

Por contra, considera Box Backup, que copia los archivos de un ordenador portátil directamente a un servidor de almacenamiento a través de una conexión cifrada.

Box Backup no se basa en un servidor que inicia copias de seguridad. Siempre que los ordenadores portátiles u otros clientes, se conectan a los servidores de backup, la copia de seguridad puede comenzar de inmediato.

Los archivos son seguros, porque Box Backup utiliza Secure Sockets Layer (SSL) para encriptar los datos directamente al servidor de almacenamiento de discos. Además de la habitual copia instantánea de seguridad, también permite hacer una copia de seguridad continua de todos los cambios en los archivos mientras está conectado al servidor.

Lo mejor de todo, Box Backup es gratuito.

Noticia completa y enlaces en linux.com.


La primera letra de su dirección de correo electrónico es uno de los factores de riesgo, dice un investigador.

Todo el mundo sabe que algunas personas recibir más spam que otras, pero nuevas investigaciones muestran que puede tener algo que ver con la primera letra de la dirección de correo electrónico.

Richard Clayton, un investigador en seguridad de la Universidad de Cambridge en el Reino Unido, dice que encontró pruebas de que cuanto más común es la primera letra de la dirección de correo electrónico, más spam se obtiene: en otras palabras, alice@company.com normalmente recibe un mayor volumen de spam que quincy@company.com, o zach@company.com. Dice que es simplemente porque hay más combinaciones de nombres que comienzan con "A" que con "Q" o "Z.".

Noticia completa en Darkreadings.


La NASA ha confirmado que el gusano W32.Gammima.AG (que roba datos de acceso para juegos "on line" e intenta enviarlos a un servidor central) ha sido detectado a bordo de la Estación Espacial Internacional (ISS), a donde presumiblemente llegó alojado en el portátil de uno de los astronautas incorporados en Julio, y desde el que se propagó, al parecer vía USB, a varios portátiles mas de la tripulación.

Los ordenadores de la ISS no están directamente conectados a Internet, sino a un enlace satelital que les permite enviar y recibir correos, información y ficheros.

Pese a que el gusano se considera de baja peligrosidad, el incidente podría no resultar banal, ya que el portavoz de la NASA declinó responder si los portátiles infectados están o no conectados a sistemas críticos de la estación espacial.

Noticia y enlaces disponibles en Kriptópolis.


Dos investigadores de seguridad informática han demostrado una técnica para interceptar tráfico en forma casi indetectable. La técnica, del tipo man-in-the-middle, utiliza el protocolo BGP para desviar tráfico en cualquier lugar del mundo hacia la estación de monitorización y luego lo envía (posiblemente modificado) hacia su destino.

Lo innovador de la técnica presentada es la capacidad de poder redirigir el tráfico hacia su destino final después de ser interceptado, algo que normalmente no sería posible ya que las tablas BGP harían que el tráfico volviese al atacante.

Sin embargo, se utiliza otra capacidad del protocolo BGP llamada "AS path prepending", que permite seleccionar algunos routers para que no acepten la publicación BGP maliciosa hecha por el atacante y lograr de ese modo que tengan las tablas BGP originales. Luego es cosa de enviar el tráfico por medio de éstos routers y llegará correctamente a destino.

Traducción disponible en Kriptópolis.

Articulo original en wired.


La mayor fuente de información para la capacitación en materia de seguridad en el mundo, SANS, estará presente en Londres este otoño.

La cumbre del Pen Testing y Ethical Hacking tendrá lugar el 17 de septiembre en el hotel Le Meridien de Picadilly y tiene por objeto ofrecer una completa exposición de pruebas de penetración y evaluaciones de vulnerabilidad reuniendo a los líderes de la industria y ayudando a las empresas para sacar el máximo partido de sus ensayos de penetración.

Información completa y enlaces en Infosec.


La mayoría de las empresas de tamaño medio de los EE.UU. califican la seguridad de la información como una prioridad más alta que la reducción de los costes empresariales, de acuerdo a la investigación publicada esta semana por los servicios especializados de Arrow Electronics Inc.

La encuesta a 200 empresas de los EE.UU. reveló que casi el 80 por ciento de las empresas califican la seguridad como una cuestión primordial de negocio, en comparación con el 69 por ciento que citó "la reducción de costes' y el 64 por ciento que apuntó a la mejora del servicio al cliente como su principal preocupación.

Información completa y enlaces en Darkreading.


Howard Schmidt ha sido nombrado recientemente como presidente del Foro para la Seguridad de la Información (ISF).

ISF comprende alrededor de 300 empresas y organismos del sector público y tiene por objeto reunir el conocimiento colectivo y compatir la experiencia conjunta con el fin de combatir las amenazas de seguridad de la información y resolver cuestiones relacionadas con la gestión del riesgo. Schmidt aportará casi cuarenta años de experiencia adquirida en la defensa, las fuerzas del orden y la seguridad corporativa.

Schmidt trabajó como CISO y responsable de estrategia de seguridad en eBay y fue jefe de oficiales de seguridad para Microsoft Corp, además de haber pasado 31 años en el gobierno local y federal de los EEUU. Fue vicepresidente de la Junta para la protección de infraestructuras críticas del gobierno y asesor especial para la seguridad del ciberespacio de la Casa Blanca. Más recientemente, fue jefe de estrategía de los EE.UU. para su programa de colaboración en CERTdel Consejo Nacional de Seguridad Cibernética del Departamento de Seguridad de la Patria.

"Es un gran privilegio ser el primer Presidente del ISF, y tengo mucho interés en trabajar con los profesionales que han dedicado su esfuerzo a llevar al ISF a la posición que ocupa hoy en día", declaró Schmidt.

"Voy a tratar de ayudar a una mayor concienciación en los retos a los que se enfrenta la seguridad de la información hoy en día - desde el aumento de la delincuencia cibernética a la creciente preocupación del cumplimiento legal.

Las empresas tienen que adoptar una perspectiva de gestión del riesgo y reconocer que la seguridad de la información está impulsada por el negocio y no por la crisis. "

"Estamos encantados de que Howard Schmidt haya aceptado esta importante posición en la ISF", anunció Kim Aarenstrup, consejero delegado del ISF y que encabeza el grupo de la seguridad de la información en el grupo A.P. Moller - Maersk.

"Es evidente que la incomparable experiencia y el conocimiento de Howard aportarán una importante contribución al futuro del ISF y de sus miembros. También conducirá nuestros ambiciosos planes para ampliar la escala y el alcance del ISF en base a nuestra composición actual en Europa y Escandinavia desde las Américas al Medio Oriente, India, África, Australia y la Cuenca del Pacífico. "

Nota de prensa en ISF.

Entrevistas al representante para ISF España y Latam y las actividades de Teléfonica en el ISF en nuestra sección de artículos y podcast


Durante el mes de junio se celebró por primera vez el Día de La Acreditación Internacional. El objetivo fue aumentar el grado de conciencia sobre la importancia de la acreditación en todo el mundo. Bajo el lema de “confianza", durante el día se puso de relieve cómo la acreditación según normas reconocidas internacionalmente respalda la confianza en bienes y servicios.

La iniciativa, organizada por el IAF (International Accreditation Forum) y el ILAC (International Laboratory Accreditation Cooperation), fue aprobada durante su asamblea general conjunta llevada a cabo en octubre del año pasado, la que fue ampliamente apoyada por el UKAS.

Daniel Pierre y Thomas Facklam, presidentes de ILAC e IAF respectivamente, dijeron: “A nivel nacional, la acreditación genera confianza en los servicios de la evaluación de la conformidad acreditados y en los resultados correspondientes. Internacionalmente, los acuerdos multilaterales establecidos por el ILAC y el IAF confirman y aumentan dicha confianza y elimina n la necesidad de re-evaluar los productos y servicios en cada país donde operan los proveedores.

Información completa en Irca Inform.


El 1 de Julio el IRCA lanzó el programa de certificación de auditores de sistemas de gestión de la continuidad de los negocios, desarrollado en conjunto con el Business Continuity Institute.

El programa está basado en la norma BS 25999, la primera norma en el mundo referente a la gestión de la continuidad de los negocios, la que tiene como objetivo ayudar a las organizaciones a minimizar los riesgos de interrupciones de las operaciones normales debido a incidentes adversos. La norma es particularmente importante para organizaciones del sector de las finanzas, transporte y sectores públicos donde la capacidad de seguir operando es esencial para la organización, sus clientes y partes interesadas.

Lyndon Bird, director técnico del Business Continuity Institute , dijo: “Hoy, los negocios están operando en un ambiente global y cada vez más rápido, y enfrentando muchos riesgos potenciales. Como resultado de este hecho, la gestión de la continuidad de los negocios está cada vez más presente en las conversaciones de las altas gerencias, y, por lo tanto, habrá una gran demanda de auditores certificados como competentes para auditar sistemas de gestión de la continuidad de los negocios .

Información completa en Irca Inform.

Entrevista a Lindon Bird por el BCI en nuestra sección de artículos y podcast


El Ministerio de Administraciones Públicas (MAP) representa a España en el nuevo consorcio europeo Stork en el que 13 países de la Unión Europea más Islandia trabajan para que los DNI electrónicos, implantados en nuestro país en 2006, puedan utilizarse en todos los Estados de la UE.

El consorcio Stork (Secure Identity Across Borders Linked-Identidad segura a través de las fronteras) se prolongará durante tres años y será cofinanciado por la Comisión Europea en su estrategia de crear servicios paneuropeos de administración electrónica.

El MAP colabora con el consorcio de forma activa, ya que lidera trabajos de definición y desarrollo de protocolos y datos, necesarios para intercambiar para aceptar los DNI electrónicos de los países miembros. Además, el MAP encabeza programas piloto para utilizar los identificadores en casos como cambio de domicilio y movilidad de estudiantes.

Dentro del consorcio Stork se realizarán una serie de pruebas que permitirán la aceptación de los DNI electrónicos en servicios de administración electrónica en los Estados miembro. Así, los ciudadanos, empresas y funcionarios podrán utilizar sus DNIe de manera segura en cualquier país de la Unión Europea, lo que también facilitará el libre movimiento de personas y empresas en la UE.

Información completa en El País.


Promisec ha lanzado una enciclopedia en línea de amenazas en seguridad de red interna. La enciclopedia, que puede ser vista por cualquier persona de forma gratuita, se actualiza continuamente con explicaciones detalladas de las últimas amenazas.

Además, el sitio contiene gráficos mensuales que muestran cómo la tendencia en los riesgos internos ha cambiado en los últimos años, consejos de seguridad internas y trucos, artículos sobre los últimos incidentes de seguridad interna, un panorama de las amenazas internas, y una amplia gama de otros recursos.

Acceso a la enciclopedia en Promisec.


El mes que viene y de mano de un investigador se va liberar una nueva herramienta de código abierto destianada a llevar a cabo ataques de phishing internos.

La herramienta de código abierto está destinada a pruebas de penetración y permite personalizar los ataques de phishing en las organizaciones.

Los ataques de phishing se están convirtiendo cada vez más en el método de elección de los hackers para infectar y/o infiltrarse en una organización específica.

Estos ataques pueden ser inquietantemente convincentes, a menudo utilizando idénticos pies de página en mensajes y direcciones IP como las utilizadas dentro de una organización, y pueden fácilmente llevar a usuarios desprevenidos a la apertura de vínculos maliciosos. La semana pasada, un spear "phishing" en Nueva Zelanda desde la Universidad de Otago dio lugar a aproximadamente 1,55 millones de spams generados desde un servidor de la universidad en 60 horas.

Perrymon dará a conocer la nueva herramienta de Spear phishing el próximo mes en la Conferencia OWASP, donde será incluido en el OWASP LiveCD, dentro del conjunto de herramientas de pruebas de seguridad.

Noticia completa en Darkreading.


El nombre “ekoparty" significa "Electronic Knock Out Party", Es una Conferencia Anual de Seguridad Informática, única en su tipo, en América del Sur. Se realiza en la ciudad de Buenos Aires donde diferentes especialistas de toda Latinoamérica y de otros países tienen la oportunidad de involucrarse con técnicas del “estado-del-arte", vulnerabilidades y herramientas en un ambiente tranquilo y de intercambio de conocimientos.

Este evento nació del Underground de IT, donde consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds y entusiastas de la tecnología se reúnen y disfrutan dos días de los descubrimientos másimportantes en seguridad del año - además de disfrutar del mejor clima del continente.

Las diferencias entre la ekoparty y otras conferencias de seguridad informática existentes en Argentina son:

· Técnicas de primera mano presentadas en español e inglés
· Sin exposiciones comerciales de vendedores o fabricantes.
· Días de entrenamiento con los profesionales en seguridad más importantes.
· Audiencia técnica especializada
· Relevancia internacional
· Ambiente relajado
· Promoción de red socia

Información completa y enlaces disponibles desde CRYPTEX.


Los políticos alemanes pidieron el martes un endurecimiento de las leyes de privacidad después de que las autoridades revelaran que la información personal y financiera de millones de habitantes del país estaba fácilmente disponible en Internet.

El escándalo sobre el tráfico ilegal de cuentas bancarias y datos telefónicos ocurre sólo meses después de que otros casos de espionaje en corporaciones alemanas hicieran sonar las alarmas.

Este nuevo debate ha surgido tras las informaciones de que un centro de teleoperadores alertó a las autoridades de un problema con las prácticas de recogida de datos de su compañía, al transferir datos de unas 17.000 direcciones y detalles de cuentas bancarias en el estado de Schleswig-Holstein.

Deutsche Telekom, la mayor empresa de telecomunicaciones de Europa, conmocionó a los clientes a principios de este año al revelar que había revisado ilegalmente grabaciones de llamadas telefónicas en 2005, mientras que los supermercados Lidl estaban siendo investigados tras ser acusados de vigilar a sus empleados.

Información completa en noticias yahoo.


Militar de carrera, Pedro Eugenio Sebastián Hidalgo ha tenido una trayectoria profesional vinculada con el Ministerio de Defensa, en diversos destinos, entre ellos el Centro Conjunto de Inteligencia y Guerra Electrónica, Gabinete Criptográfico Central del Estado Mayor de la Defensa, así como en la Agregaduría de Defensa de la Embajada de España en Roma y en el Colegio de Defensa de la OTAN en Roma. Su larga experiencia en las Fuerzas Armadas la ha desarrollado en el campo de la Inteligencia Electrónica y de Comunicaciones, así como en la Criptología y la Seguridad en las Comunicaciones. Es director de Seguridad por la Universidad Pontificia de Comillas (ICAI-ICADE).

"Las empresas de ingeniería tienen un alto contenido en desarrollo, investigación e innovación y su principal amenaza es la pérdida o fuga de esos desarrollos, prototipos, patentes. adquiridos con el esfuerzo de muchos años, y que pueden causar no sólo pérdidas económicas, sino también importantes daños a la propia imagen de la empresa."

"El bienestar económico de las empresas depende cada vez más de su capacidad para salvaguardar sus secretos comerciales, entendiendo que tales informaciones son ajenas al conocimiento general del público y de las comunidades de negocios, educativas o científicas. Hay que tener en cuenta que en la actualidad el 80% del valor de cualquier empresa son los activos intangibles: patentes, marcas, colaboradores, suministradores, acervo profesional, fondo de comercio, accionistas, socios, etc."

"Los principales riesgos están en las innovaciones en el sector aeroespacial, defensa, energía solar, automoción, desarrollos de software en la ingeniería naval, y en especial en los conocimientos de las propias personas."

Acceso a la entrevista completa en Seguritecnia.


A mes de Agosto de 2008, hay 4.698 organizaciones con certificación acreditada en ISO 27001 en el mundo, según el conocido registro internacional de International Register of ISMS Certificates.

En esta actualización del registro ya se han eliminado las certificaciones registradas en BS 7799 que se no hayan renovado bajo ISO 27001.

Encabeza la lista, como desde hace años, Japón, con 2.733 certificaciones, le sigue India con 391 y el Reino Unido con 358.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

España: 25
México: 8
Colombia: 7.
Chile: 3.
Perú: 3.
Uruguay: 1.

La nueva posición de España se ha visto impulsada por un importante número de certificaciones realizada y comunicada al registro por DNV.

En el caso de Argentina, han desaparecido las 2 certificaciones de pasados meses tras la actualización a sólo certificados ISO 27001.


La seguridad es sólo una de una serie de consideraciones que un director de proyecto tiene que hacer frente cuando desarrolla un proyecto para la empresa. ¿Qué herramientas y habilidades necesita un profesional en seguridad para garantizar que la seguridad se incluye de forma oportuna y eficaz?

Para responder a esta pregunta se identifican en este trabajo importantes habilidades, conocimientos fundamentales y buenas prácticas, por ejemplo, evaluación de riesgos de seguridad, que cuando se combinan son convincentes argumentos para persuadir a los directores de proyectos de hornear la seguridad en sus proyectos.

Acceso a la descarga del trabajo de Alex Clayton en Sans.org.


El Open Source Security Testing Methodology Manual (OSSTMM) es una metodología objeto de revisión para la realización de pruebas de seguridad y métricas. El casos de prueba de OSSTMM se dividen en cinco canales (secciones) que de forma conjunta prueban: la información y los datos de control, los niveles de concienciación del personal de seguridad, niveles de control del fraude e ingeniería social, informática y redes de telecomunicaciones, dispositivos inalámbricos, dispositivos móviles, la seguridad física controles de acceso, seguridad los procesos y las ubicaciones físicas, como edificios, los perímetros, y las bases militares.

Más información, acceso a descargas o convertirse en miembro desde isecom.org.


Adeona es un servicio abierto y gratuito, patrocinado por la Universidad de Washington, para realizar un seguimiento de la localización de un ordenador portátil perdido o robado.

A diferencia de otros servicios, éste es totalmente gratuito y se basa en protocolos abiertos y documentados.

Además la aplicación realiza un notable esfuerzo para garantizar la privacidad de los datos, de forma que nadie excepto el propietario del ordenador pueda acceder a la información registrada.

Artículo completo y enlaces en CRYPTEX.


La Asociación de Usuarios de Bancos, Cajas y Seguros, a través de Vicent Bellido, abogado de Castellón y miembro del equipo jurídico de ADICAE ha obtenido una de las primeras sentencias en España sobre fraude a consumidores en banca electrónica. La resolución permitirá a los socios de ADICAE afectados recuperar de Bancaja más de 6.000 euros estafados por el procedimiento de “Phishing".

Los socios afectados detectaron la realización de dos transferencias bancarias a través de internet a terceras personas sin su consentimiento. Ante dicho fraude procedieron a comunciar lo ocurrido a la entidad interponiendo asimismo una denuncia ante la Policía. Después presentaron una reclamación ante el Servicio de Atención al Cliente de Bancaja que no atendió a la reclamación de devolución del importe sustraído por entender que existía negligencia por parte de los usuarios en la custodia de las claves.

ADICAE llevó el caso ante los Tribunales, obeteníendose una sentencia que salvaguarda los intereses de los consumidores, haciendo responsable objetiva a la entidad bancaria condenándola como la única responsable. El negocio de la banca por Internet, permite a las entidades un ahorro económico muy significativo. Sin embargo, tan solo invierten en su propia seguridad informática y no en la de sus clientes a quienes pretenden imponer toda la responsabilidad en caso de fraude.

Artículo completo en cronicallocal.info.


La filtración afecta a cuatro canciones del álbum 'No Line On The Horizon' que será comercializado en noviembre, incluyendo el primer single 'Sexy Boots'.

El mecanismo de filtrado a la Red resulta de lo más cómico. Dicen que Bono escuchaba a toda pastilla la maqueta del nuevo disco, en el equipo de sonido de su casa en el sur de Francia y un avispado transeúnte que pasaba por allí las grabó y las colgó en Internet.

Artículo completo en theinquirer.es.


El libro ofrece de una forma sencilla y práctica una guía con ejercicios para cualquier persona con responsabilidad para la planificación y ejecución de la gestión de continuidad del negocio (BCM).

Este libro "how-to 'l es una guía para las operaciones con información privilegiada para llevar a cabo con éxito ejercicios para la continuidad del negocio. Permite probar y evaluar la eficacia de su actual capacidad de gestión de incidentes y los planes de recuperación en las empresas.

Partiendo de la creación de un programa de ejercicios que se adapte a sus circunstancias, a través de la planificación y ejecución de un ejercicio, con la presentación y evaluación, el libro utiliza casos de estudio y puntos de aprendizaje y proporciona documentos muestra de planificación para apoyar el cumplimiento de BS 25999, el estándar de BCM.

Información completa de bip2143 junto a enlaces de descarga gratuitos del índice de contenidos y primer capítulo.


En el marco de la segunda edición del bSecure Conference, ante más de 120 asistentes, Jesús Torrecillas, consultor de Seguridad de Cemex, dijo en su ponencia: “Si no entendemos que nuestra labor es la de invertir en seguridad y no ser 'compradores' entonces mejor dediquémonos a vender churros".

Asimismo, advirtió que el oficial de seguridad es visto como un pistolero venido a más debido a que no sabe vender el modelo de seguridad a la alta dirección, la cual sólo entiende de retornos de inversión y de tranquilidad en el negocio.

Como resultado de más de 15 años de experiencia en seguridad empresarial, Torrecillas ha identificado los 10 errores más frecuentes que cometen los directivos en este terreno.

Articulo completo en netmedia.info


ISO acaba de publicar recientemente la combinación de libro y CD dando a las organizaciones consejos de cómo hacer uso integrado de estándares de sistemas de gestión.

El uso integrado de sistemas de gestión destila la experiencia y los conocimientos de un grupo de trabajo ISO compuesto por 16 miembros procedentes de organizaciones empresariales que representan a una amplia gama de países y sectores, así como de los organismos de normalización y del mundo académico.

Información completa y detalles de compra de la publicación en iso.org


Las tradicionales herramientas de control y métodos nativos son útiles para diagnosticar problemas en un determinado punto en el tiempo, pero por lo general no se puede elevar a toda la empresa. La auditoría de los agujeros que aparecen nos ciegan de las actividades esenciales que se realizan en los sistemas que contienen nuestros más codiciados secretos comerciales, listas de clientes, propiedad intelectual, y demás.

En los últimos años, herramientas nativas de auditoría, tales como SQL Profiler, trazan las funciones, y se desencadena por todo lo que tenemos. Pero ya no son el único juego disponible. Una nueva categoría de tecnología ha surgido que faculta a las empresas a "ver" e inmediatamente analizar lo que está pasando con los datos sensibles. Esta nueva tecnología, denominada monitorización de seguimiento de actividad (DAM), tiene la capacidad de supervisar los datos sensibles cuando se accede a ellos desde los servidores de datos y analizar la actividad para determinar si el usuario, o el acceso particular, tiene el potencial de poner en peligro los datos o crear situaciones de no conformidad.

Articulo completo de Michael Semaniuk en Net Security


Los últimos resultados de la encuesta anual de Databarracks sobre Backup y Recuperación indican que, en general, el 91% de las empresas afirman estar seguros en su solución de copia de seguridad. Tras realizar investigaciones adicionales, el 74% de estas empresas no utilizan el cifrado o la replicación y no tienen copias de seguridad externas y confían a pesar de saltarse estos pasos.

Además, el 67% todavía considera que su solución de copia de seguridad es segura a pesar de que no mantienen o comprueban los registros de las copias de seguridad y no realizan pruebas de restauración para asegurarse de que funcionan correctamente.

La encuesta también revela que el 27% de la pérdida de datos en las empresas es causada por errores humanos, el 26% por fallo en el hardware, y el 19% por fallo en el software. En informes anteriores de 2006 se indica que el fallo causado por el hardware provocó la mayor parte de la pérdida de datos con un 61%, mientras que el error humano sólo representó el 2%.

Noticia completa en Net Security


El fabricante de guitarras Fender Musical Instruments Europa está reforzando su plan de continuidad del negocio para apoyar su expansión europea.

La empresa, que tiene su sede principal en Londres, proporciona las aplicaciones para todas las empresas europeas que cubre en el Reino Unido, Francia, Alemania, España y Suecia.

Dave Skorecki, administrador de la infraestructura europea en Fender Europa, dijo que la compañía tenía que reevaluar su continuidad del negocio después de diez años de crecimiento. Con este fin, la compañía está utilizando los servicios de datacentre de TelecityGroup para garantizar que el equipo se mantiene durante las 24 horas del día.

Fuente de la noticia en Computerweekly


El Instituto Nacional de Tecnologías de la Comunicación (INTECO), dentro del marco del Plan Avanza, ha recibido, por parte de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), dependiente del Ministerio de Industria, Turismo y Comercio (MYTIC), una encomienda de Gestión para poner en marcha el proyecto destinado a fomentar y promover tanto la implantación como la certificación de Sistemas de Gestión de la Seguridad de la Información (SGSI), en la PYME española.

Este proyecto se realizará en colaboración con el Consejo Superior de Cámaras de Comercio, Industria y Navegación de España y está orientado a la consecución de tres objetivos principales:

* Concienciación y sensibilización de las PYMES en los Sistemas de Gestión de la Seguridad de la Información.
* Implantación de un SGSI y Certificación del sistema según la normativa ISO 27001.
* Aumentar la productividad y competitividad de las empresas beneficiarias del programa.

A través del nuevo portal se podrán consultar todos los detalles relativos a dicho proyecto así como solicitar la participación en el mismo y obtener información relativa a los Sistemas de Gestión de la Seguridad de la Información.

Noticia completa en INTECO


El aspecto de la economía puede parecer sombrío pero no ha detenido a tres empresas de seguridad al lanzamiento de seguridad Web como servicio (SaaS) y la próxima generación de anti-malware software en la escena.

Curiosamente, dos de las empresas son empresas de servicios de seguridad Web que fueron fundadas por antiguos ejecutivos de la empresa de seguridad de correo electrónico CipherTrust, que fue adquirida por Secure Computing hace más de un año.

Noticia completa en Dark Reading


Habitualmente se hace necesario demostrar a la Dirección de una empresa los retornos de inversión que puede suponer el proceso de implantación de una norma como ISO 27001 y se hace complicado encontrar información actualizada y útil que permita demostrar que tipo de incidentes han sucedido y que controles hubieran evitado o mitigado el impacto de haber estado implantados en una empresa.

Efortresses pone a disposición en su página web de enlaces útiles ordenados por año en su apartado ISO27001 to Security Breaches Matrix

Otro enlace útil en este sentido y en refencia a la pérdida de datos la encontramos en la base de datos de código abierto DataLossDB, proyecto de investigación encaminado a conocer y documentar la pérdida de datos informada por incidentes en todo el mundo. El esfuerzo es ahora una comunidad, con el paso a OSF, y se basa en las contribuciones de los usuarios para crecer y mantener la base de datos.


Centro de métricas
13/August/2008
El Centro de Métrica es un foro abierto dedicado a mejorar el uso eficaz y eficiente de las métricas para medir, analizar y mejorar la gestión empresarial, gestión de riesgos y el cumplimiento legal. Una lista de correo para la comunidad se mantiene y administra por SecurityMetrics.org.

El Centro de Métricas está implantado y administrado por PlexLogic. Metrics Center ofrece dos servicios iniciales para conectar personas, información, análisis concretos.

La misión de Metrics Center es conectar personas, información y análisis con el fin de transformar datos en conocimiento, acciones y, en última instancia valor.

Metrics center dispone de un catálogo de métricas sobre estándares como PCI, NIST o ISO/IEC 27002.

Enlace al servicio disponible en metricscenter.org


Un nuevo software de código abierto desarrollado en el MIT (el Instituto Tecnológico de Massachussets) ayudará a apaciguar los miedos de los pacientes sobre el acceso a sus datos privados, facilitando el uso de dichos datos para la investigación médica.

Un equipo de investigadores de dicho instituto ha creado un programa informático capaz de borrar de manera automática datos de los registros médicos que podrían identificar a los pacientes, al tiempo que deja intacta la información médica relevante.

Artículo y enlace a noticia disponible en Tendencias 21


Este artículo de Sergio Hernando tiene como tema estrella un asunto que está bastante de moda en los últimos tiempos: el Cloud Computing..

Artículo completo disponible en Blog de Sergio Hernando


La Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) del gobierno de Venezuela, tiene publicada en su site dos documentos relacionados con su trabajo en lo que respecta a la seguridad de la información:

» Guía para el Diseño e Implantación de Arquitecturas Tecnológicas de Seguridad Informática en el Sector de la Administración Pública.

Documento guía, contenido de los estándares tecnológicos de seguridad informática y de los lineamientos para el diseño y construcción de una Arquitectura Tecnológica de Seguridad Informática efectiva y normalizada al nivel del sector de la administración pública.

» Políticas de Seguridad Informática.

Este manual incluye casi todas las políticas ahora consideradas parte de la normal profesional no militar en seguridad informática.

Noticia completa y enlaces a las descargas en CRIPTEX


Interesante artículo de Javier Cao Avellaneda sobre los principales documentos que aparecen en un SGSI.

Artículo completo disponible en Blog SGSI de Javier Cao


CNCA es la administración para la certificación y acreditación de personas en la república china y ha puesto a libre disposición el documento ISO/IEC 27006.

Con el nombre completo de "ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems", esta norma internacional recoge los requisitos para la acreditación de organismos que certifican sistemas de gestión de seguridad de la información.

El enlace de descarga en PDF disponible desde CNCA


www.iso27000.es ha realizado una entrevista a José Miguel González, gerente de seguridad lógica de Telefónica España.

Entre varias cuestiones relacionadas con la seguridad, José Miguel nos indica la importancia de pertenecer a asociaciones profesionales, en especial, el interés de Telefónica en pertenecer al Information Security Forum (ISF), prestigiosa organización dedicada a la seguridad de la información, que tiene entre sus socios a más de 300 de las mayores empresas del mundo. Con él hemos hablado de los objetivos y actividades de Telefónica en el ISF.

El podcast está disponible en nuestra sección de Artículos y Podcasts.


El foro cuenta con más de 180 miembros de todo el mundo y de distintos ámbitos de actuación. La pertenencia a este foro supone el total reconocimiento internacional del Equipo gubernamental español. Con su ingreso, el CCN-CERT compartirá objetivos, ideas e información sobre seguridad informática de forma global.

El CCN-CERT (Equipo de Respuesta a Incidentes de Seguridad de la Información del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia) ha sido admitido como miembro de pleno derecho del Forum de Respuesta a Incidentes y Equipos de Seguridad Informática, FIRST (Forum of Incident Response and Security Teams). Este es el primero y más importante de los foros existentes en todo el mundo, dado que reúne a más de 180 miembros de Europa, América, Asia y Oceanía, procedentes del entorno gubernamental, económico, educativo, empresarial y financiero.

Noticia completa en CCN-CERT


Dado que en ocasiones la insuficiencia de los sistemas de tecnología de información (TI) o incluso un corto e insuficiente alcance de un Sistema de Gestión puede obstaculizar el desempeño y la competitividad de las organizaciones o exponerlas al gravoso riesgo de incumplir la legislación vigente - entre otros muchos riesgos -, la recién publicada norma ISO/IEC 38500 ha llegado para establecer a nivel internacional una serie de directrices, básicas o generalistas, de orientación a la alta dirección en relación con el buen gobierno corporativo de TI.

ISO/IEC 38500:2008 fija los estándares de una buena gestión de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, utilizados de manera cotidiana por una organización, suelen estar gestionados tanto por especialistas en TI internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.

Artículo completo en Boletín Sigea


El sello Europrise indica a los usuarios de la web cuáles son los sitios que no rompen las reglas con respecto al uso y almacenamiento de datos de carácter personal o del comportamiento en línea.

La Comisión Europea concedió el 14 de Julio su primer "sello de aprobación" en privacidad a un servicio en línea, allanando el camino para los negocios electrónicos en toda Europa mediante la certificación de sus prácticas de protección de la información personal de los usuarios. El sello de privacidad, denominado Europrise (European Seal privacidad), es un detallado programa de pruebas de conformidad diseñado para certificar que un servicio en línea cumple con todas las leyes y reglamentos internos de la UE relativos al manejo de los datos de clientes. Noticia completa en Darkreading


Científicos japoneses han puesto a punto el primer ADN artificial del mundo, posibilitando así el desarrollo de un bioordenador potencialmente capaz de representar la información a través de la reacción de moléculas orgánicas: en lugar de ceros y unos, la codificación se realizaría en función del estado de la molécula.

Aunque los bioordenadores son en la actualidad meramente teóricos, la cantidad de información que podrían almacenar sería un billón de veces mayor que la de un supercomputador convencional, mientras que la velocidad de cálculo podría estar un millón de veces por encima.

Noticia de Juan R. Coca. en tendencias21


El pasado día 10 de julio, saltaba la noticia en varios medios de comunicación; "La CE pide a España información "lo antes posible" sobre la aplicación de la norma comunitaria contra ciberataques". La norma comunitaria a la que se hace referencia en esta noticia, no es otra que la Decisión Marco 2005/222/JAI [PDF] del Consejo de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información y que debería haber sido aplicada, antes del 16 de marzo de 2008.

Fernando Acero analiza en un completo artículo el marco regulatorio europeo en este sentido.


Este documento, escrito por Ginger Taylor, se inicia con una reseña histórica de ITIL y, a continuación, pasa a una visión general de alto nivel de la versión 3 con especial atención a la Gestión de Seguridad de la Información.

Este documento se ocupará de cómo este proceso ha madurado y cómo las organizaciones pueden garantizar mejor la confidencialidad, integridad y disponibilidad de sus servicios de TI mediante la aplicación del marco ITIL.

Descarga del documento en pdf desde Infosecwriters


La industria en torno a los centros de datos crece rápidamente a nivel mundial y son ya numerosos los profesionales y organizaciones que buscan ayuda para comprender mejor lo que disponen en sus Centros de Procesamiento de Datos (CPDs) y lo que deben solicitar a la hora de abordar un mantenimiento, una renovación o incluso la construcción de nuevas instalaciones según modelos de mayor eficiencia energética, operatividad y disponibilidad..

En base a estas consideraciones y con objeto de reducir la clara desconexión actual entre lo denominado «verde» y el ahorro real de energía, el CAT (Círculo de las Artes y la Tecnología) ha iniciado con el apoyo de organizaciones internacionales líderes en esta materia, una iniciativa que permitirá impulsar unas “buenas prácticas" en relación a la construcción y mantenimiento de Centros de Procesamiento de Datos eficientes, también denominados “Green Data Centers".

Entre los estándares considerados para este proyecto estarán la ISO/IEC 20000, ISO/IEC 27001 o TIA 942, además de diversos estándares de cableado y fabricación de componentes y materiales y mutliples documentos relacionados aportados por los colaboradores en esta iniciativa.

El (CAT) es un Centro de Excelencia promovido por el Ministerio de Industria Turismo y Comercio como plataforma de desarrollo de la Sociedad del Conocimiento a través del desarrollo de programas y proyectos vinculados al uso de las Tecnologías de la Información y Comunicación (TIC).

Descarga presentación CAT sobre GDC

Próximo evento CAT sábado 19 de Julio para profesionales dentro del programa general de Noche de Luna.


En el marco del taller nacional las Tecnologías de la información y el aseguramiento de datos personales en el sector público mexicano, Websense en colaboración con el Instituto Federal de Acceso a la Información Pública, informó que según el estudio de Web@Work 2007 el 56% de las empresas en nuestro país no cuentan con una solución para proteger su información.

El mencinado taller nacional tuvo como objetivo principal la creación de un marco de referencia en seguridad, para resguardar la información confidencial de las personas físicas y morales, evitando el riesgo de pérdidas tales como datos confidenciales, propiedad intelectual, secretos comerciales y cualquier información regulada que se pueda perder a través de Internet.

Noticia completa en Bsecure.


La reunión del SC27 en Kyoto del pasado mes de Abril acordó revisar la norma ISO / IEC 27002:2005 y abrió el periodo de petición oficial de contribuciones.

La fecha límite para las presentaciones al SC27 es el 1 de Septiembre y no se preveen cambios importantes de ISO 27002 en este momento, ya que el estándar es un método ampliamente utilizado y, por supuesto, tiene su conexión más directa con el Anexo A de ISO 27001 y cambios significativos podrían perturbar especialmente a los procesos de certificación.

De todos modos, habrá que esperar al periodo de revisión y que se inicia en Chipre, según indica en sublog Paloma Llaneza.


El informe final sobre los procedimientos de manipulación de datos en el Gobierno inglés ha sido publicado. En el informe se establece la forma de mejora de los compromisos del Gobierno en torno a la seguridad de la información y los datos, poniendo en marcha medidas de protección básicas, lograr una cultura de trabajo, mejorar la gestión y control del rendimiento.

Acceso libre a los distintos documentos en pdf en Cabinet Office.


El Banco de Crédito BCP introduce al mercado financiero boliviano el Creditoken, un pequeño dispositivo que hace virtualmente imposible vulnerar la seguridad de los usuarios de servicios bancarios en internet, previniendo el robo de información, identidad y estafa financiera.

El BCP prevé que el uso del Creditoken sea empleado en las cerca de 50 mil transacciones por internet que registran semanalmente, y espera que incentive una mayor recurrencia a los servicios ofrecidos mediante internet por la entidad financiera.

El dispositivo no tiene ningún costo al cliente, y sólo está previsto un cobro de un dólar al mes por el servicio mediante débito automático en cuenta.

En su explicación, los expertos en banca por internet manifestaron que el Creditoken genera a través de una mini pantalla LCD, de manera aleatoria, una combinación distinta de seis números cada minuto.

Al combinar los números con su PIN (clave personal de cuatro dígitos), el cliente estará habilitado para realizar transacciones con total seguridad a través de la página web del BCP, indicaron los expertos que presentaron la nueva tecnología.

Estos servicios pueden ser también accedidos mediante cualquier dispositivo móvil vía WAP (Wireless Application Protocol, acceso a datos a través de teléfono móvil).

Según destacaron los ejecutivos del BCP, el uso de estos dispositivos a nivel mundial ha mostrado descensos significativos en casos de estafas a usuarios de servicios bancarios por internet.

Noticia completa Opinion.com.bo.


La globalización, la interdependencia regional, la creciente regulación o el outsourcing, son algunos de los puntos que más afectan en la actualidad a un negocio, el cual a la vez sufre una gran presión por ser cada vez más competitivo. En este contexto se hace fundamental que las organizaciones estén preparadas para afrontar un eventual incidente que interrumpa su actividad.

Esta fue una de las cuestiones planteadas por Lyndon Bird, Director Técnico General del Business Continuity Institute (BCI) y reconocido especialista en todo el mundo, en la celebración de la Conferencia Internacional de Continuidad de Negocio celebrada el pasado mes de junio en Barcelona y en la que se presentó la versión en castellano de la norma internacional de continuidad de negocio BS25999.

BCI hace llegar a ISO27000.es este encuentro con Lyndon Bird y la exclusiva entrevista


El PCI Security Standards Council anunció la inclusión de dos nuevos tipos de dispositivos en la industria de pagos para el programa PED, para reforzar la seguridad de la información del titular de la tarjeta. Los terminales de pago no atendidos (UPTs) y los módulos de seguridad del hardware (HSMs) ahora pueden sufrir una prueba rigurosa y un programa de aprobación para garantizar que cumplan con las normas de la industria para garantizar la confidencialidad de los datos sensibles en el pago con tarjeta durante cualquier punto de la transacción.

El Consejo también conservará una lista de UPTs y HSMs aprobados, brindará documentación y entrenamiento para los laboratorios que evalúen estos dispositivos, y será una fuente única de información para los proveedores de dispositivos y sus clientes.

Fuente y noticia completa en Financialtech magazine


Se celebrará el próximo 16 de Julio en el Hotel Radisson SAS Portman de Londres y con una duración de un único día, tiene lugar 18 meses después de la publicación de la primera norma británica sobre la continuidad del negocio; BS 25999-1, y con los siguientes contenidos:

* Ultimas noticias en BS 25999 y otras normas relacionadas

* Situación actual en BCM certificación - los procesos y requisitos

* Las predicciones sobre las tendencias en el futuro de las amenazas y cómo manejarlas

* problemas y soluciones de las mejores prácticas, con estudios de casos por los que van a la cabeza

* Una oportunidad de trabajar en red con compañeros y compartir problemas y soluciones

Enlace al evento en BSIgroup


El Instituto Nacional de Tecnologías de la Comunicación (INTECO), a través de su Observatorio de la Seguridad de la Información, publica el Estudio sobre la situación de seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas para conocer el estado de las diferentes tecnologías inalámbricas del mercado y de sus dispositivos de acceso.

Descarga directa del estudio en pdf


Cinco proveedores de TI han formado una organización denominada "Consorcio de la Industria para el Avance de la Seguridad en Internet".

Cisco, IBM, Intel, Juniper Networks y Microsoft han formado el grupo sin fines de lucro para hacer frente a múltiples amenazas a la seguridad de producto en las, cada vez más complejas, infraestructuras de TI.

El Consorcio denominado ICASI se centrará en la lucha contra gusanos y virus de amplio alcance, así como los sofisticados ataques mútilples dirigidos contra los productos o protocolos compartidos en varios productos.

Icasi se sentará junto a los actuales organismos de seguridad de Internet como el Sans Institute y especialistas en seguridad como Symantec, que publican informes acerca de los más acuciantes problemas de seguridad web.

Icasi permitirá a los proveedores de TI a trabajar juntos para hacer frente a las amenazas multi-proveedor, según indica el grupo: "El consorcio proporcionará un mecanismo internacional que comprende al vendedor y cliente. Hasta la fecha no ha habido un entorno fiable desde el vendedor que permita a las empresas identificar, evaluar y mitigar los problemas generales de seguridad multi-producto en favor de los clientes. Icasi pretende llenar este vacío.

Acceso al artículo en computerweekly


El informe Poynter
11/July/2008
El 20 de noviembre de 2007, el Canciller designado Kieran Poynter, Presidente y Socio Principal de PricewaterhouseCoopers, investigó las circunstancias que condujeron a la pérdida significativa de datos personales confidenciales sobre los niños beneficiarios de prestaciones así como de otras recientes pérdidas de datos confidenciales junto a las lecciones que deben ser aprendidas . Kieran Poynter ha publicado su informe final el 25 de junio de 2008.

Acceso al Informe completo disponible en BHM Treasury Goverment


Según indica David Lacey en su blog, los ataques a la integridad de los datos será la próxima gran preocupación. No vemos muchos de estos ataques, por lo que no hacemos todo lo que se debiera para defender la integridad de nuestra propiedad intelectual. Pero el impacto de incluso, un pequeño cambio a una base de datos puede ser muy perjudicial a los servicios, la confianza y la reputación.

El foco de la seguridad en nuestro e-Business ha cambiado en los últimos años de la disponibilidad a la confidencialidad. El siguiente punto de atención se centrará en la integridad.

Post completo y acceso a video en Blogs de computerweekly


Aunque no existen faltas de atención dedicadas a la protección de nuestros datos de amenazas externas las evidencias demuestran, sin embargo, que las personas autorizadas dentro de la organización plantean un riesgo extraordinario para los datos sensibles de una organización.

El nuevo número de (IN)SECURE dedica una interesante artículo a la formación y concienciación en seguridad


Del 14 al 18 de Julio, BSI España imparte en Madrid un curso de auditor jefe de ISO 27001.

En él se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona al alumno el título de Lead Auditor.

Más información e inscripciones en www.bsigroup.es.


Durante este mes de Junio ha sido publicado el estándar ISO/IEC 27005:2008, dedicado a la gestión de riesgos de seguridad de la información.

Es la cuarta norma de la serie ISO 27000 que se publica (tras ISO 27001, ISO 27002 e ISO 27006) y es una guía de apoyo al estándar de gestión de seguridad de la información ISO/IEC 27001 en cuanto a la gestión de riesgos.

Con su publicación, quedan sustituidas y retiradas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000.

La norma puede ser adquirida online en www.iso.org.


La empresa consultora española Audisec ha desarrollado una herramienta de gestión del ciclo de vida de un SGSI llamada GLOBAL SGSI.

Se trata de un software que puede ayudar a una organización a gestionar el lanzamiento de un proyecto de implantación de un SGSI (sistema de gestión de seguridad de la información), el gap analysis, el inventario de activos, el análisis y gestión del riesgo, toda la documentación que requiere el estándar, las auditorías internas, los cuadros de mando, la mejora continua, el manejo de incidentes de seguridad, etc.

Más información y una presentación de la herramienta en la página web de Audisec, www.audisec.es.


BSI y BCI España han hecho llegar a ISO27000.es la siguiente nota de prensa:

" Las crisis no se pueden evitar, pero las organizaciones pueden prepararse para minimizar sus efectos. Ésta ha sido una de las bases sobre las que se ha articulado el discurso de los expertos presentes en la Conferencia Internacional de Continuidad de Negocio celebrada recientemente en Barcelona. El evento, organizado por la British Standards Institution (BSI) y el Business Continuity Institute (BCI), ha sido también la ocasión para presentar la versión en castellano de la norma mundial en continuidad de negocio BS 25999, una norma pionera diseñada para que un negocio continúe a pesar de circunstancias desafiantes e inesperadas.
En la conferencia se hizo referencia precisamente a las últimas circunstancias desafiantes que se han tenido que afrontar en nuestro país (...nota de prensa completa). "


A principios de Junio ha sido publicado el estándar ISO/IEC 38500:2008 de gobierno corporativo de las tecnologías de la información.

Esta norma aplica al gobierno de los procesos de gestión (y decisiones) relativos a los servicios de información y comunicaciones utilizados por una organización. Procesos estos que pueden estar controlados por especialistas TI propios de la organización o por proveedores de servicios externos o por unidades de negocio dentro de la organización y que afectan a las obligaciones legales, regulatorias y éticas en el uso de las TI.

El estándar se desarrolla alrededor de 6 principios (responsabilidad, estrategia, adquisición, desempeño, cumplimiento y comportamiento humano) y está alineado con la definición de gobierno corporativo que hizo en 1992 el Report of the Committee on the Financial Aspects of Corporate Governance, más conocido como el Informe Cadbury.

La norma puede ser adquirida online en www.iso.org.


La XIII conferencia Latin America CACS, organizada por ISACA, tendrá lugar en la ciudad de Santiago de Chile del 17 al 20 de Agosto de 2008.

La conferencia Latin America CACS ha cobrado prestigio profesional, ya que se enfoca en las más recientes estrategias para dar soluciones a problemas complejos relacionados con aseguramiento, seguridad y gobierno de la tecnología de información. Este evento atrae a notables conferenciantes de toda Latinoamérica.

Los temas de la conferencia están distribuidos en 3 pistas:
Pista 1 Gobierno y Control de TI (IT Governance and Control)
Pista 2 Auditoría de Sistemas de Información (IT Assurance)
Pista 3 Gestión de Seguridad de Sistemas de Información (IT Security Management)

Talleres:
* WS1 Curso de Fundamentos de COBIT (Taller con duración de dos días antes de la conferencia)
* WS2 Curso de Preparación al Examen CISA (Taller con duración de dos días antes de la conferencia)
* WS3 Implementación de Gobierno de TI utilizando COBIT y Val IT (Taller con duración de dos días después de la conferencia)
* WS4 Curso de Preparación al Examen CISM (Taller con duración de dos días después de la conferencia
* WS5 Cómputo forense en la organización (Taller con duración de un día después de la conferencia.

Más información sobre el evento en www.isaca.org/latincacs.


El 10 y 11 de Julio, el Capítulo de Madrid de ISACA organiza un curso de análisis forense y generación de evidencias electrónicas, en el cual los expertos Paloma Llaneza, Francisco Lázaro, Elena de la Calle y Julio San José abordarán una visión transversal de cómo generar, almacenar, extraer, analizar y, en su caso, aportar en juicio información electrónica con valor legal de prueba, tanto desde el punto de vista legal y normativo como desde el técnico.

Más información sobre el evento en www.auditoresdesistemas.com.


Marcus Evans, compañía especializada en la organización de eventos, congresos y conferencias, organiza del 30 de Junio al 1 de Julio en Madrid una conferencia dedicada a la Gestión y Gobierno de las Tecnologías de la Información.

A lo largo de los dos días, expertos en la materia procedentes de empresas como Codere, Mercedes Benz España, Cuatrecasas, Telefónica España, Junta de Andalucía, Sol Meliá, Henkel, Repsol YPF, Siemens Enterprise Communications, NH Hotels, Bolsa de Bilbao, Deutsche Bank, Caixa Galicia, Universidad Carlos III o Chronoexpress disertarán sobre diferentes aspectos de la gestión y gobierno de TI, tales como definición de roles para dirigir la TI, implementación de CobiT, orientación de las TI a procesos, mitigación de riesgos asociados a TI, gobierno de la seguridad en proyectos TI, medición del rendimiento de la TI, gestión de costes de TI, sistema de gestión de TI, desarrollo de servicios certificables ISO 20000, ITIL, planificación estratégica, etc., enfocado siempre desde el punto de vista de la experiencia práctica de estas empresas de primer nivel.

Más información sobre el evento en Marcus Evans.


(ISC)2, la organización que gestiona certificaciones personales de seguridad de la información como CISSP o SSCP, ha lanzado hace algunos meses un interesante blog de seguridad -en inglés- en el cual colaboran expertos internacionales aportando sus opiniones sobre distintos temas relacionados con la materia.

Está disponible en http://blog.isc2.org/.


Eugene Kaspersky, CEO y co-fundador de Kaspersky Lab, impartirá la conferencia “iCrime vs Threat Prevention industry". En ella expondrá las principales tendencias y focos de interés en la seguridad de la información y las razones por las que se generan los problemas relativos a la seguridad. Además hablará del desarrollo de la industria y hacia donde evolucionará.

Por último, prestará especial atención a las amenazas más preocupantes -la más peligrosa de las cuales es el ciberterrorismo- y aportará algunos recientes e impactantes ejemplos.

Con una trayectoria de más de 15 años en el campo de la seguridad de la información, Kaspersky es uno de los máximos expertos mundiales en antivirus.

La actividad organizada por ISMS Forum Spain continuará con una demostración práctica a cargo del director de la Unidad de e-Crime de S21sec, David Barroso, quien dirigirá la sesión “Una experiencia práctica sobre malware". Barroso es uno de los expertos en informática forense más reconocidos en nuestro país.

Esta actividad organizada conjuntamente por ISMS Forum Spain y Reed Exhibitions se celebrará en el marco de Infosecurity 2008 que, bajo el lema "El valor de la confianza" se celebrará en el Palacio de Congresos del Campo de las Naciones.

Registro e información completa en Registro ISMSForum.


Oscar O'Connor describe los procesos involucrados hasta el momento en la creación de BS 25777, el nuevo estándar para las Tecnologías de la Información y Comunicación.

Articulo de The BCI Journal.


la “V Jornada de Protección de Datos en los Servicios Sociales de la Comunidad de Madrid" se celebrará el próximo miércoles día 18 de junio de 2008, entre las 09:15 y las 14:00 horas en la Residencia de PP.MM. "Gran Residencia" (C/ General Ricardos, 177 de Madrid-28025).

La inscripción es gratuita, por riguroso orden de solicitud, mediante la remisión de un correo electrónico a apdcm@madrid.org.

Organizado por la Agencia de Protección de Datos de la Comunidad de madrid, contará con la participación del Excmo. Sr. D. Alfredo Prada Presa, Vicepresidente Segundo y Consejero de Justicia y Administraciones Públicas; del Excmo. Sr. D. Arturo Canalda González, Defensor del Menor de la Comunidad de Madrid y de la Ilma. Sra. Dª. Regina Plañiol de Lacalle, Viceconsejera de Familia y Asuntos Sociales de la Comunidad de Madrid..

Información completa en Madrid.org.


¿Qué pasaría si su red pudiera adaptarse de manera proactiva a las amenazas y las necesidades de la empresa? Esa es la visión de adaptación de la infraestructura de seguridad que Gartner ha dado a conocer.

Neil MacDonald, vicepresidente de Gartner, afirma que este es el modelo de seguridad necesario para dar cabida a la aparición de varios perímetros y piezas móviles en la red, cada vez más avanzadas y dirigidas a las amenazas de las empresas. "No podemos controlar todo [en la red] jamás", dice MacDonald. Es por eso que una política de seguridad basada en el modelo contextual tiene sentido, dice.

Artículo completo publicado en Darkreading.


El correo electrónico es posiblemente la aplicación empresarial más importante para la comunicación del personal a través de Internet. Las personas dependen de ella para enviar texto, imágenes e incluso archivos de sonido con rapidez a sus destinos. Queda muy lejos al servicio postal e incluso el Pony Express, que entregaban mensajes a sus destinos en días o incluso semanas.

El E-Mail fue diseñado para ser fácil de usar y para una rápida entrega del mensaje al destino final. Debido a estos factores, el E-Mail no dispone de muchas medidas de seguridad por defecto. La cadena de servicios de correo electrónico no ofrecen no repudio entre remitente y receptor. Fallan también en proporcionar encriptación para proteger la naturaleza de texto claro del E-Mail, y que atraviesa Internet.

El objetivo de este trabajo será la de proporcionar métodos seguros de envío y recepción de E-Mails a través de Internet. Esto incluye tanto tecnologías servidor / proveedor, así como, soluciones de cliente del usuario final para abarcar soluciones de E-Mail tecnología en su conjunto.

Guía de Brian Donadio en pdf publicada en Infosecwriters.


La unidad de delitos económicos de la ciudad de Londres está preparando un proyecto piloto para registrar, localizar, evaluar y notificar e-crímenes. Si tiene éxito, este piloto podría abrir el camino a un centro nacional de información sobre el e-crimen.

El piloto, que ahora está en fase de dotación de personal, se iniciará en el verano. Se utilizará la información de cuatro grupos que representan a los sectores público y privado, dijo el superintendente detective David Clark, que dirige la unidad.

La unidad está entrevistando a posibles proveedores de software, entre ellos Detica, que ha realizado trabajos de similares para la Oficina de Fraude en Seguros.

Una característica clave será poner a prueba las relaciones de los informes entre los organismos de represión como la Unidad del Crimen Organizado, el Centro contra la explotación Infantil y el Centro de Protección Online (CEOP), la Asociación de oficinas e-crimen de Jefes de Policía, la Policía Metropolitana entre otros, como el Centro Nacional de Informes de Fraude que está planificado.

Clarke rehusó a decir lo que costaría el piloto pero indicó que es un proyecto de bajo coste presupuestario.

Noticia publicada en Computerweekly.


Patrocinado por Cisco y realizado por la consultora Kaagan Research, el primer Latin American Security Index proporciona un punto de referencia para comprender cómo las empresas de la región evalúan la seguridad de su información clave, y cuáles son sus esfuerzos para establecer y mantener estándares que ayuden a conservar segura esa información.

El Cisco Security Index (CISI) ha sido creado con base en las respuestas a una encuesta realizada por la consultora Kaagan Research a más de 600 gerentes de sistemas de información de compañías pertenecientes a seis países Latinoamericanos.

CISI incorpora evaluaciones relacionadas con la familia de estándares ISMS, que comprenden estándares sobre Información de la Seguridad publicadas conjuntamente por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). El índice refleja en gran parte el marco estructurado ISO 27001, que es el estándar con el cual deben certificarse los sistemas de administración de Seguridad de la Información de las organizaciones.

Descarga en formato pdf disponible del CISCO security index.


El programa de cursos que el capítulo de ISACA en Valencia tiene previsto para el 2008 es:

- Curso CISA. Abril 2008 hasta 13 de Junio de 2008

- Curso CobiT-Foundation del 19 al 21 de Junio.

- Curso Lead Auditor ISO 27001 por Veridion del 23 al 27 de Junio.

- Curso CISA Diciembre 2008. Desde Octubre a Diciembre.

- Curso CISM Diciembre 2008. Desde Octubre a Diciembre.

- Curso CobiT-Foundation Septiembre

- Curso CobiT-Foundation Diciembre

- Curso Lead Auditor ISO 27001 por Veridion del 23 al 27 de Septiembre.

Más información y registro disponible en ISACA Valencia.


El curso de Auditor de ISO 27001 te proporciona el conocimiento necesario para realizar una auditoria de un sistema de gestión de los sistemas de información (ISMS).

El curso se basa en la ISO 19011:2002 y otros estándares de auditoria internacionales de acuerdo al criterio del estándar ISO 27001:2005.

Los alumnos también adquirirán el conocimiento necesario para proporcionar el asesoramiento esencial para las personas y organizaciones interesadas en el cumplimiento de este estándar.

El curso incluye un examen final.

El curso se impartirá en su totalidad en ESAT, centro certificado donde también se ralizará el examen.

Es el primer curso de Veridion que se imparte en España/Valencia.

Enlace a Formación ISO 27001 Valencia Veridion.

Enlace a calendario internacional y Listado de cursos Veridion.


Con un primer premio de 500.000 US$, el propósito de esta competición anual es ayudar a Start-Ups y a ideas innovadoras en el campo de la seguridad.

Algunos ejemplos de las áreas de interés de este concurso son el campo biométrico, sensores de detección, seguridad de red, almacenamiento de datos, videovigilancia, RFID, biotecnología y software de búsqueda, entre otros.

La fecha tope de registro (gratuito) y entrega de ideas para el concurso es el 15 de Junio.

Enlace a la iniciativa y detalles en The Global Security Challenge Competitions 2008.


Unified Compliance Framework (UCF) es la primera y más grande iniciativa independiente para mapear controles TI de todas las normas internacionales, regulaciones y mejores prácticas.

La UCF logra su objetivo mediante la armonización de las condiciones y los controles contra una lista maestra jerárquica. Básicamente, significa que podemos presentar la complejidad de las normas, estándares y políticas que se deben seguir en una simple hoja de cálculo con vínculos que profundizan al nivel y detalle de información según necesidad.

Enlace a la iniciativa y acceso a recursos en Unified Compliance Framework.


BSI España organiza en Barcelona el 19 de Junio un evento de presentación de la versión en español de BS 25999 (gestión de continuidad de negocio), como continuación al celebrado recientemente en Madrid (ver correspondiente nota de prensa en otra noticia de ISO27000.es).

La conferencia tendrá lugar en el Gran Hotel Princesa Sofía, es de inscripción gratuita con plazas limitadas, contará con distintas ponencias dedicadas a la gestión de continuidad de negocio y permitirá a los asistentes adquirir las dos partes de la norma con un 50% de descuento.

Más información e inscripciones en BSI España.


La empresa americana AXUR está promocionando su herramienta de gestión de SGSI llamada "Axur ISMS".

Esta herramienta cubre distintos aspectos de la implantación y gestión de un SGSI basado en ISO 27001. Tiene un módulo de gestión de riesgos (con evaluación de riesgos, implementación de controles, indicadores, generación de evidencias del proceso...), un módulo de gestión de políticas (distribución electrónica de documentos, control de revisiones y aprobaciones, informes de acceso a documentos, gestión del histórico...), un módulo de mejora continua (seguimiento de acciones correctivas y preventivas, recolección de evidencias, registro de incidentes de seguridad, valoración de impactos por incidentes...) y un módulo de generación de informes (entre otros genera los documentos exigidos por ISO 27001: SOA, plan de tratamiento de riesgos, inventario de activos, etc.).

La aplicación se comercializa como SaaS (Software as a Service) y se accede vía navegador. Está incluida en el catálogo de herramientas de ENISA, la Agencia Europea de Seguridad de las Redes y la Información.

Información, acceso a una demo y video de demostración las ofrece AXUR en su página web página web.


ISMS Forum Spain ha traducido y editado en castellano un nuevo manual. Se trata de la "Guía de Medidas y Métricas 2007" de OCEG (Open Compliance & Ethics Group, EEUU), subtitulada "Una propuesta para la evaluación de resultados y métricas para disponer de una capacidad integrada de GRC (Governance, Risk, Compliance and Ethics)".

En el camino de integrar buen gobierno, gestión del riesgo, controles, cumplimiento normativo y ética en el día a día del negocio, la Guía de Medidas y Métricas de OCEG ayuda a medir estos procesos e informar acerca del rendimiento y de las capacidades de GRC en las organizaciones.

Esta guía se ha traducido gracias a un acuerdo con Open Comliance & Ethics Group (OCEG). Todos los asistentes a la III Jornada Internacional de ISMS Forum Spain, el próximo 29 de mayo, recibirán un ejemplar impreso. Esta jornada contará, además, con una conferencia del presidente de OCEG, Scott Mitchell.


El documento NIST Draft SP 800-123, Guide to General Server Security se encuentra disponible al público para comentarios hasta el 13 de Junio.

Esta guía tiene como objetivo ayudar a las organizaciones a instalar, configurar y mantener servidores seguros. Proporciona recomendaciones sobre cómo securizar el sistema operativo y el software de un servidor, así como mantener la configuración segura a través de parches y actualizaciones, tests de seguridad, monitorización de logs y backup de ficheros de datos y de sistema operativo.

Disponible aquí.


ENISA (European Network and Information Security Agency) ha publicado el número correspondiente al primer trimestre de 2008 de su "ENISA Quarterly Review".

Los artículos que incluye son:

* A Letter from the Executive Director - Resilience in Networks
* Resilient eCommunication Networks
* Towards an EU Policy Initiative on Critical CIIP
* The ARECI Study
* Improving Internet Resilience in Norway
* Inter-domain Routing - the Shortcomings
* .SE Celebrates its First Anniversary with DNSSEC
* Anycast - A Solution for Reliable DNS Services
* INTERSECTION - Resiliency and Security for Heterogeneous Communication Infrastructures
* BUGYO - Building Security Assurance in Open Infrastructures
* eMobility - Shaping the Future of Wireless Communications
* Self Cleansing and Intrusion Tolerance
* ENISA Activities on Resilient Public eCommunication Networks
* The Economics of NIS
* Food for Thought: What's Cooking (or not)?

Puede descargarse aquí.


El 11 y 12 de Junio tendrá lugar en Madrid el evento anual InfoSecurity Iberia, con expositores, seminarios, conferencias y presentaciones relacionadas con la seguridad de la información. La feria tiene lugar conjuntamente con Storage Expo, centrada en soluciones de almacenamiento de datos, y Documation, dedicada a gestión de la información.

Inscripción online aquí.


Gary Hinson, cuyas actividades en el campo de los SGSI mencionamos frecuentemente, resume en un formato Mind Maps informaciones y comentarios sobre la última reunión del SC27 de ISO en Kyoto, donde ha participado como representante de Nueva Zelanda.

Disponible aquí.


BSI España ha hecho llegar a ISO27000.es la siguiente nota de prensa:

British Standards Institution (BSI) junto con Business Continuity Institute(BCI) presentó en Madrid la nueva norma de Continuidad de Negocio, BS 25999, ahora traducida en español.

El evento, que tuvo que dejar de aceptar inscripciones por estar completo, contó con las ponencias deorganizaciones como el Banco Santander, British Standards Institution, Business Continuity Institute,Deloitte, Grupo Eulen, Hewlett-Packard, Instituto de Empresa, PriceWaterhouseCoopers. Entre los asistentes de más de noventa organizaciones, se destacaba el sector bancario, de telecomunicaciones y empresas de servicios profesionales.

Entre los ponentes, cabía destacar a Lyndon Bird, Director Técnico Global del BCI y uno de los mayores expertos en continuidad de negocio a nivel mundial, que dijo como conclusión final a su ponencia, "que no se debe ver la continuidad de negocio como la respuesta a un desastre, sino como una manera de gestionar diferente". Elena Maestre, Directora de PriceWaterhouseCoopers, explicó la evolución que ha tenido la continuidad de negocio en las empresas españolas y señaló que "la BS 25999 viene a focalizar todos los factores que deben ser considerados en una adecuada gestión de continuidad de negocio".

Márcio Viegas, Director General de BSI España, comentó que "la sorprendente demanda de este evento y el alto nivel de los ponentes y asistencias, pone de manifiesto que los directivos españoles están atentos a la continuidad de sus negocios."

Viegas concluyó que "nuestro esfuerzo en traducir y publicar la norma BS 25999 y ayudará a las empresas españolas a cumplir con requisitos obligatorios, como las MIFID, para el sector financiero, o voluntarias de cara a sus clientes, empleados, accionistas y toda la sociedad. La BS 25999 es la primera norma en gestión de continuidad de negocio y se ha concebido para ayudar a minimizar el riesgo de interrupciones en el negocio."


Según el periodico especializado en información sobre la Unión Europea European Voice, ENISA (European Network and Information Security Agency) está luchando por su supervivencia, marcada en cualquier caso por la limitación de poder que ha tenido desde su nacimiento.

Una de las posibilidades que sopesa la Comisión Europea es integrar las competencias actuales de ENISA en la futura EECMA (European Electronic Communications Market Authority) -ver también aquí- . A favor de ENISA juega en este caso la oposición que existe desde sectores económicos y políticos a la existencia de un "super-regulador" europeo de telecomunicaciones. Por otra parte, los apoyos recibidos de diversos parlamentarios europeos pueden llevar a la extensión del mandato por otros tres años tras finalizar el plazo inicial de 5 años en 2009.


Marcus Evans, compañía especializada en la organización de eventos, congresos y conferencias, organiza del 30 de Junio al 1 de Julio en Madrid una conferencia dedicada a la Gestión y Gobierno de las Tecnologías de la Información.

A lo largo de los dos días, expertos en la materia procedentes de empresas como Codere, Mercedes Benz España, Cuatrecasas, Telefónica España, Junta de Andalucía, Sol Meliá, Henkel, Repsol YPF, Siemens Enterprise Communications, NH Hotels, Bolsa de Bilbao, Deutsche Bank, Caixa Galicia, Universidad Carlos III o Chronoexpress disertarán sobre diferentes aspectos de la gestión y gobierno de TI, tales como definición de roles para dirigir la TI, implementación de CobiT, orientación de las TI a procesos, mitigación de riesgos asociados a TI, gobierno de la seguridad en proyectos TI, medición del rendimiento de la TI, gestión de costes de TI, sistema de gestión de TI, desarrollo de servicios certificables ISO 20000, ITIL, planificación estratégica, etc., enfocado siempre desde el punto de vista de la experiencia práctica de estas empresas de primer nivel.

Más información sobre el evento en Marcus Evans.


British Standards Institution (BSI), junto con el Business Continuity Institute (BCI), organiza un evento de lanzamiento mundial de la versión en español de la norma BS 25999 de continuidad de negocio el próximo 7 de mayo del 2008 en el hotel Meliá Castilla de Madrid.

A través de una serie de presentaciones, conferencias y mesas redondas, se podrá escuchar a expertos a nivel mundial en la continuidad de negocio y directores de: Banco Santander, Business Continuity Institute, Deloitte, Grupo Eulen, Hewlett-Packard, Instituto de Empresa, PriceWaterhouseCoopers, BSI Reino Unido y BSI España.

El evento es gratuito, con traducción simultánea y plazas limitadas.

Inscripciones, hasta el 5 de Mayo, en BSI España o contactando por teléfono (91 400 86 20) o e-mail (info.spain@bsigroup.com).


Disponible como un servicio bajo demanda, Veracode ofrece la más simple y rentable manera de aplicar las mejores prácticas de seguridad, reducir el costo operacional y lograr el cumplimiento sin necesidad de ningún hardware, software o capacitación.

Tanto si una organización está desarrollando software internamente, busca el cumplimiento o compra o contrata software comercial o externo provisto por terceros, Veracode protege a las empresas de vulnerabilidades de seguridad en el software que las puedan poner en situación de riesgo.

Más información en Veracode.


Permiten que las empresas que las utilizan puedan operar de modo seguro y fiable en un entorno de amenaza creciente a la información, y donde es una norma cada vez más habitual la de interactuar sin límites, independientemente de la ubicación de los datos o el número de colaboradores.

Este documento establece los principales componentes que se necesitan en un COA para satisfacer estos requisitos. Existen trabajos relacionados publicados o están en desarrollo para describir estos componentes.

Aunque muchas organizaciones están tratando de responder a la cuestión de la des-perimeterization de las barreras entre redes privadas corporativas e Internet, a menudo carecen de un marco y un conjunto de principios para organizar e implantar soluciones específicas. Este documento pretende llenar este vacío.

Descarga del documento en PDF desde Opengroup.org.


Yoggie Security Systems pone a disposición el primer mini ordenador embebido para odenadores, diseñado para ofrecer la seguridad más completa en Internet.

El Gatekeeper Card Pro contiene 13 aplicaciones de seguridad integradas directamente en la tarjeta en miniatura. La tarjeta se inserta directamente en la ranura ExpressCard de un ordenador portátil, permitiendo una protección transparente cada vez te conectas.

La tarjeta es un verdadero ordenador con su propio procesador, memoria y sistema operativo protegido. Esta es la primera vez que todo un equipo ha sido diseñado para su instalación en otro ordenador - esencialmente un ordenador dentro de un ordenador - con el fin de proporcionar protección en materia de seguridad.

Para los usuarios de empresa o de los consumidores, simplemente se conecta y se olvidan del diseño de la tarjeta de Gatekeeper Pro. No requiere complejas instalaciones, configuraciones o administración (aunque los usuarios avanzados pueden alterar la configuración en caso que deseen hacerlo).

Los usuarios no tienen que preocuparse por las actualizaciones que el dispositivo comprueba automáticamente para ellos cada vez que se conecta a Internet y gestiona todo el proceso de modo transparente.

Lo mejor de todo, como se libera de la funcionalidad de seguridad (incluidas las actualizaciones) a la computadora portátil que acoge la tarjeta, los usuarios experimentan un mejor rendimiento de sus portátiles. Noticia completa en Net Security.


El número 16 de esta publicación ofrece los siguientes contenidos:

* Security policy considerations for virtual worlds
* US political elections and cybercrime
* Using packet analysis for network troubleshooting
* The effectiveness of industry certifications
* Is your data safe? Secure your web apps
* RSA Conference 2008 / Black Hat 2008 Europe
* Windows log forensics: did you cover your tracks?
* Traditional vs. non-tranditional database auditing
* Payment card data: know your defense options
* Security risks for mobile computing on public WLANs: hotspot registration
* Network event analysis with Net/FSE
* Producing secure software with security enhanced software development processes

Descarga en formato PDF de (IN)Secure.


El PCI Security Standards Council, el organismo global de normas abiertas que suministra gestión de la norma para la seguridad de la información en la Industria de Pagos con Tarjeta (PCI DSS), requisitos de seguridad para los dispositivos de entrada de PIN (PED), y aplicaciones de pago (PA-DSS), anunció la presentación de la versión 1.1 de la Norma de Seguridad de la Información para las Aplicaciones de Pago (PA-DSS, Payment Application Data Security Standard).

“Muchos comerciantes y minoristas confían el proceso a terceros proveedores de software, para que se ocupen de las aplicaciones que ejecutan el procesamiento del pago", declaró J. Joseph Finizio, director ejecutivo de la Asociación de Proveedores de Soluciones Minoristas estadounidense. "Gracias a que el Consejo se ocupará de la gestión de una lista de aplicaciones de pago homologadas, reconocida a nivel global, todos los comerciantes, sin importar el tamaño de su empresa, podrán seleccionar las aplicaciones de pago homologadas y aceptadas por las marcas de pago más importantes, asegurando así que la información del usuario de tarjetas de pago seguirá protegida".

Noticia completa en Finantialtech.

Enlace relacionado en PCISecuritystandards.


La virtualización es una tecnología emergente que todavía está siendo evaluada en la utilidad y rentabilidad por muchas empresas.

Hablaremos de los dos principales productos de virtualización de servidores en el mercado de hoy. Estos productos son VMware y Microsoft Virtual Server 2005 R2. Vamos a hacer un examen exhaustivo de estos productos con un esbozo de las características y los costos de cada uno.

También vamos a tocar en los beneficios de la virtualización de servidores y cómo pueden ahorrar dinero.

También en esta esfera se incluyen algunos ejemplos de cómo la virtualización de servidor puede no ser una buena opción para determinadas configuraciones de servidor.

Vamos a describir las ventajas y desventajas de cada producto y también hablar de los riesgos de seguridad y las amenazas que surgen de la virtualización.

También vamos a cubrir el concepto erróneo de que la virtualización reduce los riesgos de seguridad. El hecho es que la virtualización tiene su propio conjunto de los riesgos de seguridad y puede no ser una buena opción para determinados tipos de servidores.

Descarga en pdf del artículo de Daniel James en Infosecwriters.com.


Intervención del pasado evento de Enero organizado por OWASP (Open Web Application Security Project), comunidad dedicada a capacitar a las organizaciones a desarrollar, comprar y mantener aplicaciones fiables.

Todas las herramientas, documentos, forums y capítulos son gratuitos y están disponibles para cualquier interesado en mejorar la seguridad de las aplicaciones.

Intervención de Bruce Schneier en formato .mov disponible en video.google.com.


La semana del 7 al 11 de Abril se realizo la II Campaña de Seguridad organizada por Fundación Dédalo, esta fundación quiso dar continuidad al proyecto con una segunda campaña, ya que como ellos mismos afirman “la seguridad tecnológica en nuestro entorno pasa por la información, sensibilización y concienciación de los usuarios sobre una utilización correcta de las Nuevas Tecnologías de la Información y la Comunicación."

Noticia completa y enlaces a presentaciones en Criptex.


La aplicación gratuita SEG-USB.EXE previene el auto arranqué en dispositivos USB, evitando la ejecución automática de programas sin nuestro consentimiento. El programa contiene dos opciones:

* Prevenir el uso automático de dispositivos removibles USBPREVENCIÓN ACTIVADA

* Configuración original en de dispositivos removibles USBPREVENCIÓN DESACTIVADA

Noticia completa en Criptex.

Descarga de la herramienta en: seguridad.internautas.org.


Después de algo más de un año de trabajo entre bambalinas, y bajo el amparo de la Unión Europea, ha comenzado su andadura el proyecto WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats), formado por un grupo de universidades y empresas internacionales, entre las que se encuentra Hispasec..

El proyecto WOMBAT tiene como objetivo proporcionar nuevos métodos para entender las amenazas que atacan directamente a la economía de Internet y los ciudadanos. Para alcanzar su objetivo el proyecto aborda (i) concentrar en tiempo real los reportes de ataques de una gran diversidad de fuentes, (ii) enriquecer esos datos con varias técnicas de análisis automatizado y (iii) identificar la causa raíz de los mismos.

El conocimiento adquirido será compartido con todos los agentes de seguridad interesados (ISPs, CERTS, empresas de seguridad, etc), de cara a aumentar el nivel de seguridad y confianza de los ciudadanos europeos.

El proyecto, parcialmente financiado por la Unión Europea bajo el Séptimo Programa Marco (7PM), está integrado por:
(Francia) - France Telecom R&D
(Francia) - Institut Eurecom
(Austria) - Technical University Vienna
(Italia) - Politecnico di Milano - Dip. Elettronica e Informaziones
(Holanda) - Vrije Universiteit Amsterdam
(Grecia) - Foundation for Research and Technology
(España) - Hispasec
(Polonia) - Research and Academic Computer Network
(Irlanda) - Symantec Ltd.
(Singapur)- Institute for Infocomm Research
Noticia de Blog Hispasec.

Más información en: Wombat-project.eu.


Aidcon Consulting ha hecho llegar a ISO27000.ES la siguiente nota de prensa:

"La consultora malagueña Aidcon Consulting participa en un proyecto agrupado gestionado por la asociación ETICOM-CONETIC para la implantación y certificación de empresas del sector TIC, con las subvenciones del Plan Avanza Pyme.
Aidcon es la consultora andaluza con más experiencia en ISO 27001, con 14 empresas implantadas y certificadas en el año 2007.
Más información y formulario de adhesión al proyecto en el email contacto@aidcon.com o en el teléfono 952404997 (Juan Carlos López).
Fecha límite 15 de abril."

Nota: ISO27000.ES recuerda en este punto que no mantiene ninguna relación comercial con empresa alguna y que notas de prensa como esta o cualquiera de las publicadas en días anteriores en el mismo sentido sólo son difundidas en función del interés que tienen para la promoción general de la norma ISO 27001 y los sistemas de gestión de seguridad de la información.


Audisec Seguridad de la Información S.L. ha hecho llegar a ISO27000.ES la siguiente nota de prensa:

"Audisec Seguridad de la Información S.L. está buscando crear un grupo de empresas interesadas en la certificación ISO 27001 para aprovechar las ayudas en forma de subvención que el subprograma Avanza PYME tiene dispuestas a tal efecto. Dicho plan concede ayudas de hasta un 60% del coste total del proyecto de certificación.

La principal novedad que propone Audisec es el hecho de poder utilizar durante el proceso de consultoría una herramienta de implantación desarrollada internamente que cubre todas las fases de la norma, incluida la fase de mantenimiento del sistema de gestión, ayudando así tanto a la empresa que desea certificarse como a la empresa consultora. Cabe resaltar que dicha herramienta ha sido utilizada por Audisec en su proceso de implantación de la norma.

Es una gran oportunidad para mejorar la seguridad de los procesos de negocio de nuestras empresas a un bajo coste gracias a estas nuevas subvenciones de Ministerio de Industria.

Aquellas empresas interesadas pueden ponerse en contacto con Audisec en info@audisec.es y visitando la web www.audisec.es o a través de los teléfonos: 902 056 203 y 926 612 310"

Nota: ISO27000.ES recuerda en este punto que no mantiene ninguna relación comercial con empresa alguna y que notas de prensa como esta o cualquiera de las publicadas en días anteriores en el mismo sentido sólo son difundidas en función del interés que tienen para la promoción general de la norma ISO 27001 y los sistemas de gestión de seguridad de la información.


BSI España ha hecho llegar a ISO27000.ES la siguiente nota de prensa:

"BSI España está creando un nuevo grupo de empresas interesadas en mejorar y certificar la calidad y seguridad de sus procesos TIC en general (ITIL/ISO 20000, ISO 27001, CMMI), para solicitar conjuntamente una subvención dentro del ámbito del plan Avanza del Ministerio de Industria.

El proyecto incorpora nuevas mejoras en el método de implantación de estas normas y modelos, con la consiguiente reducción de costes para los participantes, gracias a la colectivización de diversas actividades del proyecto.

Aunque las subvenciones (entre 6.000 y 35.000 euros) sólo aplican a las PYMES, se permite la incorporación de empresas no PYMES que puedan aprovechar las ventajas de la metodología y de las sinergias entre todos los participantes.

Las empresas interesadas en participar en el grupo de solicitantes de la subvención, deben enviar un correo electrónico a alejandro.garcia@bsigroup.com, indicando:

- Nombre de la entidad
- CIF
- Dirección
- Fecha de constitución
- Nombre del apoderado
- NIF del apoderado
- Número de personas en plantilla a 31-12-2007
- Facturación correspondiente a 2007
- Persona de contacto
- Forma de contacto (teléfono, fax y correo electrónico)
- En qué se desea obtener el certificado (CMMI - ISO 20000 - ISO 27001)
- En qué fecha piensan que pueden obtener el certificado (máximo 31-12-2009)

Está prevista la celebración de una reunión con las empresas interesadas próximamente."

Nota: ISO27000.ES recuerda en este punto que no mantiene ninguna relación comercial con empresa alguna y que notas de prensa como esta o cualquiera de las publicadas en días anteriores en el mismo sentido sólo son difundidas en función del interés que tienen para la promoción general de la norma ISO 27001 y los sistemas de gestión de seguridad de la información.


Según publica Redes Telecom, durante el año 2008 la empresa española especializada en seguridad S21sec planea consolidar de manera definitiva su plan de expansión internacional que comenzó en el año 2007 con la apertura de dos oficinas en México DF y Monterrey, creándose S21sec México, S.A. y la creación de una alianza estratégica con un partner local en Argentina, Reino Unido y Dubai. "Nuestro objetivo es invertir 2,4 millones de euros durante este año para llevar a cabo estos proyectos", sostiene el director general de S21Sec, Xavier Mitxelena.

El volumen de negocio previsto es de 5 millones de euros para este año y 12 millones de euros para el 2009. Así, si en 2007 el negocio internacional representaba un 12 por ciento del total de la compañía, el objetivo es conseguir un 20 por ciento el próximo año fiscal. "Las empresas multinacionales con las que trabajamos nos exigen actuar a nivel global y tener presencia en los mercados locales. Esta exigencia nos llevó a abrir nuestras primeras oficinas en México", declara Mitxelena.

El principal reto para el 2008 consiste en la creación de dos oficinas propias en Londres y Dubai para ofrecer los servicios de antifraude, vigilancia, inteligencia, servicios gestionados y la suite Bitacora 4.0, así como la apertura de una nueva oficina en EEUU para la exportación de tecnología propia y la vigilancia tecnológica.

Fuente: www.redestelecom.es.


La Cátedra de Riesgos de Seguridad de la Información del Instituto de Empresa organiza el 10 de Abril en su sede de Madrid una Jornada bajo el título de "Creación e Implantación de un Plan de Seguridad y el Valor Agregado para el Negocio".

Las ponencias previstas son:

- El análisis de la situación real a nivel de plan de seguridad en las empresas españolas. Por Marcos Gómez, Subdirector eConfianza de INTECO, Director Asociado de la Cátedra de Riesgos.
- El plan de seguridad en organizaciones multinacionales. Por Roberto López, Consultor de Seguridad de GMV.
- Ejemplos prácticos del uso de la tecnología en la implantación de un plan de seguridad. Por David Nuñez. Principal Sales Consultant-Seguridad de Oracle.
- Como hacer seguimiento y mantenimiento de un plan de seguridad. Por Juan Ignacio Sánchez, Adjunto al Subdirector General de Seguridad y Medio Ambiente, MAPFRE.

La asistencia es gratuita previa inscripción enviando un e-mail a catedra.riesgos@ie.edu. Plazas limitadas.

Más información en: crsi.ie.edu.


Cristian Borghello organiza, a través de Segu-Info, su Cuarto Seminario y Taller en Santa Fé (Argentina), el 10 y 11 de Abril, avalado y auspiciado por la Universidad Tecnológica Nacional (UTN) Facultad Regional Santa Fe y dedicado en esta ocasión a la protección de identidades.

Se tratarán temas como Robo de Identidad, Web 2.0 Information Disclosure, Privacidad y nuevas tecnologías, Los Cazadores de Mitos de la Seguridad, Blind SQL Injection basado en tiempos, etc.

Tanto el seminario como el taller contarán con la participación de Chema Alonso, conocido experto en seguridad informática, Microsoft MVP Windows Security y ponente recientemente en la "Black Hat Europe 2008".

Más información en Segu-Info.


ADACSI, el capítulo de Buenos Aires de ISACA, ofrece en Mayo cursos de preparación a los exámenes de CISA y CISM:

5-9 y 16 de Mayo: Preparación CISA, incluido simulacro de examen.
12-16 de Mayo: Preparación CISM, incluido simulacro de examen.

Más información en ADACSI.


El 8 y 9 de Mayo tendrá lugar en el Hotel Hilton de Cartagena de Indias (Colombia) el 2º Congreso Internacional de Seguridad de la Información (CISI 2008).

Reconocidos ponentes de diversos países impartirán ponencias sobre temas como Ingeniería Social, Gobierno de Seguridad de la información, Fraudes Bancarios, Amenazas y riesgos de Seguridad en el Mundo Empresarial, Últimos Ataques a las Funciones Hash, El Algoritmo RSA: Fortalezas y Debilidades, Atacando RSA mediante nuevos algoritmos, SANS Internet Storm Center - Fighting Malware and recent trends, Implantando Gobierno de TI utilizando Cobit y Val IT, Metodología de Defensa, Estrategia de Implementación de un Sistema de Gestión de Seguridad de la Información.

Más información e inscripciones en www.tecnoeventos.com.co.


La empresa Root-Secure ofrece entre Abril y Junio los siguientes cursos en Buenos Aires:

8-9 Abril, Network Security Infrastructure
24-25 Abril, Control Interno de TI y Seguridad de la Información
7-8 Mayo, Hardening Windows Servers and Desktops
21-22 Mayo, Gerenciamiento de Seguridad
2-6 Junio, Bootcamp CISSP
10 y 12 Junio, Talleres CISSP
18-20 Junio, Ethical Hacking


Más información e inscripciones en www.root-secure.com.


A mes de Marzo de 2008, hay 4.457 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo (en ISO 27001, 4.076).

Encabeza la lista, como desde hace años, Japón, con 2.554 certificaciones, le sigue India con 427 y el Reino Unido con 365.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México: 13.
España: 13 (ver nota más abajo)
Colombia: 3.
Chile: 3.
Argentina: 2.
Perú: 2.
Uruguay: 1.

Esta información puede consultarse en International Register of ISMS Certificates.

Nota: España figura en la lista con 13 certificaciones, aunque estrictamente son sólo 12. La empresa Axalto ya no existe como tal y, desde su fusión con Gemplus, se llama Gemalto, que también está presente en la lista.


Del 16 al 18 de Julio, el experto peruano Alberto Alexander impartirá un curso de implantación de sistemas de gestión de seguridad de la información basados en ISO 27001 en el Hotel Chateau Miramar de La Habana (Cuba), organizado por la Sociedad Ecuatoriana de Seguridad, Salud Ocupacional y Gestión Ambiental.

Más información en www.seso.org.ec.


www.iso27000.es ha realizado una entrevista a Rafael Rodriguez de Cora, consejero delegado de CALS.

Esta empresa, entre otras actividades, es agente para España, Portugal y Latinoamérica del Information Security Forum (ISF), prestigiosa organización dedicada a la seguridad de la información, que tiene entre sus socios a más de 300 de las mayores empresas del mundo. Con él hemos hablado de los objetivos y actividades del ISF.

El podcast está disponible en nuestra sección de Artículos y Podcasts.


ESA Security convoca a las PYMES interesadas en la implantación y certificación de un SGSI a la asistencia de una reunión informativa que celebrará el próximo 1 de Abril en sus instalaciones.

El objetivo es habilitar a las PYMES nacionales interesadas en acceder y beneficiarse de los fondos destinados para el Plan Avanza 2008 en la implantación y certificación acreditada de un SGSI según ISO 27001

ESA Security ha obtenido de AENOR la certificación UNE 71502:2004 de su Sistema de Gestión de Seguridad de la Información (SGSI), además de obtener de la Entidad Certificadora SGS la certificación ISO/IEC 27001:2005 acreditada por UKAS.

Asistencia o participación en el plan avanza con ESA Security dirigirse a arantxag@esa-security.com


Cumplimiento TI
24/March/2008
El cumplimiento de TI de Realtime es un eJournal escrito por expertos en cumplimiento TI como Rebecca Herold. Esta publicación mensual ofrece consejos expertos sobre

* Hacer frente a los desafíos presentados por el cumplimiento de las normas y reglamentos en relación a las nuevas tecnologías
* Hacer frente a los factores humanos para evitar las amenazas de abuso de información privilegiada, y cumplir con las exigencias de cumplimiento
* Mejores prácticas en protección de datos, seguridad de la información, la prevención del robo de identidad, la gestión del riesgo
* Cómo cumplir con el mayor éxito con la protección de datos y privacidad de las leyes, reglamentos y normas en todo el mundo
* La comunicación más efectiva con los dirigentes empresariales acerca de la seguridad de la información, la privacidad y el cumplimiento
* Proporcionar una formación eficaz y la sensibilización para el cumplimiento, la seguridad de la información y la privacidad
* El trabajo con todos los departamentos para lograr el cumplimiento efectivo y la seguridad
* Cumplimiento de los retos actuales y tendencias
Además, cada mes el blog comunitario tendrá un número de entradas relacionadas con el tema eJournal del mes.
El acceso a esta publicación se ofrece sin cargo alguno a los lectores. bajo registro previo en Realtime


Paloma Llaneza comenta un documento ENISA en el que se proporciona una visión general sobre las certificaciones de seguridad de la Información de productos, personas y procesos, con las correspondientes recomendaciones


Para descargar las presentaciones ingrese a la conferencia de su interés, a través del vínculo Descargar Presentación podrá acceder al archivo .pdf, .rar o .zip según corresponda.

Noticia y listado completo de presentaciones en CRYPTEX - Seguridad de la Informacion.

Gracias a la colaboración de la empresa consultora Morse Spain SL, el role play del próximo 26 de Marzo en Madrid permitirá realizar una introducción práctica a la gestión de servicios TI mediante la competición de resultados en varios grupos según una empresa modelada con la herramienta Polestar.

Esta dirigido a cualquier persona que requiera una comprensión inicial básica de la mejora que puede suponer la implantación de los procesos de la norma ISO 20000 y cómo mejorar la calidad de la administración de los servicios TI dentro de cualquier organización y sector.

La asistencia es gratuita previa notificación de asistencia y limitada a un máximo de dos personas por empresa.

Información y contacto en Minisite SGS.

Eficientes y económicas, las hojas de cálculo son muy abundantes en el mundo de los negocios.

Muchos gerentes, por ejemplo, confian en hojas de cálculo para realizar un seguimiento de los flujos de los procesos de trabajo e informes de datos financieros, mientras que a nivel ejecutivo, pueden ofrecer instantáneas rápidas y concisas de la organización que, a menudo, guían las decisiones críticas de negocio.

Sin embargo, la principal ventaja de las hojas de cálculo - su simplicidad y facilidad de uso - también plantea los mayores riesgos. Por ejemplo, en muchas organizaciones las hojas de cálculo actúan como aplicaciones autónomas que carecen de un sistema de control.

Por lo tanto, los empleados son capaces de crear, acceder, manipular, distribuir y hoja de cálculo de datos, así como introducir errores críticos al introducir manualmente nueva información o configurar fórmulas existentes.

Los auditores internos pueden ayudar a las organizaciones detectar estos y otros riesgos mediante la creación de un inventario de hojas de cálculo y el desarrollo de líneas de base, entre otras medidas.

Artículo completo de Tim Burdick en ITAudit.


En este documento se presenta una manera de componer las políticas de seguridad de la información basado en la Web utilizando una aplicación, llamada la "Base de datos de conocimiento".

El distintivo de esta aplicación es que ofrece soporte para el desarrollo de nuevos documentos utilizando una "compilación de secciones".

Los autores pueden definir el esbozo de un documento (las secciones de que está compuesto) y, a continuación, pueden completar las secciones con nuevo contenido.

El nuevo contenido puede ser texto original escrito por el autor de política o de partes de texto extraído de los actuales (previamente importados a la base de datos), los documentos de seguridad.

Además, la aplicación permite la vinculación de los documentos existentes de conocimientos para componer documentos más grandes (Por ejemplo, guías que contienen un conjunto de políticas que pertenezcan a la misma área temática).

La principal filosofía seguida en el desarrollo de esta aplicación es permitir a los usuarios no expertos ser capaces de entender qué es lo que se trata en la composición de una política de seguridad. Además, proporciona plantillas para proyectos como la autoría de políticas personalizadas.

Documento sobre el uso de las herramienta y referencias a políticas en ENISA.


(ISC) 2 anunció que sus titulaciones ISSMP (Information Systems Security Management Professional) y CAP (Certification and Accreditation Professional) han sido acreditados por la Organización Internacional para la Estandarización (ISO) y el Instituto Nacional Americano de Estándares (ANSI).

El ISSMP sirve como zona de concentración de profesionales CISSP del (ISC) 2 y está diseñado para profesionales de la seguridad de la información/garantía/gestión de los riesgos que se centran en toda la variedad de la gestión del riesgo en la empresa. Aquellos que obtengan el ISSMP debe demostrar competencia en cinco ámbitos de la CBK y debe ser un CISSP en vigor.

CAP fue desarrollado en conjunto con el Departamento de Estado de EEUU en respuesta a los requisitos FISMA (U.S. Federal Information Security Management Act), y es la única credencial para los profesionales que participan en el proceso de certificación y acreditación en el sector público así como la gestión de riesgos/mitigación en el sector privado.

ANSI/ISO/IEC 17024 establece un punto de referencia a nivel nacional y mundial para la certificación de personas.

Noticia en Net-Security.


El Jueves 27 de Marzo de 2008 se celebrará en Madrid una nueva edición de las Conferencias de Seguridad FIST. El evento tendrá lugar gracias al patrocinio de S21Sec y a la colaboración del Consejo Superior de Investigaciones Científicas.

Información completa en Conferencias FIST.


Actualmente, estos proyectos no están cumpliendo su objetivo principal: determinar el nivel de riesgo aceptable con el cual puede vivir una organización. Habrá que corregir el rumbo para darle verdadero valor al negocio.

Hablar de riesgos en tecnología es complejo. Los resultados son intangibles y es complicado demostrar el retorno de la inversión, pero una vez que estos dos aspectos se dimensionan, los resultados son de mucha valía para cualquier organización.

Las compañías no requieren saber la precisión de los valores del riesgo, sino cuáles son aquellos que ponen en peligro la capacidad de operación, servicio y, en algunos casos, la supervivencia de la organización.

Articulo completo de Adrian Palma en BSecure.


BSI (British Standards Institution) ofrece a lo largo de las próximas semanas varios cursos de introducción, implantación y auditoría de ISO 27001 (gestión de seguridad de la información), ISO 20000 (gestión de servicios TI) y BS 25999 (gestión de continuidad de negocio) en Madrid, Barcelona y Bilbao.

Más información en www.bsigroup.es.


Del 18 de Marzo al 17 de Abril estará abierto el plazo de presentación de solicitudes de subvención del subprograma Avanza Pyme, al que se pueden acoger acciones para la obtención de certificaciones del proceso del software, certificaciones sobre gestión de servicios TIC y certificaciones sobre sistemas de gestión de la seguridad de la información.

Los beneficiarios son pequeñas y medianas empresas, entidades sin fines de lucro y agrupaciones o asociaciones empresariales en las que participen PYMES.

Los conceptos susceptibles de ayuda son:

- Inversiones materiales o inmateriales de productos de tecnología de la información y las comunicaciones dedicados al proyecto o acción.
- Gastos de servicios de tecnología de la información y las comunicaciones dedicados al proyecto o acción durante su plazo de ejecución.
- Gastos de personal técnico directamente asignado al proyecto y que tenga relación laboral con la entidad beneficiaria.
- Subcontrataciones exclusivamente derivadas del proyecto o acción.
- Otros gastos generales suplementarios directamente derivados del proyecto o acción y debidamente justificados.

Los importes máximos son:

- ISO/IEC 27001:2005 :19.000 euros
- UNE-ISO/IEC 20000-1:2005 : 20.000 euros
- CMMI o SPICE Nivel 5 : 35.000 euros
- CMMI o SPICE Nivel 4 : 30.000 euros
- CMMI o SPICE Nivel 2 : 20.000 euros
- ISO 9001:2000 (aplicación de UNE/ISO/IEC 90003:2005 Ingeniería del software; la convocatoria alude erróneamente a ISO 9003) : 6.000 euros

Más información en Ministerio de Industria y BOE.


ISO ha publicado recientemente el estándar "ISO/IEC 24762:2008. Guidelines for information and communications technology disaster recovery services", que proporciona directrices para la provisión de servicios de recuperación de desastres de tecnologías de la información y comunicaciones (TIC) como parte de la gestión de continuidad de negocio, aplicable a proveedores de servicios e instalaciones físicas de recuperación de desastres TIC tanto internos como externos (en outsourcing).

La norma está a la venta en ISO.org.


La empresa murciana Firma, Proyectos y Formación ha elaborado un documento donde se recopilan los contenidos mínimos que deben incluir los procedimientos, normas y registros establecidos en el Título VIII (De las medidas de seguridad en el tratamiento de datos de carácter personal) del nuevo Reglamento de la LOPD.

Para ello, han analizado los requisitos que establece cada una de las medidas, teniendo en cuenta las aplicables al tratamiento tanto automatizado como manual, seleccionando todas aquellas que requieren la elaboración de algún tipo de documento e identificando los contenidos mínimos de cada una de ellas.

De esta forma, en la línea a la que ya nos tiene acostumbrados esta empresa con otros trabajos, pone a disposición pública un documento muy práctico y conciso. Descargable en www.firma-e.com.


El IIA (Institute of Internal Auditors) ha publicado la segunda edición de su guía de la Sección 404 de Sarbanes-Oxley para directivos.

La Sección 404 establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. Esta sección está, por tanto, muy relacionada con controles relativos a seguridad de la información.

A lo largo de 78 páginas, esta guía da una visión completa de todo lo relacionado con la Sección 404 y cómo implantarlo y mantenerlo en una organización.

Disponible para su descarga gratuita en www.theiia.org.


El próximo 3 de Abril tendrá lugar en el Parc Tecnologic de Barcelona el evento Asegur@IT II.

Las ponencias versarán sobre:

Riesgos en sistemas de VoIP y sistemas IM.
Análisis Forense en Máquinas Windows.
Compromiso de servidores web mediante la inclusión de ficheros.
Novedades de seguridad de Microsoft.

Más información e inscripciones en Microsoft.


Antonio Valle referencia en su blog una interesante presentación que la empresa mexicana Microsistemas de Occidente SA de CV ha puesto a disposición pública en Slideshare, relativa a un seminario de ITIL.

Visualizable aquí.


Hace ya unos meses, ENISA (European Network and Information Security Agency) publicó un documento titulado "Botnets - La amenaza silenciosa", cuyo autor es David Barroso, de la empresa española S21sec.

Se trata de un resumen de 12 páginas sobre el gran problema que representan los Botnets, sus métodos de infección y distribución, su uso y objetivos, los distintos roles dentro del crimen organizado, las tendencias, las contramedidas y los recursos disponibles.

Está disponible para su descarga en ENISA.


ENISA (European Network and Information Security Agency) ha publicado una actualización de su directorio Who is Who de organismos, instituciones y organizaciones europeas relacionadas con la seguridad de la información, ordenada por países.

Está disponible aquí.


Martín Pérez Sánchez, presidente del patronato de FUNCOAS (Fundación para la Transferencia del Conocimiento de ASIMELEC) y el presidente de ISMS Forum Spain, Gianluca D?Antonio, han firmado un acuerdo marco de colaboración, en virtud del cual ambas organizaciones cooperarán en la difusión y promoción de la seguridad de la información en España, así como en iniciativas que contribuyan a mejorar la formación de los profesionales del sector.

El acuerdo, que tiene una vigencia anual prorrogable, prevé la cooperación en la organización de actividades de carácter divulgativo, editorial y/o formativo, y se ha concretado ya con la colaboración entre ambas instituciones en diversas iniciativas.

Más información en ISMS Forum Spain.


El ISO27k Implementers? Forum, liderado por Gary Hinson, ha publicado otro de sus interesantes documentos colaborativos.

En esta ocasión se trata de una guía de auditoría de SGSIs, con el objetivo de colaborar en el desarrollo de ISO/IEC 27007 (la norma ISO que estará dedicada a esta cuestión), aportándole al comité correspondiente una serie de ideas y recomendaciones procedentes de la prática.

El documento, práctico y conciso como todos los que ha editado el foro hasta ahora, dedica 9 páginas al alcance (de la guía), referencias normativas, términos y definiciones, principios de auditoría, gestión de un plan de auditoría, actividades de auditoría y competencia y evaluación de auditores. En otras 27 páginas de anexos propone una checklist de auditoría para las cláusulas 4 a la 8 de ISO 27001 y otra para los 39 objetivos de control del Anexo A de la norma.

El documento puede descargarse libremente de www.iso27001security.com


El próximo 29 de mayo, la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, celebrará su III Jornada Internacional bajo el título de "Compliance en Seguridad de la Información: claves y tendencias. Una visión global del presente y una mirada al futuro".

Lugar de celebración: Hotel HUSA Princesa, Madrid.

Organiza: ISMS Forum Spain, con la colaboración del Instituto Nacional de Tecnologías de la Comunicación (INTECO).

Algunos ponentes destacados:

Andrea Pirotti, Director Ejecutivo de ENISA (European Network and Information Security Agency)
Scott L. Mitchell, Chair & CEO Open Compliance & Ethics Group (OCEG), EE.UU.
Enrique Martínez, director de INTECO
Salvador Soriano, subdirector general de Servicios de la Sociedad de la Información. Ministerio de Industria, Turismo y Comercio.
Lucio Augusto Molina Focazzio, Ex Vicepresidente de ISACA
Thomas Raschke, Senior Analyst, Forrester Research
Santiago Álvarez de Mon, Profesor de Dirección de Personas en las Organizaciones en el IESE
Pierre Noel, Lead IT Security Consultant. Information Security & Risk Management Evangelist, IBM

Tasas de inscripción: Socios de ISMS Forum Spain, gratuito; no socios, 360 euros. La jornada incluye un coffee-break y un almuerzo.

Idiomas: Se facilitará traducción simultánea inglés-español.

Más Información: www.ismsforum.es


Hemos revisado nuestra sección de Otros Estándares, actualizando contenidos y añadiendo el estándar BS 25777 de gestión de continuidad de servicios TI, que se publicará en dos partes en 2008 y 2009.


Recientemente, el Business Continuity Institute ha publicado la versión de 2008 de su conocida guía de buenas prácticas de gestión de continuidad de negocio.

Se trata de un excelente documento que, a lo largo de 121 páginas, va desgranando las distintas fases que componen la gestión de la continuidad de negocio en una organización. En esta ocasión, la guía se ha revisado para acercarla más a la norma BS 25999-2.

Está disponible para su descarga gratuita en www.thebci.org.


Durante el mes de Enero, ISACA ha certificado a los seis primeros profesionales a nivel mundial en su nueva certificación personal de CGEIT (Certified in the Governance of Enterprise IT), en el marco de su programa de "grandfathering" (exención de examen por méritos y reconocida experiencia profesional). Los certificados han sido para Christopher Dorr, John W. Lainhart, John P. Pironti, Vernon Richard Poole, Thomas Shaw y Nichola M. Tiesenga.

Más información sobre la certificación CGEIT de buen gobierno de las tecnologías de la información en ISACA.


El Capítulo de Madrid de ISACA tiene previstos una serie de cursos de auditoría y seguridad a lo largo de los próximos meses. En concreto, se trata de los siguientes:

Auditoría informática: Fundamentos. 26 y 27 de marzo.
Estadística para Auditores. 21 y 22 de abril 2008.
Seguridad en Aplicativos web. 12 y 13 de mayo 2008.
Análisis forense y generación de evidencias electrónicas. 9 y 10 de junio.
Seguridad en los SI: Aspectos prácticos; de la teoría a la realidad. 20 junio.
Criptografía para Auditores. 16 octubre.
Auditoría del Outsourcing en los SI. 30 octubre.
Plan de Continuidad de Negocio (Def., Impl., y Evoluc.). 10 y 11 de noviembre.
Normativas, guías y estándares en seguridad. EN PREPARACIÓN.

Para más información: www.auditoresdesistemas.com.


El Capítulo de Madrid de ISACA ha organizado unos cursos de preparación de cara a la convocatoria de examen de Junio de CISA y CISM.

Para CISA, los cursos ofrecidos tienen dos modalidades:

I. Curso Integral - Fines de Semana
Este curso, de 56 horas, que se desarrollará los fines de semana (viernes por la tarde y sábados por la mañana), abarca dos módulos: uno de teoría, y otro de simulacros de examen. La matriculación puede realizarse a ambos módulos, o a cualquiera de ellos.
Este curso comienza el 4 de abril de 2008, y se extiende (con fines de semana libres, entre ellos los festivos), hasta el 7 de junio.

II. Curso Intensivo - Una semana
Este curso, de 32 horas, que se desarrollará durante una semana de lunes a viernes, abarca una revisión de las áreas de contenido, y asimismo simulacros de examen. Este curso está especialmente pensado para aquellas personas que vivan fuera de la ciudad de Madrid, o bien que por obligaciones profesionales no puedan asistir al Curso Integral de fines de semana.
Este curso se realizará en la semana del 5 al 9 de mayo de 2008. Los horarios serán por la mañana de 9:30 a 13:00 horas, y por la tarde de 15:00 a 18:00 horas, de lunes a jueves y el viernes en horario de mañana.

Para CISM:

Un curso, de 45 horas, que se desarrollará los fines de semana (sábados por la mañana) y abarca dos módulos: uno de teoría, y otro de simulacros de examen. La matriculación puede realizarse a ambos módulos, o a cualquiera de ellos.
Este curso comienza el 29 de marzo de 2008, y se extiende (con fines de semana libres, entre ellos los festivos), hasta el 7 de junio.

Para más información: www.auditoresdesistemas.com.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 88 páginas dedicado a la implantación certificados SSL de validación ampliada (Extended Validation SSL Certificates), un sistema mejorado en la autenticación y verificación que ofrecen los tradicionales certificados SSL. Los capítulos que contiene son:

Chapter 1: Security Challenges and the Business Case for EV SSL Certificates
Chapter 2: Overview of SSL and EV-SSL Certificates
Chapter 3: Authentication and Verification
Chapter 4: User Experience
Chapter 5: Future of EV SSL Certificates

El documento, previa inscripción, puede descargarse gratuitamente de Realtime Nexus.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 238 páginas dedicado a la implantación de VoIP y telefonía IP, con 8 capítulos principales:

Chapter 1: Forward ... Into the Past!
Chapter 2: The IP Telephony Lifecycle
Chapter 3: Planning & Assessment
Chapter 4: Design and Pre-Deployment Testing
Chapter 5: Implementation and Migration
Chapter 6: Ongoing Operations
Chapter 7: Optimization
Chapter 8: Sweating the Details and Assuring Success

El documento, previa inscripción, puede descargarse gratuitamente de Realtime Nexus.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 238 páginas dedicado a la gestión de plataformas virtualizadas, con 10 capítulos principales:

Chapter 1: The Business Value of Virtualization
Chapter 2: Virtualization Scenarios and Applications
Chapter 3: Comparing Virtualization Approaches
Chapter 4: Virtualization Management Challenges
Chapter 5: Managing Heterogeneous Virtual Environments
Chapter 6: Monitoring Virtualization Performance
Chapter 7: Optimizing Virtualization Performance
Chapter 8: Virtualization Management: Policies and Processes
Chapter 9: Virtualization Management: Data Center Automation
Chapter 10: Evaluating Virtualization Management Solutions

El documento, previa inscripción, puede descargarse gratuitamente de Realtime Nexus.


Del 07 al 11 de Abril, la entidad de certificación SGS impartirá un curso IRCA de Lead Auditor en Sistemas de Gestión de Servicios TI (ISO 20000) en Bogotá, Colombia.

El programa IRCA (International Register of Certificated Auditors) para auditores SGSTI ha sido desarrollado en asociación con la Japan Information Processing Development Corporation (JIPDEC) y el ITSMF UK, como respuesta a la demanda de auditores competentes en sistemas de gestión de servicios TI.

Más información e inscripciones en SGS Colombia.

Asimismo, del 14 al 18 de Abril, se impartirá un curso IRCA de Lead Auditor en Sistemas de Gestión de Seguridad de la Información (ISO 27001), también en el centro de formación en Bogotá, Colombia.

Más información e inscripciones en SGS Colombia.

Los cursos permiten la obtención del titulo de "Auditor Jefe" en las normas ISO 20000 e ISO 27001, expedido por el IRCA a aquellos alumnos que asistan al curso y que superen el examen final, recibiendo un título de reconocido prestigio internacional.


La empresa GET -Grupo de Estudios Técnicos- ofrece en Madrid, a través de su Centro de Estudios de Seguridad, diversos cursos y seminarios relacionados con seguridad física y lógica.

Próximamente, están previstos:

6 de Marzo, Televisión Digital en Seguridad (Vigilancia + Control)
12 a 13 de Marzo, Diseño, Instalación, Recepción y Mantenimiento de Sistemas de Detección de Intrusión
31 de Marzo, Evaluación de la Calidad de los Servicios de Seguridad
2 a 3 de Abril, Diseño, Instalación, Recepción y Mantenimiento de Sistemas de Vigilancia por CCTV
9 a 10 de Abril, Diseño, Instalación, Nuevas Tecnologías y Aplicaciones de Sistemas de Control y Gestión de Accesos
22 de Mayo, Comunicaciones de Seguridad Basadas en Redes IP

Más información e inscripciones en GET.


En Noviembre pasado, British Standards Institution publicó el estándar BS 8495:2007, que es un código de buenas prácticas para el uso de sistemas de grabación con cámaras con objeto de utilizarse como evidencias en los tribunales.

Puesto que cada vez están más extendidos los sistemas CCTV orientados a vigilancia y seguridad y aumenta el uso de las imágenes obtenidas como pruebas en juicios, este estándar da recomendaciones sobre la especificación, selección, instalación y operación de sistemas de grabación de CCTV digital, tratando temas como la calidad de imagen, autenticidad de imagen, almacenamiento, exportación de imágenes, concienciación de operadores o trazabilidad.

La norma en inglés puede adquirirse online en BSI.


La Fundación Dintel comienza a impartir el próximo 7 Marzo un curso de preparación al examen de CISM de ISACA que se extenderá hasta el 31 de Julio. Tendrá lugar en Madrid y on-line.

Más información en Dintel.org.


Marcus Evans, compañía especializada en la organización de eventos, congresos y conferencias, organiza del 6 al 7 de Marzo en Madrid una conferencia bajo el título de "Garantizando la Continuidad de Negocio".

A lo largo de los dos días, expertos en la materia procedentes de organizaciones como BBVA, Vodafone, British Standards Institution, Citibank, Sanitas, Loterías del Estado, Novartis, Metro Madrid, Ayuntamiento de Madrid, Eulen, FCC, Business Continuity Institute, Bankinter, Double-Take Software, Iberdrola, Seidor-Saytel, RIM o Cuatrecasas disertarán sobre diferentes aspectos de la continuidad de negocio como análisis de riesgos, diseño e implementación de un plan, comités de crisis, la importacia de los socios tecnológicos, pruebas y auditorías de planes, normas y estándares, BS 25999, disaster recovery, coordinación con servicios de emergencias, ISO 27001 y continuidad de negocio, consideraciones económicas de un plan, casos de éxito, tecnologías disponibles, etc., enfocado siempre desde el punto de vista de la experiencia práctica de estas empresas de primer nivel.

Más información sobre el evento aquí.


Marcus Evans, compañía especializada en la organización de eventos, congresos y conferencias, organiza del 10 al 11 de Marzo en Madrid una conferencia dedicada a la Auditoría Informática, bajo el patrocinio de DELOITTE y Ernst&Young.

A lo largo de los dos días, expertos en la materia procedentes de empresas como Telefónica, BBVA, Liberty Seguros, Iberdrola, Caja Madrid, Sara Lee, CECA, BSI, Caixa Cataluña, FCC, Bankinter, Sol Meliá, Ernst&Young o Deloitte disertarán sobre diferentes aspectos de la auditoría informática, tales como Sarbanes Oxley, análisis de riesgos, auditoría de proveedores de outsourcing, seguridad informática, auditoría de procesos, ISO 27001, planificación de auditorías, gestión de un departamento de auditoría, LOPD, control interno, etc., enfocado siempre desde el punto de vista de la experiencia práctica de estas empresas de primer nivel.

Más información sobre el evento aquí.


La entidad de certificación SGS publica su calendario de cursos del el primer semestre del 2008 para ISO 27001, ISO 20000, BS 25999 e ITIL.

Siguiendo la política de ofrecer cursos acreditados reconocidos internacionalmente, amplía la oferta de cursos IRCA con formación oficial del Business Continuity Institute y que sirven, además, de preparación para los exámenes de certificación de profesionales en continuidad de negocio.

Otra novedades son la oferta de cursos ITIL y IT Governance además de continuar para el 2008 con la posibilidad de celebración de cursos en modalidad "in-company".

Descarga del programa en pdf Minisite SGS.


El propósito de este documento es proporcionar a los administradores de seguridad un trabajo de comprensión de la gestión de riesgos en lo que se refiere a los sistemas de información.

Los procesos y herramientas incluidas dan por supuesto que se parte de controles y ciertos niveles en la organización ya en funcionamiento.

Comienza explorarando los desafíos a los que enfrentan los administradores de seguridad todos los días al tratar de equilibrar la seguridad con las necesidades de los gerentes de empresas para mantener y mejorar la eficacia operacional.

El autor define la gestión de los riesgos y ofrece un panorama general de enfoque estratégico para la aplicación de salvaguardias adecuadas y razonables.

Por último, proporciona un modelo y los instrumentos para realizar una evaluación de riesgos, la selección de los controles apropiados, la obtención de la aprobación para su implantación, y la gestión del riesgo a través del ciclo de vido del sistema que se quiere obtener..

Texto de Tom Olzak en PDF desde Infosecwriters.


Un grupo de informáticos y matemáticos del Instituto Nacional de Estándares y Tecnología (NIST) de la Universidad de Texas, en Estados Unidos, están desarrollando una herramienta de código abierto que incrementa la capacidad de detectar errores de programación usando una nueva propuesta llamada “test combinatorial".

Según sus creadores, esta herramienta ahorrará a los desarrolladores mucho tiempo cuando sea finalmente presentada el próximo año. Será muy útil para los portales de comercio electrónico o en ciertos procesos de control industrial.

Noticia completa de Raúl Morales en Tendencias21.net.


El marco de gestión de TI de Inversiones (ITIM) es un modelo de madurez compuesto de cinco etapas de maduración progresiva que una empresa puede lograr en relación a su capacidad de gestión de las inversiones de TI.

Estos estados de madurez son acumulativos, es decir, con el fin de alcanzar un mayor grado de madurez, la agencia debe tener institucionalizado todos los requisitos de esa etapa, además de las de todas las etapas inferiores.

El marco puede utilizarse tanto para evaluar la madurez de un organismo en relación a la inversión y de los procesos de gestión así como herramienta para la mejora organizacional.

Descarga en PDF United States General Accounting Office.


Se celebrará en Madrid (Hotel Palace) el 26 de febrero de 2008 y en Barcelona (Hotel Juan Carlos I) el 28 de febrero.

En este encuentro anual se analizarán los retos que los sistemas de IT y su seguridad generarán en los próximos años a los CIOS y Managers de IT en toda Europa.

La convergencia de las tecnologías, la multiplicación de los puntos de acceso o el factor humano de los empleados serán algunos de los puntos de análisis en el programa de esta conferencia

La inscripción es de 390 EUR + IVA para quienes se inscriban antes del 19 de Febrero y los asociados de ISMS Forum Spain podrán beneficiarse de un 25% de descuento (indicar su condición de asociados en el apartado ?Comentarios? del formulario de inscripción).

Inscripción y más información sobre el evento aquí.


Por el tiempo que dedica a realizar una breve y simple concienciación de los usuarios, se obtiene el beneficio de ver cambios notables en el comportamiento de los usuarios finales.

En 30 minutos de duración por seminario una vez al año puede informar y educar a su personal sobre los peligros que acechan en el otro extremo del teléfono o correo electrónico. Un usuario formado siginifica disponer de un amigo más y de una responsabilidad menos!

Articulo completo en Net-Security.


Nuevo número de Febrero con los contenidos:

# Proactive analysis of malware genes holds the key to network security
# Advanced social engineering and human exploitation
# Free visualization tools for security analysis and network monitoring
# Internet terrorist: does such a thing really exist?
# Weaknesses and protection of your wireless network
# Fraud mitigation and biometrics following Sarbanes-Oxley
# Application security matters: deploying enterprise software securely
# The insider threat: hype vs. reality
# How B2B gateways affect corporate information security
# Reputation attacks, a little known Internet threat
# Data protection and identity management
# The good, the bad and the ugly of protecting data in a retail environment
# Malware experts speak: F-Secure, Sophos, Trend Micro

Disponible en PDF en Insecuremagazine.


Symantec ha publicado su Informe de Gestión del Riesgo de TI, que indica que la concienciación en la importancia de gestión de los riesgos en tecnologías de gestión es cada vez mayor, pero que aún persisten varios mitos.

El informe, basado en el análisis de más de 400 encuestas en profundidad a profesionales de todo el mundo, identifica los temas y tendencias clave y analiza y disipa los siguientes cuatro mitos comúnmente asociados con el riesgo TI:

- El mito de que la gestión del riesgo de las tecnologías de la infomación se centra exclusivamente en la seguridad de TI

- El mito de que la gestión del riesgo de las tecnologías de la infomación está impulsada por un proyecto.

- El mito de que la tecnología por sí sola puede manejar los riesgos TI

- El mito de que la gestión del riesgo de las tecnologías de la infomación ya se ha convertido en una disciplina formal

Pese a la conclusión de que los profesionales están adoptando un enfoque más equilibrado que abarca la seguridad, disponibilidad, rendimiento y cumplimiento con los riesgos, una mala interpretación de la gestión de los riesgos TI puede dar lugar a posibles fallos en el sistema de TI, y, en definitiva, producir impactos en la continuidad de las actividades.

En el informe también indica que cuestiones relacionadas con los procesos causan el 53% de los incidentes TI, y que a menudo se subestima la frecuencia de los incidentes relacionados con la pérdida de datos.

Informe disponible en PDF en Symantec.


El pasado 31 de Enero se celebró en el aula de grados del Edificio Rojo de la Universidad de Sevilla (campus de Reina Mercedes), una reunión de información para la creación del comité itSMF Andalucía.

Al evento acudieron profesionales de diferentes tamaños de empresa, instituciones y sectores como GFI, SGS, AGAEX Informática, Accenture, UPO, Ascendia, INDRA Sistemas, CEMI Málaga, GMV, TELVENT, Universidad de Sevilla, CEH Junta de Andalucía o Fundación Red Andalucía Emprende, entre otros.

Se presentaron los objetivos y líneas estratégicas de itSMF España, así como las posibilidades de desarrollo e integración del comité de Andalucía.

Con objeto de permitir el mayor grado de participación posible en la constitución del capítulo andaluz, se acordó demorar la constitución formal del comité de itSMF Andalucia hasta el próximo día 21 de Febrero.

Hasta esta fecha, se pondrá en conocimiento la iniciativa sobre todo para el resto de Andalucía fuera de Sevilla.

Así mismo, hasta el 21 de Febrero se podrán proponer candidaturas para ocupar el puesto de coordinador del comité, responsable de su representación en la Junta de Gobierno de itSMF España.

Se abre también la suscripción a los primeros grupos de trabajo, nacidos en el ámbito del comité Andaluz:

- ITIL para Pymes: estudiará la aplicación de ITIL en el ámbito de las pymes.

- Relación de ITIL con EFQM y otros modelos de calidad.

La definición del alcance y objetivos de los grupos de trabajo lo definirán sus miembros.

Más información contactar con moises.robles.ext@juntadeandalucia.es.


El próximo jueves 14 de Febrero ISF (Information Security Forum) celebrará la reunión de su capítulo español en Madrid.

Las empresas españolas BBVA, Caja Madrid, La Caixa, Repsol-YPF y Telefónica son los primeros miembros del Information Security Forum, creado recientemente como Capítulo Regional español de esta organización y que se encuentra en fase de constitución del organo de dirección.

El Information Security Forum es una organización independiente dedicada a la seguridad de la información, con más de 300 empresas e instituciones asociadas, entre ellas más del 50% de las empresas del Fortune 100.

ISF mantiene activos numerosos proyectos, entre ellos, por ejemplo, un estándar de buenas prácticas de seguridad de la información, de acceso público, que lleva más de 10 años publicándose y revisándose.

ISF celebrará su congreso anual del 2008 para socios del 16 al 18 de Noviembre precisamente en Barcelona.

Más información y guía descargable en ISForum.


La Cámara de Comercio de Gijón propone dentro de su oferta formativa para este trimestre, tres cursos dentro del Area de la Seguridad en la Información.

Dirigido a directivos y responsables de Departamentos de Informática, Jurídico y Calidad, e impartidos íntegramente por SIGEA, se trata de tres cursos (Análisis de riesgos, continuidad de negocio, conformidad legal), orientados al conocimiento y cálculo de los Riesgos de Seguridad de la Información, la Conformidad Legal y la Continuidad del Negocio en las empresas.

Todos los cursos pueden ser bonificados a través de la Fundación TRIPARTITA mediante descuentos directos en los seguros sociales de la empresa.

Más información SIGEA.


Dónde: Hotel HUSA Princesa, Madrid
Cuándo: 29 de mayo de 2008
Organiza: ISMS Forum Spain.

¡RESERVA YA TU AGENDA! RECUERDA: INSCRIPCIÓN GRATUITA PARA SOCIOS

¿Qué depara el futuro a las organizaciones empresariales en lo que se refiere a normativa y legislación, tanto en el ámbito global como en el local?

¿Cuándo deja la certificación de ser una opción voluntaria, para convertirse en un requisito legal o, simplemente, una condición indispensable para competir en el mercado?

¿Es la regulación una asignatura pendiente de la seguridad de la información?

¿O lo son los mecanismos para asegurar su implantación y cumplimiento?

Son cuestiones que preocupan a todos los profesionales del sector y muy especialmente a los responsables de cumplimiento normativo de las organizaciones de todos los sectores y tamaños.

De todo ello hablaremos en la III Jornada Internacional de ISMS Forum Spain, en la que ponentes del más alto nivel expondrán la actualidad y las tendencias futuras del compliance en tres ámbitos geográficos: España; la Unión Europea y Estados Unidos.

Más información, muy pronto ISMS Forum.


La entidad de certificación BSI (British Standards Institution) ha puesto a disposición el calendario completo para 2008 de sus cursos Lead Auditor de ISO 27001 en Ciudad de Méjico y en Monterrey.

Estos cursos ofrecidos por BSI en México están certificados por IRCA, de modo que los estudiantes que completen este curso en forma exitosa ( aprobando todas las evaluaciones y el exámen escrito) estarán cumpliendo con los requisitos de capacitación de IRCA para ser Auditor Líder ISO 27001:2005.

Más información en BSI.


2008 ha comenzado con 4.209 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo (en ISO 27001, 3.555).

Encabeza la lista, como desde hace años, Japón, con 2.354 certificaciones, le sigue India con 387 y el Reino Unido con 374.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México: 12.
España: 12.
Argentina: 4.
Colombia: 3.
Chile: 3.
Perú: 2.
Uruguay: 1.

Esta información puede consultarse en International Register of ISMS Certificates.


BSI España ha renovado su página web, con un diseño más fácilmente navegable y más información. Además de secciones dedicadas a sistemas de gestión de calidad, medioambiental o de seguridad alimentaria, incluye secciones dedicadas a las normas BS 25999, ISO 20000, ISO 27001 y PAS 99.

En la sección de Formación puede encontrarse toda la información relativa a cursos, incluida la programación para 2008.


Exámenes CISA y CISM
04/February/2008
El 13 de Febrero finaliza el plazo de inscripción temprana (con descuento en el pago) para los exámenes de CISA y CISM de ISACA que tendrán lugar el 14 de Junio de 2008.

Más información en www.isaca.org/examreg.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 103 páginas dedicado a la mejora de servicios de soporte IT mediante ITIL, con 5 capítulos principales:

Chapter 1: Challenges with ITIL Implementation
Chapter 2: Effective Change Management through ITIL
Chapter 3: Effective Incident/Problem Management through ITIL
Chapter 4: Supporting Compliance through ITIL
Chapter 5: A Roadmap for Successful ITIL implementation

El documento, previa inscripción, puede descargarse gratuitamente de Realtime Nexus.


Xavier Ribas, abogado experto en derecho informático, está poniendo a disposición pública en su blog un curso online sobre el Reglamento de la LOPD. Hasta el momento lleva publicadas tres entregas (archivos con imagen y voz): 1: Los grupos de empresas, 2: Evidencias del cumplimiento y 3: Plazos de implantación.


La jornada "Evolución en la gestión de servicios TIC", que tendrá lugar en la Universitat Ramon Llull (La Salle) de Barcelona el 6 de Febrero, está organizada por el ITSMF en torno a dos áreas temáticas: presentación y análisis crítico de la versión 3 de ITIL (Information Technology Infraestructure Library), y la discusión de casos prácticos de gestión de servicios TIC en el entorno catalán, a través de la visión de las propias organizaciones implicadas en su desarrollo.

Más información en www.itsmf.es.


Durante el pasado año 2007, NIST (National Institute of Standards and Technology de EEUU) publicó las siguientes guías dentro de la Serie 800:

SP 800-115: (Draft) Technical Guide to Information Security Testing

SP 800-114: User's Guide to Securing External Devices for Telework and Remote Access

SP 800-113: (Draft) Guide to SSL VPNs

SP 800-111: Guide to Storage Encryption Technologies for End User Devices

SP 800-110: (Draft) Information System Security Reference Data Model

SP 800-107: (Draft) Recommendation for Using Approved Hash Algorithms

SP 800-106: (Draft) Randomized Hashing Digital Signatures

SP 800-104: A Scheme for PIV Visual Card Topography

SP 800-101: Guidelines on Cell Phone Forensics

SP 800-98: Guidelines for Securing Radio Frequency Identification (RFID) Systems

SP 800-97: Establishing Wireless Robust Security Networks: A Guide to IEEE 802.11i

SP 800-95: Guide to Secure Web Services

SP 800-94: Guide to Intrusion Detection and Prevention Systems (IDPS)

SP 800-90: Recommendation for Random Number Generation Using Deterministic Random Bit Generators

SP 800-87: Codes for the Identification of Federal and Federally Assisted Organizations

SP 800-82: (Draft) Guide to Industrial Control Systems (ICS) Security

SP 800-78: Cryptographic Algorithms and Key Sizes for Personal Identity Verification

SP 800-76: Biometric Data Specification for Personal Identity Verification

SP 800-73: (Draft) Interfaces for Personal Identity Verification

SP 800-60: (Draft) Guide for Mapping Types of Information and Information Systems to Security Categories

SP 800-57: Recommendation for Key Management

SP 800-56A: Recommendation for Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography

SP 800-55: (Draft) Performance Measurement Guide for Information Security

SP 800-54: Border Gateway Protocol Security

SP 800-53: Recommended Security Controls for Federal Information Systems

SP 800-53A: (Draft) Guide for Assessing the Security Controls in Federal Information Systems

SP 800-48: (Draft) Wireless Network Security for IEEE 802.11a/b/g and Bluetooth

SP 800-45: Guidelines on Electronic Mail Security

SP 800-44: Guidelines on Securing Public Web Servers

SP 800-39: (Draft) Managing Risk from Information Systems: An Organizational Perspective

SP 800-38D: Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC

SP 800-28: (Draft) Guidelines on Active Content and Mobile Code


La APEC (Asia-Pacific Economic Cooperation) dispone de una interesante web en la que clasifica e informa sobre todo tipo de certificaciones personales en el área de seguridad de la información.

Con distintas posibilidades de búsqueda según objetivos y funciones, se ofrece información bastante detallada sobre cada una de las certificaciones en cuanto a requisitos, exámenes, coste, áreas de conocimiento, requisitos de mantenimiento, etc. Además, para cada certificación, muestra una tabla con los objetivos de control de ISO 17799 (actual ISO 27002) que quedan total o parcialmente cubiertos.

Disponible en www.siftsecurity.net


La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, recibió el pasado 31 de enero, el Premio 2008 al Mejor Foro TIC de los profesionales y empresas otorgado por la Revista A+)) Auditoría y Seguridad, que edita la Fundación DINTEL.

Estos galardones reconocen cada año, en sus distintas categorías, la labor de los profesionales, organizaciones y empresas que más han destacado en su contribución al sector de la seguridad de la información y las tecnologías de la información y la comunicación.

Enlace a noticia completa aquí y aquí.


Con una duracion de 3 días (del 06 al 08 de Febrero) la entidad de certificación SGS celebrará un nuevo curso de implantacion SGSI (950 EUR) de caracter eminentemente práctico, utilizando como referencia un esqueleto para implantaciones rápidas que cubre todos los aspectos de la norma.

El curso de Auditor Jefe IRCA de cinco días de duración (1500 EUR) se celebrará del 18 al 22 de Febrero. Para los interesados en una introducción a los conceptos básicos de la norma el curso de Fundamentos de 1 día de duración (325 EUR) está previsto para el 06 Febrero.

Todos los cursos se celebrarán en el centro de formación que SGS dispone en Castellana, Madrid.

SGS es socio fundador del ISMS Forum y los cursos de Auditor Jefe cuentan con la acreditación internacional IRCA.

Las horas de formación en programas de SGS cuentan como CPE de formación para otras certificaciones profesionales.

Información y contacto para cursos IRCA ISO 27001 e ISO 20000 Minisite SGS.


Javier Cao propone una propuesta técnica a elaboración de un texto que ayuda a aclarar los diferentes tipos de documentos que pueden elaborarse dentro del marco normativo y a definir un contenido deseable en cada uno de ellos.

Está basado en un criterio de máximos donde se describe lo que sería deseable que la documentación tuviera, respecto a apartados y modo de redacción.

Noticia con enlace a documento en Blog Javier Cao.


Este documento indica cómo reducir el riesgo en las pequeñas y medianas empresas en base a la experiencia y errores y con la aplicación de diferentes capas de seguridad para reducir de forma significativa el riesgo de ataques víricos y penetración en redes.

Descarga en formato PDF en infosecwriters.com.


(ISC)² ha publicado una guía gratuita para profesionales de Recursos Humanos con algunos puntos sobre cómo encontrar, contratar y retener a personal cualificado en seguridad de la información.

Descarga en formato PDF en isc2.org.


Conjunto de tres artículos de Adrían Palma que intenta mostrar cómo plasmar beneficios tangibles en seguridad.

Artículo 1 en b:Secure.

Artículo 2 en b:Secure.

Artículo 3 en b:Secure.


Todo indica que en 2008, un porcentaje considerable de empresas destinará mayores recursos a proteger sus activos IT.

La coyuntura surte efecto. Regulaciones, compliance, cibercriminales organizados a nivel internacional, amenazas más sofisticadas, robo de información e identidad y una mayor conciencia de la necesidad de protegerse de forma efectiva han venido elevando los presupuestos de seguridad año con año , en la mayoría de las empresas, y éste no será la excepción.

De acuerdo a la encuesta anual sobre Presupuestos de Seguridad de b:Secure, realizada a través de su departamento Netmedia Research a 170 ejecutivos de las áreas de sistemas, la mayoría de las empresas consultadas elevarán su presupuesto de seguridad o al menos lo mantendrán igual.

Dos expertos consultados -Gilberto Ríos, de Select; y Rommel García-Vega, de KPMG-, señalan que los incrementos varían, según el tamaño de la empresa, entre 25% y 28%, respectivamente. Ríos señala que un cuarto de la inversión se destina a software y 30% a appliances. Además -agrega- las organizaciones siguen apegándose a ITIL e ISO 27000. Aunque también se ha vuelto crítico el office management y el control de accesos.

Noticia completa en b:Secure.


Con fecha de Febrero 2008, el documento G38 es una guía que muestra las habilidades necesarias para realizar auditorías de sistemas de información y en relación, en este caso, a controles de acceso.

Descarga en pdf en G38.

Indice de guias publicadas en Indice IS.


El estudio sobre la situación de las pequeñas y medianas empresas españolas en materia de e-confianza y seguridad de la información sirve para conocer las necesidades de las mismas en esta materia y evaluar las acciones para contribuir al fomento de la cultura de seguridad de la información en estas empresas.

Noticia completa y descarga estudio en Inteco.es.


El pasado viernes día 21 de Diciembre, fue por fin aprobado en Consejo de Ministros el nuevo Reglamento de Medidas de Seguridad que desarrolla la LOPD, que entrará en vigor tres meses después de su publicación en el BOE.

Por ello, la Cámara de Comercio de Gijón convoca una Jornada Informativa que, organizada por la consultora asturiana especializada en seguridad SIGEA, se celebrará en el Palacio de Congresos y Exposiciones del Recinto de la Feria Internacional de Muestras de Asturias "Luis Adaro" (Sala Mirador) el próximo jueves 24 de Enero.

Acceso gratuito previa inscripción.

Noticia completa y más información en sigea.es.


El curso de 4 días de duración (18-21 Febrero, Madrid) tiene una orientación eminentemente práctica y proporciona conceptos y directrices, basados en la experiencia de los consultores de Quint en la implantación de ISO 20.000, que son clave en el éxito del proyecto.

Objetivos del Curso:

* Entender el marco estructural ISO20000, sus procesos y requerimientos.

* Ganar profundidad de entendimiento para ejecutar una implementación exitosa de la ISO20000, cubriendo tanto aspectos "duros" como "suaves".

* Compartir experiencias de implementación de ISO20000 con un consultor experimentado de Quint.

* Garantizar que los asistentes superan el examen del itSMF y obtienen el "itSMF's ISO20000 Consultant Certificate".

* Entender las contribuciones potenciales de la ISO20000, es decir: incremento de la capacidad de gestión sobre los servicios, infraestructuras y aplicaciones de una organización.

El curso tiene incluido la realización del examen oficial de itSMF que acredita a aquellas personas que lo superen como "itSMF´s ISO 20000 Consultant Certificate". El curso proporciona 21 PDUs.

Más información en www.quintgroup.com/es.


The Institute of Internal Auditors ha publicado el volumen número 9 de su serie GTAG (Global Technology Audit Guides), dedicado en esta ocasión a la gestión de identidades y acessos.

La guía, como todas las que ha publicado el IIA, es un documento en inglés muy completo y riguroso pero, a la vez, práctico y conciso y que también incluye en este número una práctica checklist.

La guía puede descargarse gratuitamente de www.theiia.org.


BSI España tiene programados varios cursos relativos a ISO 27001 en Madrid:

Auditoría de ISO 27001 (Lead Auditor)
Curso de cinco días de duración en el que se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el título de Lead Auditor.
18-22 Febrero.
24-28 Marzo.
1.800 euros.

Implantación de ISO 27001
Curso de tres días de duración en el que se abordan las distintas fases de la implantación de un sistema de gestión de seguridad de la información basado en ISO 27001.Teoría, ejercicios y casos prácticos.
21-23 Enero.
25-27 Febrero.
1.500 euros.

Más información e inscripciones en www.bsi-spain.com.


Agustín Lerma, conocido experto en sistemas de gestión de seguridad de la información, se incorpora a la entidad de certificación BSI España el 14 de Enero, procedente de la empresa de consultoría Nextel.

Hasta la fecha, venía colaborando con BSI en áreas de formación y auditoría, pasando ahora a ocuparse tanto de las actividades de la entidad en la zona Norte de España como del desarrollo de negocio, formación y auditoría de todos los estándares relacionados con tecnologías de la información, especialmente de ISO 27001 (gestión de seguridad de la información), BS 25999 (gestión de continuidad de negocio) e ISO 20000 (gestión de servicios TI).


Desde el pasado 28 de Diciembre de 2007 está en vigor en Argentina la norma IRAM-ISO IEC 27001, traducción de ISO/IEC 27001:2005.

Esta norma sustituye a la IRAM 17798 que se venía utilizando hasta ahora.

Está disponible para su compra online en IRAM.


Ya está programado y abierto el plazo de inscripción para el II Congreso Internacional de Seguridad de la Información que se celebrará en Cartagena de Indias (Colombia) los días 8 y 9 de Mayo.

Las conferencias versarán sobre: "La Llave Maestra: Ingeniería Social", "Últimos Ataques a las Funciones Hash", "El algoritmo RSA: Fortalezas y Debilidades"," Atacando RSA mediante nuevos algoritmos", "Auditoría de Sistemas", "SANS Internet Storm Center - Fighting Malware and recent trends", "Gobierno de Seguridad de la Información", "Implantando Gobierno de TI utilizando Cobit y Val IT", "Metodología de Defensa" y "Estrategia de Implementación de un Sistema de Gestión de Seguridad de la Información".

Más información en www.tecnoeventos.com.co.


El próximo 17 de Enero se celebrará en la Cámara de Comercio de Oviedo una jornada informativa acerca de las novedades que incorpora el nuevo reglamento de protección de datos y sus implicaciones con la seguridad de la información.

En esta jornada informativa, LEGAL PROTECT informará a los asistentes, en una primera sesión, sobre las novedades que incluye este nuevo reglamento, como son las medidas de seguridad para los ficheros manuales estructurados, las nuevas obligaciones para los encargados del tratamiento, las modificaciones de nivel de ciertos ficheros de uso común o el desarrollo del régimen sancionador, entre otras.

En una segunda sesión, SIGEA, consultora asturiana especializada en seguridad de la información, identificará los paralelismos que pueden encontrarse entre este nuevo reglamento de la LOPD y la implantación de un Sistema de Gestión de Seguridad de la Información certificable bajo la norma UNE-ISO/IEC 27001:2007 y de las ventajas organizativas, técnicas y comerciales que una certificación de esta índole puede suponer para una empresa.

Más información e inscripciones en Legal Protect.


El gobierno de Nueva Gales del Sur tiene a disposición pública en su página web una excelente colección de documentos dedicados a la gestión de las tecnologías de la información.

Uno de los documentos destacables es una guía de implantación de un sistema de gestión de seguridad de la información. A lo largo de 111 páginas, actualizadas en 2007, se da una visión muy completa y práctica de todas las fases que es necesario abordar en un proyecto de este tipo.

Otra interesante sección de esta web es un mapa de procesos TIC. En lugar de ordenar todos los documentos simplemente de la A a la Z, los integra de forma ordenada en una descripción del mapa del proceso central TIC, cubriendo las fases de identificación de la demanda de servicio, opciones de entrega de servicio, justificación de las opciones propuestas, definición del proyecto, estrategia de adquisición, especificación, selección del proveedor del servicio, implementación, operación y evaluación. Una visión muy completa de todas las partes de este proceso que deberían estar procedimentadas y documentadas.


Veridion ha puesto a disposición pública la programación de cursos para el primer semestre de 2008 en México, Perú, Colombia, Argentina y Chile de implantación y auditor jefe de ISO 27001.

Más información en Veridion.


El IRAM (Instituto Argentino de Normalización y Certificación) ha puesto a disposición pública la programación de cursos para 2008 en Buenos Aires, Rosario, Córdoba, Neuquén y Comodoro Rivadavia sobre distintas temáticas de TI, entre las que se encuentran la norma IRAM-ISO/IEC 17799:2005, introducción a ISO 27001, ISO 20000, ITIL e introdución a la continuidad de negocio.

Más información en IRAM.


Alberto G. Alexander impartirá del 21 al 23 de Febrero un curso de implantación de ISO 27001 en Santo Domingo (República Dominicana), organizado por Intras.

Información completa en e-intras.com.


Fondonorma tiene a disposición pública su programación de cursos del primer trimestre de 2008 en Caracas y Maracay (Venezuela) de implantación y auditoría de ISO 27001.

Información completa en Fondonorma.


Neosecure tiene a disposición pública su programación de cursos de 2008 en Santiago (Chile) y Buenos Aires (Argentina) de implantación y auditoría de ISO 27001, auditoría de ISO 20000, preparación de exámenes de Certified Information Systems Security Professional (CISSP), BCLS2000 y seguridad en aplicaciones web.

Información completa en Neosecure.


Alberto G. Alexander impartirá próximamente en Guayaquil (Ecuador) dos cursos, organizados por CLAPAM:

Implantación de ISO 27001, del 26 al 29 de Febrero (17:00 - 21:00).
Continuidad de negocio con BS 25999, del 27 Febrero al 1 de Marzo (8:00 - 12:00).

Información completa en CLAPAM-ISO 27001 y CLAPAM-BS 25999.


Internet Security Auditors tiene a disposición pública su programación de cursos de 2008 en Madrid y Barcelona de implantación y auditoría de ISO 27001, auditoría de ISO 20000 y preparación de exámenes Certified Ethical Hacker (CEH), Computer Hacking Forensic Investigator (CHFI) y Certified Information Systems Security Professional (CISSP).

Información completa en isecauditors.com.


ETEK ha puesto a disposición pública su programación de cursos para 2008 de auditoría e implantación de ISO 27001, gestión de continuidad de negocio, preparación para examen CISSP, preparación para examen CEH, gestión de riesgos según BS 7799-3, CobiT, ISO 20000, etc. en Argentina, Chile y Colombia.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 99 páginas dedicado a la restauración y recuperación de desastres de PCs, con 4 capítulos principales:

Chapter 1: Anatomy of a PC Desktop
Chapter 2: PC Hardware Life Cycle
Chapter 3: Software Life Cycle Management
Chapter 4: Planning for Disaster Recovery

El documento, previa inscripción gratuita, puede descargarse de Realtime Nexus.


Se ha publicado el último número de 2007 del ENISA Quarterly Magazine, con el tema central de software seguro. Los artículos que contine son los siguientes:

* Cycles of Software Crises
* The Whys and Hows of Assuring Secure Software
* Technology Leaders Tackle Software Assurance
* The 10 Most Common Sins of Software Developers
* Security Skills of Software Developers
* Leading the Way to More Secure Software
* Providing Assurance for Security Software ? Insights into the Common Criteria
* ENISA Position Papers: Network and Information Security risks affecting Social Networks, Reputation Systems, and Botnets
* Towards a European Information Sharing and Alerting System
* Stop using the Traffic Analogy for NIS!

Número completo disponible gratuitamente en ENISA.


Fujitsu Siemens Computers ITPS ha logrado convertirse en la primera compañía a nivel internacional que obtiene la triple certificación para su Sistema Internacional de Gestión, de acuerdo con los estándares ISO 20000-1:2005 de Gestión de Servicios de TI, ISO 27001:2005 de Gestión de Seguridad de la Información e ISO 9001:2000 de Gestión de Calidad, lo que permite ofrecer servicios gestionados de TI basados en procesos eficientes, seguros y flexibles.

Fuente: eWEEK.


Applus+ ha programado los siguientes cursos para el primer semestre de 2008:

Experto implantador de SGSI:
18-22 Febrero en Barcelona.
31 Marzo-4 Abril en Madrid.

Auditor de SGSI:
14-18 Abril en Barcelona.
26-30 Mayo en Madrid.

Continuidad de negocio:
20 Mayo en Barcelona.
17 Junio en Madrid.

Más información en www.applusformacion.com.


BSI España tiene programados varios cursos relativos a BS 25999 (gestión de continuidad de negocio) en Madrid:

Introducción a BS 25999
18 Febrero.
1.500 euros.

Implantación de BS 25999
19-20 Febrero.
2.250 euros.

Auditor jefe de BS 25999
25-29 Febrero.
2.700 euros.

Más información e inscripciones en www.bsi-spain.com.


Storage Forum Iberia
13/January/2008
La quinta edición de la feria de almacenamiento STORAGE FORUM tendrá lugar los días 26, 27 y 28 de febrero en el Recinto Ferial Juan Carlos I, IFEMA (Madrid). En esta ocasión amplia su contenido con el Data Center Management (Gestión de Centros de Datos), compartiendo pabellón con SITI/@asLAN (su decimoquinta edición), la feria profesional de redes y tecnologías convergentes.

Otra novedad será que, además de las conferencias y mesas redondas sobre Almacenamiento, se llevarán a cabo un día completo de conferencias dedicadas a la Continuidad de Negocio (Business Continuity), y otro dedicado a la Gestión de Centros de Datos (Data Center Management). Concretamente, con la siguiente programación:

Martes 26 de febrero, de 10H30 a 18H00, Business Continuity: Continuidad de Negocio, organizado en cooperación con el capítulo español del Business Continuity Institute (BCI).
Miércoles 27 de febrero, de 10H30 a 18H00, IT-Storage: Almacenamiento de Datos.
Jueves 28 de febrero, de 10H30 a 18H00, Data Center Management: Gestión de Centros de Datos.

Más información en www.itieurope.net.


El Consejo de Ministros español ha aprobado hoy un Real Decreto por el que se aprueba el -largamente esperado- Reglamento que desarrolla la Ley Orgánica de Protección de Datos de carácter personal y se fija su entrada en vigor tres meses después de su publicación en el Boletín Oficial del Estado.

Vea un resumen de los puntos más destacados aquí.


BSI España tiene programados 2 cursos relativos a ISO 27001 en Madrid:

Auditoría de ISO 27001 (Lead Auditor)
Curso de cinco días de duración en el que se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el título de Lead Auditor.
14-18 Enero de 2008.
1.800 euros.

Implantación de ISO 27001
Curso de tres días de duración en el que se abordan las distintas fases de la implantación de un sistema de gestión de seguridad de la información basado en ISO 27001.Teoría, ejercicios y casos prácticos.
21-23 Enero de 2008.
1.500 euros.

Más información e inscripciones en www.bsi-spain.com.


En Julio de 2004, el Gobierno de Perú publicó una resolución ministerial por la cual se establecía el uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información.1º Edición" en todas las Entidades integrantes del Sistema Nacional de Informática peruano.

En Agosto de 2007, se publicó una nueva resolución ministerial en la que se mantenía el uso de esta norma técnica, en este caso de la segunda edición, NTP-ISO/IEC 17799:2007. Esta norma es una traducción del original inglés ISO/IEC 17799:2005, ahora denominada ISO/IEC 27002:2005.

En línea con dicha obligatoriedad, el Sistema Peruano de Normalización, integrado en el INDECOPI, tiene puesta a disposición pública para consulta (sólo lectura; no imprimible) esta norma en su página web: http://www.bvindecopi.gob.pe/normas/isoiec17799.pdf.


Puede descargarse una versión actualizada de la lista resumida de controles de ISO 27002 en español aquí.


La cláusula 0.2 de ISO/IEC 27001 menciona el enfoque por procesos. Esta es una de las piezas básicas de todos los sistemas de gestión ISO (sean 9001, 14001, 27001, 20000 o cualesquiera), que hace que sea necesario identificar los procesos y determinar sus entradas, salidas, propietarios, documentación, actividades, recursos, indicadores, interrelaciones, etc.

Una referencia interesante es el documento ISO/TC 176/SC 2/N544R2(r), que hace una introducción breve y sistemática al enfoque por procesos y a la forma de abordarlo.


BSI España tiene programado un curso de Auditoría de ISO 27001 (Lead Auditor) del 10 al 14 Diciembre en Madrid.

En este curso se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el correspondiente diploma.

Más información e inscripciones en www.bsi-spain.com.


En varias ocasiones hemos mencionado la actividad que mantiene el "ISO27k implementers' forum", promovido por Gary Hinson y con más de 700 miembros. Entre otras cosas, el grupo trata de crear un conjunto de documentos prácticos para la implantación de un SGSI.

Entre estos documentos, se puso a disposición pública hace unos meses una guía en inglés de implementación y métricas por cada uno de los 39 objetivos de control de ISO 27002.

Esta guía ha sido traducida al español por www.iso27000.es y se encuentra a disposición pública en www.iso27001security.com en formatos de .pdf y .rtf.


Diciembre ha comenzado con 4.140 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo (en ISO 27001, 3.483).

Encabeza la lista, como desde hace años, Japón, con 2.354 certificaciones, le sigue India con 370 y el Reino Unido con 366. Es la primera vez que la India supera al Reino Unido.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México: 12.
España: 12.
Argentina: 4.
Colombia: 3.
Chile: 3.
Perú: 2.
Uruguay: 1.

Esta información puede consultarse en International Register of ISMS Certificates.


La Asociación de Empresarios de Tecnologías de la Información y Comunicaciones de Andalucía, ETICOM, desarrolló en el marco del I Encuentro Nacional de la Industria de la Seguridad en España (ENISE) celebrado hace unas semanas en León, el Taller "PYMETICA: Una metodología de éxito en las Pymes", durante el cual expuso su Proyecto PYMETICA SEGURIDAD, por el que se han certificado más de 30 empresas andaluzas.

Información completa en nota de prensa.


BSI (British Standards Institution) ha publicado el pasado 30 de Noviembre TickIT Guide 5.5, la última edición de esta guía que pretende ayudar a empresas de software (desarrollo, formación, consultoría, servicios, etc. relacionados con software) a definir e implementar un sistema de calidad que cubra todos los procesos de negocio esenciales en el ciclo de vida de producto software, acorde con ISO 9001.

Puede adquirirse online en bsi-global.com.


Enrique Martínez, director del Instituto Nacional de Tecnologías de la Comunicación (INTECO) y el presidente de ISMS Forum Spain, Gianluca D?Antonio, han firmado un acuerdo de colaboración en virtud del cual ambas instituciones cooperarán para promover la seguridad de la información en España.

El acuerdo, que tiene una vigencia anual prorrogable, prevé la cooperación en la organización de actividades y reuniones de los expertos del sector por parte de ambas instituciones. Para Gianluca D?Antonio "una gran noticia contar con el apoyo del organismo público español más relevante en materia de seguridad de la información. Especialmente -añade- en nuestro caso, pues las iniciativas que deseamos llevar a cabo para concienciar a las empresas y a la sociedad acerca de la importancia estratégica de la seguridad de la información no serían factibles sin el respaldo de organismos como INTECO". D?Antonio señala, además, que el Instituto Nacional de Tecnologías de la Comunicación "está desarrollando una notable labor para llevar esa concienciación, muy especialmente, a los hogares y a las Pymes españolas".

Más información en la nota de prensa.


EKOPARTY es una conferencia de seguridad informática que se celebra en Argentina y que ha llegado este año a su tercera edición.

En su página web están a disposición pública las presentaciones de la mayoría de las ponencias que tuvieron lugar los pasados 30 de Noviembre y 1 de Diciembre.


BS 25777 es un estándar de continuidad de servicios TIC que está desarrollando BSI (British Standards Institution), como evolución de PAS 77:2006 (IT Service Continuity Management. Code of Practice).

Tendrá, al igual que otros estándares británicos, dos partes: la primera, que se publicará hacia otoño de 2008, será un código de buenas prácticas, mientras que la segunda, a publicar a finales de 2009, contendrá los requisitos de un sistema de gestión de continuidad TIC auditable y certificable.

Información más detallada en businessstandards.com, la revista online de BSI.


GxSGSI, la herramienta de Análisis de Riesgos desarrollada y comercializada por la empresa asturiana SIGEA, ha sido incorporada por ENISA, la Agencia Europea de Seguridad de las Redes y de la Información, a su catálogo de soluciones de análisis de riesgos.

Más información en el catálogo de ENISA y en la nota de prensa de Sigea.


La Consejería de Agricultura y Agua de la Comunidad de Murcia es la primera entidad pública de la Administración española que ha conseguido la certificación en ISO 27001 con acreditación internacional (considerando que la OAMI está radicada en España pero es una agencia europea e Izempe es una empresa de capital público).

El alcance certificado es el relativo a la gestión de las ayudas europeas de los fondos FEADER y FEAGA (para la cual la Comisión Europea exige una serie de requisitos de seguridad), la entidad de certificación ha sido SGS y la empresa consultora Firma, Proyectos y Formación S.L..

Nota de prensa en CARM.


www.ISO27000.es ha tenido la oportunidad de entrevistar a Miguel González Simancas, responsable del Sistema de Gestión de Servicios TI según ISO 20000 de Telefónica, que nos comentará como se ha realizado la implantación de un SGSTI en coincidencia con el alcance de su SGSI según ISO 27001 así como con su Sistema de Gestión de Calidad según ISO 9001.

En la entrevista, Julio José Ballesteros aportará detalles sobre el trabajo de implantación en el que ha participado directamente y se recorren de forma resumida los datos más significativos del esfuerzo para la implantación y certificación acreditada de una ISO 20000.

Podcast en formato mp3 disponible en nuestra sección de artículos y podcasts.


Llega la publicación de la norma "Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (ISO/IEC 27001:2005)" después de la anunciada resolución de 16 de abril de 2007 de la Dirección General de Desarrollo Industrial, por la que se publican los proyectos de norma UNE de la Asociación Española de Normalización y Certificación (AENOR)

La norma en español aparece disponible para su compra desde el 28 de Noviembre a un precio de 30,7 EUR + IVA para un total de 36 páginas.

Esta versión en español se une a NTC-ISO/IEC 27001 publicada el 22 de Marzo de 2006 por ICONTEC y que también dispone de una traducción de la actual ISO 27002 desde Agosto 2006, así como la publicada por Fondonorma también durante el pasado 2006. La nueva norma UNE puede adquirirse online desde el apartado "Normas y Publicaciones" en AENOR.


En el boletín del pasado mes de Noviembre de AENOR se publica una lista con sus 45 certificados emitidos para los Sistemas de Gestión de Seguridad de la Información.

En ocasiones, estas certificaciones SGSI son origen de alguna confusión al no aparecer en registros internacionales como el conocido iso27001certificates por ser emisiones propias de AENOR y no estar acreditadas actualmente por entidades nacionales como ENAC (España) - (menú Entidades Acreditadas) o UKAS (Reino Unido).

Así mismo, con la publicación de la reciente UNE-ISO/IEC 27001 AENOR anuncia la sustitución de la norma española utilizada hasta el momento, la UNE 71502:2004 (traducción de la norma británica BS 7799-2:2002).

Para facilitar la transición al nuevo documento de sus empresas certificadas, AENOR ha establecido un periodo de convivencia de ambas normas hasta el 30 de diciembre de 2008.

Consulta al boletín en AENOR.


El miércoles 28 de noviembre (un año después del aprobado en Diputados) fue sancionado por la Honorable Cámara de Senadores de la Nación el Proyecto de Ley de Delitos Informáticos.

Este Proyecto, aprobado en la Cámara de Diputados el 25 de octubre de 2006, obtuvo unanimidad en la Cámara Alta y será remitido a la Cámara iniciadora para la aceptación de la modificaciones introducidas.

Fuente de la noticia y legislación en segu-info.com.ar.


El espionaje industrial florece en Alemania. Su número de casos crece 10% cada año.

La información sustraída a través del espionaje va a parar a empresas de la competencia en Alemania y otros países que, de este modo, ahorran gastos de investigación y desarrollo de productos. También a Estados, que así pueden delinear sus estrategias económicas.

Los sectores más afectados son el automotriz, el de la fabricación de aviones y el de maquinaria, así como la industria metalúrgica y de materias primas.

El objetivo central del espionaje son las innovaciones técnicas, el know how de los procesos de producción. Detrás de esta metodología hay gobiernos extranjeros y empresas de la competencia.

Muchas compañías alemanas no asumen debidamente el peligro y carecen de un concepto integral para prevenirlo.

Tales son las conclusiones de un estudio realizado por la consultora de negocios Corporate Trust, la Oficina de Criminología Aplicada de Hamburgo y el periódico Handelsblatt de la misma ciudad.

Artículo completo de Francisco Olaso.


La seguridad en cualquier organización debe estar en consonancia con sus riesgos.

Sin embargo, el proceso para determinar qué controles de seguridad son adecuados y rentables, es a menudo complejo y responde en gran medida a cuestiones subjetivas. Una de las principales funciones de análisis de riesgos de seguridad es poner este proceso en una base más objetiva.

Artículo completo de Beatriz Martínez en Boletín Sigea.


La clase política británica y la ciudadanía se han quedado perplejos al saber que esa ingente información, maravilloso botín para las bandas especializadas en suplantar la personalidad de ciudadanos inocentes para cometer fraudes a su nombre, ha circulado arriba y abajo en dos simples CDs.

El ministro se vio obligado a admitir que ese trasiego se ha producido al menos cuatro veces, siempre contraviniendo las normas. La primera vez ocurrió en marzo pasado, cuando "un funcionario de rango menor" de Hacienda y Aduanas hizo llegar una copia de esos datos a la Oficina Nacional de Auditoría. Aunque este organismo tiene derecho a requerir los datos, el envío "no se hizo de la manera que se tenía que hacer". Una vez utilizados, el organismo auditor devolvió los datos, otra vez de forma irregular.

El pasado 18 de octubre, la Oficina Nacional de Auditoría (NAO, en sus siglas en inglés) volvió a pedir los datos para realizar diversas comprobaciones. Por tercera vez, esos datos se enviaron sin ningún control: mediante dos discos informáticos protegidos con códigos de seguridad pero enviados a través del sistema de correo interno de Hacienda y Aduanas -gestionado por la empresa privada TNT- sin certificar y sin que quedara registro del envío.

El responsable de Hacienda y Aduanas, Paul Gray, ha presentado su dimisión y el responsable del Tesoro pidió disculpas a los 25 millones de británicos afectados.

Noticia completa en El País.


Telefónica e INTECO han firmado un convenio marco para el diseño y puesta en marcha de proyectos que fomenten la seguridad en las Nuevas Tecnologías y colaboren a aumentar la confianza de los ciudadanos. Su objetivo es la colaboración entre los sectores público y privado, especialmente en la formación de usuarios a través de la articulación de convenios con universidades, así como dar un impulso al sector de la seguridad gestionada en España, especialmente para la Pyme.

Noticia completa en Cibersur.


El curso que se celebrará en Buenos Aires está destinado a los agentes y funcionarios pertenecientes a organismos públicos con responsabilidades en el área de sistemas o seguridad informática con los siguientes contenidos:

1. Marco teórico en materia procesal y probatoria en el Derecho
2. Legitimación para analizar equipos de agentes públicos ? Construcción de un marco apropiado en el uso de los recursos informáticos
3. Admisibilidad de la Evidencia Digital desde la óptica legal
4. La Evidencia digital en el Procedimiento Administrativo
5. La Evidencia digital en el Proceso Judicial

Enlace y más información en Arcert.


El nuevo número 14 incluye contenidos como:

- Attacking consumer embedded devices
- Review: QualysGuard
- CCTV: technology in transition - analog or IP?
- Interview with Robert "RSnake" Hansen, CEO of SecTheory
- The future of encryption
- Endpoint threats
- Review: Kaspersky Internet Security 7.0
- Interview with Amol Sarwate, Manager, Vulnerability Research Lab, Qualys Inc.
- Network access control: bridging the network security gap
- Change and configuration solutions aid PCI auditors
- Data protection and identity management
- Information security governance: the nuts and bolts
- Securing moving targets
- 6 CTOs, 10 Burning Questions: AirDefense, AirMagnet, Aruba Networks, AirTight Networks, Fortress Technologies and Trapeze Networks

Descarga del boletín en INSECURE 14.


El 20 de Noviembre, coincidiendo con la publicación oficial de BS 25999-2:2007, BSI hizo entrega a las empresas británicas TDG plc y SunGard Availability Services (UK) Limited de sus certificados en la norma, convirtiéndose éstas así en las dos primeras organizaciones a nivel mundial que certifican su sistema de gestión de continuidad de negocio con respecto a dicho estándar.

BSI lleva ya unos meses trabajando con un reducido número de empresas para certificar sus sistemas y establecer así un proceso de auditoría y certificación válido para el futuro, según el proceso habitual que siguen las entidades de certificación con estándares nuevos. En este sentido, BSI (junto con Lloyd?s Register Quality Assurance, Moody International Certification, NQA, Perry Johnson Registrars y SGS UK) forma parte del programa de acreditación de BS 25999-2 de UKAS (entidad de acreditación del Reino Unido), que espera tener un esquema de acreditación completo para esta norma a lo largo de 2008.

Nota de prensa completa en BSI Global.


El 20 de Noviembre ha quedado oficialmente publicada y disponible al público por parte de British Standards Institution la norma BS 25999-2, que especifica los requerimientos de un sistema de gestión de continuidad de negocio. Esta norma es certificable y se complementa con el código de buenas prácticas BS 25999-1, que ya se publicó en 2006.

La norma, en inglés, puede adquirirse online en BSI Shop.


La empresa consultora AUDISEC, junto con la entidad de certificación SGS, organiza el 12 de Diciembre en la Universidad de Castilla-La Mancha, en Ciudad Real, una jornada de presentación de ISO 27001.

La Jornada, en horario de mañana, busca acercar especialmente a las Pymes el proceso de implantación y certificación de un sistema de gestión de seguridad de la información basado en ISO 27001.

La asistencia es gratuita pero requiere inscripción previa. Más información en www.audisec.es.


ENISA (European Network and Information Security Agency) ha publicado una propuesta de recomendaciones de seguridad para redes sociales en Internet.

Este documento de 36 páginas está a disposición pública para comentarios hasta el 28 de Febrero de 2008 aquí.


El próximo 3 de Diciembre tendrá lugar en el Salón de Actos de la Escuela Universitaria de Ingeniería Técnica de Telecomunicación UPM (Madrid) el evento DISI 2007, Segundo Día Internacional de la Seguridad de la Información de la Cátedra UPM APPLUS+.

Una serie de ponentes nacionales e internacionales de primer nivel, más una mesa redonda, conformarán las actividades del evento, cuyo formulario de inscripción gratuita y detalles se encuentran en la web de CAPSDESI.


La Cátedra de Riesgos en Sistemas de Información del Instituto de Empresa continúa ofreciendo sus interesantes jornadas sobre distintos aspectos relacionados con la seguridad de la información.

En este caso, se trata de una jornada con varias ponencias sobre aspectos teóricos y prácticos de la gestión de los riesgos derivados de procesos de externalización de sistemas IT. Tendrá lugar el 4 de Diciembre, de 9:30 a 14:30 en el Aula Magna del Instituto de Empresa (c/ María de Molina 11. Madrid).

Más datos estarán disponibles en breve en la web del Instituto de Empresa. Las inscripciones pueden hacerse a través del e-mail catedra.riesgos@ie.edu.


El pasado 20 de Noviembre tuvo lugar en Madrid la II Jornada Internacional del ISMS Forum Spain. Con la presencia de expertos internacionales como Bruce Schneier o Meng-Chow Kang y nacionales como Enrique Martínez (director de INTECO), la Jornada ofreció interesantes opiniones y conclusiones.

Informaciones y notas de prensa sobre el evento están disponibles en la web del Forum.


El pasado mes de Octubre, AEMES (Asociación Española de Métricas de Sistemas Informáticos) celebró su VIII Congreso Anual de Procesos y Métricas de Sistemas Informáticos.

En su página web, ha puesto a disposición pública las presentaciones que tuvieron lugar. Entre ellas hay una dedicada a la medición de riesgos tecnológicos, en la que Álvaro Torres, Responsable de ITSM de la empresa Everis, hace una introducción al establecimiento de métricas de implementación, de eficacia/eficiencia y de impacto en el área de riesgos TI.

La presentación está disponible en aemes.org.


AENOR ha publicado ya el calendario de formación que tiene previsto para 2008, incluidos todos los cursos referentes a seguridad de la información.

La tabla de cursos (que se imparten varias veces al año en su totalidad en Madrid y, parcialmente, en Barcelona y Bilbao) es la siguiente:

S-01: Fundamentos de la gestión de la seguridad de la información.
S-02: Cómo implementar un SGSI.
S-03: Taller práctico de análisis y gestión de riesgos de la información.
S-05: Metodología de auditoría de un SGSI.
S-07: Métricas e indicadores en seguridad de la información.
S-08: Concienciación y comunicación en seguridad.
S-09: Gestión de la continuidad del negocio y planes de contingencia.
S-13: Gestión de riesgos jurídicos asociados a la seguridad de la información y protección de datos.
S-14: Fundamentos prácticos de seguridad en la gestión de servicios de las tecnologías de la información.

S-13 y S-14 son novedad para 2008.

Estos cursos pueden realizarse individualmente o agrupados bajo las titulaciones propias de AENOR:
Auditor de SGSI (S-oA) con los cursos S-01, S-02 y S-05, en un total de 5 días y 2.130 euros.
Especialista implantador de SGSI (S-oB) con los cursos S-01, S-02, S-03 y S-09, en un total de 7 días y 2.925 euros.
Experto en seguridad de la información (S-oC) con los cursos S-01, S-02, S-03, S-05, S-07, S-08, S-09, S-13 y S-14, en un total de 14 días y 5.500 euros.

La titulación de Experto es novedad para 2008, así como la posiblidad de cursar la titulación de Auditor (o los cursos S-01, S-02 y S-05 individualmente) por Internet a un precio de 1.050 euros.

Información completa descargable en AENOR.


En Enero de 2008 comenzarán a impartirse los másters en Auditoría Informática y en Seguridad Informática, en su séptima edición, que imparten de ALI (Asociación de Ingenieros e Ingenieros Técnicos de Informática) y UPM (Universidad Politécnica de Madrid).

Las clases presenciales tendrán lugar a lo largo de todo el año 2008 los viernes y sábados en Madrid, hasta Diciembre, y el proyecto de fin de máster hasta Marzo de 2009.

Más información en ALI.


Se ha abierto el plazo de inscripción para la segunda convocatoria de la III edición del Máster en Gestión y Dirección de la Seguridad de la Información que organizan ASIMELEC, FUNCOAS y la Universidad Pontificia de Salamanca-Campus Madrid.

El máster se compone de dos módulos, que pueden cursarse independientemente en dos académicos, dedicados a Gestión (300 horas) y a Dirección (320 horas). Comenzará a impartirse el 18 de Enero de 2008 en Madrid.

Más información e inscripciones en ASIMELEC.


La Revista SIC organiza el 27, 28 y 29 de Noviembre en Madrid un curso de análisis y gestión de riesgos de seguridad en los sistemas de información.

El curso forma parte de una nueva iniciativa de SIC llamada Espacio TiSEC Formación que busca ofrecer formación específica a los especialistas en seguridad de la información desde los enfoques de gestión y técnico. Será impartido por José Antonio Mañas, conocido experto en la materia y recorrerá todos los aspectos relacionados tanto con la fase de análisis de riesgos como de gestión de los mismos. La metodología que se seguirá para el curso es MAGERIT versión 2, con utilización de la herramienta PILAR correspondiente. Por ello, es necesario que los alumnos acudan con un ordenador portátil, puesto que toda la parte práctica del curso se realizará sobre PILAR.

El curso tiene un precio de 1.250 euros. Más información e inscripciones en Revista SIC.


Con una duracion de 3 días (del 21 al 23 de Noviembre) la entidad de certificación SGS celebrará un nuevo curso de implantacion SGSI de caracter eminentemente práctico y utlizando como referencia un esqueleto documental que cubre todos los aspectos de la norma.

En calidad de socio fundador y Gold Sponsor de la II Jornada del ISMS Forum, SGS invita a todos los interesados en la seguridad de la informacióna a inscribirse y participar activamente con motivo de su celebración el próximo 20 de Noviembre en el Palacio Municipal de Congresos. Campo de las Naciones de Madrid (Sala Madrid). Ver detalles en la nota de prensa

Información y contacto para cursos IRCA ISO 27001 e ISO 20000 Minisite SGS.


CPI y SGS organizan con la colaboración de Aetical (Federación de Empresas de Tecnologías de la Información, Comunicaciones y Electrónica de Castilla y León) y Cedetel (Centro para el Desarrollo de las Telecomunicaciones de Castilla y León) una jornada de formación específica para la implantación y certificación acreditada de Sistemas de Gestión de Servicios TI según estándar ISO 20000 y tendrá lugar el próximo 22 de Noviembre en el Hotel Novotel de Valladolid.

Más información en Cedetel.

Formulario de inscripción en ingeniusteam.


Una popular cadena de supermercados estadounidense ha perdido diez millones de dólares porque no comprobó la autenticidad de los mensajes que decían provenir de los proveedores.

En cuanto se dieron cuenta del fiasco, se congelaron las cuentas, pero al parecer ese dinero será difícil que pueda reponerlo nadie.

Noticia completa en segurinfo.blogspot.com.


El temor está bien fundamentado. No es fácil salir airoso de una auditoría de seguridad de IT. Hay que demostrar que todo marcha en orden y eso no cualquiera lo consigue.

"Cuando se hace un informe de hallazgos, alrededor de 80% de las auditorías sale con observaciones. Sólo entre 15% y 20% de las empresas aprueba en la primera revisión. Este porcentaje corresponde, por lo regular, a organizaciones financieras, no necesariamente bancos, pero si a empresas que, por regulación nacional o internacional, deben estar al día con los temas de seguridad", asevera Jorge Garibay Orozco, director del comité de auditoría de ISACA.

Artículo de Hugo Sandoval para bsecure.


Dado su carácter de servicio horizontal, la implementación de tecnología sobre Red IP y desarrollos Ad Hoc, la necesidad de integrar la diversidad de perfiles y formatos y la adecuación de los niveles de seguridad a la estructura del complejo y su uso, el “Distrito C? ha representado un gran desafío que ha demandado la correspondiente respuesta con un Centro de Seguridad Integral mediante Banda Ancha a sus necesidades TIS: seguridad en los procesos de negocio/fraude, control de accesos/ASP, sistemas de Intrusión-IP y perimetrales/antihurto, soluciones de videovigilancia/CCTV, protección contra incendios, centralización de alarmas, seguridad de la información y servicios de mantenimiento y teleasistencia.

Artículo Seguritecnia.


El respaldo es una tarea compleja y es cada vez más un problema que impide a las empresas circular con fluidez, introduciendo atascos y peligros para garantizar la continuidad vital de las mismas. En un mundo en permanente cambio, es preciso introducir nuevos servicios de respaldo y recuperación de datos que garanticen a las empresas que su seguridad está on-line con el cambio permanente.

Artículo de Eduard Abad en RedSeguridad.


Aprender acerca de los problemas relacionados con las herramientas de software de auditoría, así como la determinación de quién llevará a cabo la auditoría, permitirá a las organizaciones a determinar mejor su software de explotación y minimizar sus riesgos..

Artículo de John Silltow para theiia.org.


En este documento se examina los riesgos que plantean los equipos informáticos obsoletos en un entorno corporativo.

Muchas personas no podrán nunca pensar en estos riesgos cuando su nuevo equipo de sobremesa o portátil está instalado y su viejo anticuado se transporta fuera de la máquina. Sin embargo, los que piensan de la seguridad deben inmediatamente investigar lo que debe hacerse con la antigua unidad que todavía está llena de datos. La respuesta a esta pregunta varía según la organización.

Artículo de Daniel James en Infowriters.


En los últimos años, el perfil de los usuarios de Internet y los usos que estos hacen de la Red, ha variado, alcanzándose unas notables tasas de penetración en determinados servicios. Así, por ejemplo en España, el correo electrónico, con un 99,5%, es el servicio más utilizado entre los usuarios habituales de Internet entre 16 y 74 años, un 63% ha utilizado servicios de banca electrónica y actividades financieras y el 52% ha realizado compras online.

Para gestionar correctamente la seguridad de las contraseñas, desde el Instituto Nacional de Tecnologías de la Comunicación (INTECO) se recomienda a los usuarios tener en cuenta las siguientes pautas para la creación y establecimiento de contraseñas seguras.

Descarga INTECO en pdf en Políticas de seguridad de contraseñas.


NIST publica un nuevo borrador para la gestión del riesgo orientada a Governance Managers.

El documento forma parte del esfuerzo que NIST está llevando a cabo con el Director de Inteligencia Nacional, el Departamento de Defensa y el Comité Nacional de Sistemas de Seguridad para establecer una línea de base para el gobierno de la seguridad de las tecnologías.

Descarga del documento en pdf en NIST.


BSI España tiene programados varios cursos en las próximas semanas en Madrid:

Implantación de ISO 27001
Curso de tres días de duración en el que se abordan las distintas fases de la implantación de un sistema de gestión de seguridad de la información basado en ISO 27001.Teoría, ejercicios y casos prácticos.
12-14 Noviembre.
1.200 euros.

Auditoría de ISO 27001 (Lead Auditor)
Curso de cinco días de duración en el que se abordan todos los aspectos relacionados con la auditoría de un sistema de gestión de seguridad de la información basado en ISO 27001. Teoría, ejercicios, casos prácticos y un examen al finalizar el curso que, en caso de superarse, proporciona el título de Lead Auditor.
19-23 Noviembre
y
10-14 Diciembre.
1.500 euros.

Más información e inscripciones en www.bsi-spain.com.


Alberto G. Alexander, conocido experto en seguridad de la información, ha publicado recientemente el libro "Diseño de un Sistema de Gestión de Seguridad de Información. Óptica ISO 27001:2005", en la Editorial Alfaomega.

Según la propia presentación del libro: "Este manual cubre el vacío generado por la falta de un método documentado sobre cómo proceder a implantar en cualquier empresa un Sistema de Gestión de Seguridad de Información (SGSI), que permita a las organizaciones minimizar los riesgos y asegurar una continuidad en sus operaciones. Contiene un método completo para instaurar en cualquier firma un SGSI basado en la Norma ISO 27001:2005. Las 11 fases y las actividades de la metodología sirven de guía a los profesionales encargados de manejar proyectos de implantación."

El libro puede adquirirse online en Librería Interamericana.


El Instituto de Empresa, prestigiosa escuela de negocios a nivel mundial con sede en Madrid, tiene una Cátedra de Riesgos en Sistemas de Información, dirigida por Fernando Aparicio.

Desde hace algún tiempo, la Cátedra organiza regularmente Jornadas de Análisis y Debate, en las que, durante una mañana, tienen lugar diversas ponencias, presentaciones de experiencias prácticas y coloquio con los asistentes sobre temas concretos de seguridad de la información.

De la última Jornada, que tuvo lugar el 4 de Octubre y que se dedicó a estrategias de continuidad de negocio, están ya a disposición pública las presentaciones.

La siguiente Jornada que se celebra tendrá lugar el 8 de Noviembre y lleva por título "Aplicaciones prácticas de la firma electrónica: experiencias prácticas". El programa completo está disponible aquí.


La Cámara de Comercio de Madrid ofrece el 16 y 17 de Noviembre un curso de 12 horas de implantación de un sistema de gestión de seguridad de la información conforme a ISO 27001. Más información e inscripciones en IFE.


El "Department of Homeland Security" de EEUU ha puesto a disposición pública el borrador final de su documento "Information Technology Security Essential Body of Knowledge", que propone un marco competencial y funcional para el desarrollo de RRHH en seguridad de las tecnologías de la información.

Lo que se desarrolla a lo largo de las 44 páginas de este excelente documento son las competencias que debe tener cada uno de los roles en seguridad TI que se definen en una organización.

Para ello, sigue una metodología de construcción del modelo de la siguiente forma:

1) Define 14 áreas de competencias en seguridad TI y clasifica las tareas que corresponden a cada área en 4 perspectivas funcionales: Gestionar, Diseñar, Implementar y Evaluar.
2) Define la lista completa de conocimientos asociados a cada una de las áreas de competencia.
3) Define 10 roles diferentes en seguridad TI, asignando a cada uno de ellos el subconjunto de las 14 áreas de competencias que le corresponda, fijando para cada una de ellas la(s) perspectiva(s) funcional(es) que debe desarrollar el rol (gestionar, diseñar, implementar y evaluar). Además, incluye para cada rol las posibles denominaciones que se usan en la práctica.
4) Finalmente, hace una presentación resumida del punto 3 en una matriz tridimensional de roles, áreas de competencia y perspectivas funcionales.

El documento, que está disponible aquí, puede ser una fuente muy válida para ayudar a las organizaciones que estén implantando ISO 27001 en el desarrollo de las partes del sistema dedicadas a organización de la seguridad de la información y a formación del personal (en este caso, sólo de las personas con responsabilidades funcionales en seguridad).


Normas gratuitas de ISO
01/November/2007
En general, todos los estándares que publica ISO son de pago y es necesario adquirirlos en las entidades autorizadas para su venta.

Sin embargo, hay que recordar que algunas normas son de distribución gratuita y pueden descargarse directamente, cumpliendo con ciertas condiciones relativas a su uso. Es el caso de una serie de estándares del comité JTC 1 (tecnologías de la información), que están disponibles aquí.

Dentro de la lista, hay algunas normas relativas a seguridad (las del subcomité SC27):

ISO/IEC 15408 (tres partes): Evaluation criteria for IT security.
ISO/IEC TR 15446: Guide for the production of Protection Profiles and Security Targets.
ISO/IEC 18045: Methodology for IT security evaluation.
ISO/IEC 21827: Capability Maturity Model, SSE-CMM.


George Campbell, antiguo responsable de seguridad de Fidelity Investments y autor del libro Measures and Metrics in Corporate Security: Communicating Business Value explica en un podcast de CSOnline cómo establecer un programa de métricas útil para la dirección de la organización y cómo gestionar y priorizar las métricas de seguridad para reducir el riesgo global.


Varias buenas métricas
01/November/2007
Aunque sea un artículo publicado hace ya dos años en CIO, es muy interesante releer el enfoque que aporta Andrew Jaquith al tema de métricas de seguridad.

Su principal argumento es que, en materia de métricas de seguridad para la dirección, se suele confundir simplicidad con claridad, abusando de las representaciones simplistas de rojo-amarillo-verde. Los altos directivos de las empresas están acostumbrados, por ejemplo, a manejar gráficos de evolución en bolsa, donde se presentan multitud de datos en un solo gráfico, por lo que, en su opinión, no hay nada en contra de representar métricas complejas, siempre y cuando estén bien presentadas.

Basándose en este principio, el artículo propone varias métricas y sus posibles representaciones gráficas. Disponible en CIO-Asia.


La Oficina Nacional de Gobierno Electrónico e Informática de Perú pone a disposición pública varios documentos relacionados con seguridad de la información, entre ellos una Guía Práctica para el Desarrollo de Planes de Contingencia de Sistemas de Información.


Del 21 al 23 de noviembre próximos, el INTECO (Instituto Nacional de Tecnologías de la Comunicación) organiza en León el I Encuentro Nacional de la Industria de Seguridad (ENISE), como lugar de encuentro de la Industria de Seguridad en España, tanto de quienes la impulsan desde el lado de la oferta (fabricantes, mayoristas, distribuidores, integradores y consultoras) como de los que le dan soporte desde el lado de la demanda (banca, sanidad, sector público o telecomunicaciones).

En el evento intervendrán 70 ponentes y tendrán lugar 18 talleres tecnológicos paralelos a las sesiones plenarias.

Más información e inscripciones en ENISE.


Las empresas españolas BBVA, Caja Madrid, La Caixa, Repsol-YPF y Telefónica, miembros del Information Security Forum, han creado recientemente el Capítulo Regional español de esta organización.

El Information Security Forum (ISF) es una organización independiente dedicada a la seguridad de la información, con más de 300 empresas e instituciones asociadas, entre ellas más del 50% de las empresas del Fortune 100.

El ISF mantiene activos numerosos proyectos, entre ellos, por ejemplo, un estándar de buenas prácticas de seguridad de la información, de acceso público.

Este estándar, que lleva más de 10 años publicándose y revisándose, acaba de ser editado en su versión de 2007. A lo largo de 372 páginas de densa información, propone buenas prácticas y controles en 6 áreas: gestión de la seguridad corporativa, aplicaciones críticas de negocio, instalación de ordenadores, redes, desarrollo de sistemas y entorno de usuario final.


Los próximos días 28 y 29 de Noviembre se celebrará en el Centro de Convenciones Norte de Ifema (Madrid) la 2ª edición del congreso de itSMF (Information Technology Service Management Forum) en España.

(itSMF -Information Technology Service Management Forum- es una red mundial, fundada en el Reino Unido en 1991, de grupos de usuarios de las TI que ofrecen mejores prácticas y guías basadas en estándares para la provisión de Servicios de TI sin compromisos con ningún proveedor. En España, se creó en 2005.)

Más información e inscripciones en www.itsmf.es.


BSI (British Standards Institution) dispone, desde hace ya algún tiempo, de una herramienta en inglés de auto-evaluación online de continuidad de negocio según BS 25999-1.

Mediante 191 preguntas realizadas en un entorno web, la herramienta ofrece una serie de funcionalidades, tales como acciones recomendadas dependiendo de la respuesta, ranking de acciones para determinar prioridades, posibilidad de asignar responsables y fechas a las acciones, varios modelos de informe, etc.

El coste de la licencia por un año para un usuario es de 322 euros. Más información en www.bs25999online.com


Septiembre 2007 cierra con 4.036 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo. En ISO 27001 son, concretamente, 2.509 en total.

Como idea del rápido crecimiento que experimenta esta certificación, en Septiembre 2006 se había llegado a 3.006 empresas certificadas en ISO 27001 y BS 7799-2 en el mundo, en Octubre del 2005 se partía de una cifra de 1870 empresas certificadas en el estandar británico BS 7799-2 y a finales de 2004 eran unas 1000 empresas certificadas entonces en todo el mundo.

iso27000.es celebra formalmente así mismo su segundo aniversario como website activo y agradece a todos sus visitantes, especialmente, a los colaboradores que nos hacen llegar espontáneamente sus aportaciones y desde diferentes partes del mundo haciendo posible que sean cada vez más las personas interesadas en la seguridad de la información, desde el enfoque de un sistema de gestión en particular.


www.ISO27000.es ha tenido la oportunidad de entrevistar a Ana Ramos, responsable del Sistema de Gestión de Servicios TI según ISO 20000 y que nos comentará como se ha realizado la implantación de un SGSTI en coincidencia con el alcance de su SGSI según ISO 27001 así como con su Sistema de Gestión de Calidad según ISO 9001.

En la entrevista se recorren de forma resumida los datos más significativos del esfuerzo para la implantación y certificación acreditada de una ISO 20000.

Podcast en formato mp3 disponible en nuestra sección de artículos y podcasts.


"Por segunda vez se han reunido los editores de la familia 27000 en lo que, parece, va a ser una costumbre a incorporar en las sucesivas reuniones internacionales. Así, en la reunión que los editores 27000 mantuvimos el pasado 2 de octubre se trataron diversas cuestiones que afectan al desarrollo de los estándares de la familia, a saber:

a) La revisión temprana de las normas 27001 y 27002 para incorporar conceptos tales como la sostenibilidad. Esto generará un problema en cuanto a que los demás documentos de la familia mantienen referencias cruzadas con estas normas. Se discutió el grado de granularidad que deberían de tener las normas de la familia pendientes de aprobación y se acordó limitar, en lo posible, referencias a las clausulas de la 27001 y 27002, optando, en su lugar, por textos descriptivos.

b) Los problemas de coherencia (“consistency?) entre documentos. Este problema es especialmente grave en la 27000 y la 27003, ya que o bien toma las definiciones de las demás normas (27000) o bien se solapan y contradicen con otras normas de la familia (la 27003 con la 27004 y 27005).

c) La orientación de la norma 27000. Ante la petición de que esta norma sea de distribución gratuita con fines de marketing, se generó un debate sobre su contenido actual, muy técnico y poco legible. Tras el mismo, se decidió reflexionar sobre la inclusión de una introducción no normativa más explicativa y dividir el documento en dos partes. Se han solicitado comentarios específicos en la introducción para antes del 9 de noviembre de 2007.

En cuanto a las resoluciones y debates sobre documentos:
* la 27000 - Overview and vocabulary- pasa a 3CD con las limitaciones comentadas más arriba.
* la 27003 - Information security management system implementation guidance- pasa a un limbo de 5WD.
* la 27004 -Information security management measurement- de nuevo, recibe un elevado número de comentarios, fundamentalmente editoriales de escasísima complejidad. Se resolvieron satisfactoriamente los comentarios técnicos, lo que confirma el estado de madurez de la norma. A pesar del criterio de las editoras, que entienden que el documento se encuentra lo suficientemente estabilizado como para progresar a FCD, el editing group votó a favor de un tercer CD.
* la 27005 - Information security risk management- mantiene un elevado número de comentarios a pesar del avanzado estado de edición, habiéndose registrado como FDIS con cuatro votos en contra, concretamente de Australia, Austria, España y Nueva Zelanda. Teniendo en cuenta estas circunstancias, se anuncia ya una revisión temprana del documento.
* ISMS Auditor Guidelines 27007 se circula para comentarios el primer WD de este documento.
* la 27011 ? Sector specific en telecomunicaciones- realizada en liaison con ITU (X.1051) ha alcanzado es estado de FDIS y ha cambiado de título: ITU-T X.1051|ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002.

En cuanto a los documentos en Study Period la cosa queda como sigue:
* ISMS Standards for the Automotive Industry. Se mantiene en estado de Study Period el documento, sobre el que no ha habido desarrollos significativos. Parece que hay interés pero no aportaciones.
* ISMS Standards for the World Lottery Association. Parece ser que las condiciones de producción normativa de la WLA se alejan de las normas ISO, lo que se hizo saber a la WLA que no ha contestado. No se tiene gran esperanza en que, finalmente, vaya a haber un acuerdo con la WLA por lo que se planteó dar por concluido el Study Period. Finalmente, se optó por esperar una respuesta hasta la reunión de Kyoto.

En esta reunión se han propuesto nuevos documentos para Study Period con los títulos provisionales siguientes:
* Information security for Critical Infrastructure. Para este documento se ha nombrado rapporteur a Carlo Harpes.
* Information security for e-government. Para este documento se han nombrado rapporteurs a Pierre Sasseville, Wiggo Öberg y Paloma Llaneza.
* Technical ISMS Audits. Para este documento se han nombrado rapporteurs a Lars Söderlund y Anders Carlstedt."

Extracto del Blog Paloma Llaneza


Nuevo número de la revista bimensual en inglés publicada por ISACA y dedicada a IT governance y auditoría, control y seguridad de sistemas de información.

Acceso a miembros en Information Systems Control Journal


Las empresas, por muy grandes o pequeñas que sean, no son entes aislados de los fenómenos económicos, las regulaciones y las amenazas que plantea un mundo globalizado. El efecto mariposa confirma su alcance en el momento que se declara la crisis en el sector de bienes raíces de Estados Unidos, se lanza un nuevo ataque de phishing desde una isla del Caribe o se estrechan las exigencias de las autoridades financieras.

Un gran número de organizaciones se sacuden ante estos embates. Las más los resisten, pero los frágiles pies de barro de algunas otras las hacen estrellarse contra el piso. ¿Qué marca la diferencia entre sobrevivir y morir en este entorno de inestabilidad?

La lista de requerimientos sería larga. Pero entre los puntos fundamentales destacan: contar con una infraestructura IT robusta, procesos perfectamente definidos y una buena estrategia de seguridad de la información.

Tres aspectos para los cuales Forrester ubica una única respuesta: adoptar mejores prácticas.

Artículo de Norberto Gaona Vásquez para Bsecure


CSI (ya no) dependiente del FBI acaba de publicar (un poco tarde a comparación de otras oportunidades) el 12° informe sobre delitos informáticos y seguridad de la información. Como se sabe este informe es una base importante de información para conocer el estado de arte actual en esta área de trabajo.

El informe se realizó en base a la respuesta de 494 empresas, cubriendo un amplio espectro desde agencias de gobierno, instituciones, universidades y sector tecnológico de EE.UU. El perfil de las personas que respondieron la encuesta corresponden a CIOs, CEOs, CSOs, CISOs, Oficiales de Seguridad y Administradores de sistemas.

Como primer resultado importante se remarca que el promedio de pérdida anual de 2007 es del doble del año anterior (U$S 350.424 sobre U$S 168.000) y que por primera vez en mucho tiempo el fraude financiero supera a los ataques de malware, que ahora quedan relegados al segundo lugar.

El problema más persistentemente reportado es el abuso de los recursos de la organización por parte de personal interno (insiders).

Noticia completa y traducción del informe al español en Segu-info.com.ar


La seguridad eficaz de la información está compuesta por múltiples capas de defensa que trabajar juntos para proteger la información.

La premisa es que si una capa falla, la siguiente capa tendrá éxito. A menudo, cuando se discute la seguridad de la información, la técnica de capas como los firewalls, software de parches, sistemas de detección de intrusos, antivirus programas, y el cifrado son las únicas áreas tratadas.

Sin embargo, una importante capa de defensa de la seguridad de la información a la que no se da la atención que merece es la capa del factor humano. El elemento humano es el más importante, sin duda, de las capas de la defensa de la seguridad de la información.

Si una persona con intenciones maliciosas puede, efectivamente, eludir la capa a este nivel, puede eludir todas las otras capas de defensa de la seguridad de la información. El tiempo, el dinero y los recursos dirigidos por tanto a las demás capas de seguridad de la información se quedan en nada si esta capa es violada.

Artículo de Ugo Emekauwa en PDF para: Infosecwriters


INTECO pone a disposición de los usuarios, una serie de 77 consejos prácticos de seguridad.

Los consejos se agrupan por tecnología/aplicaciones, son en su mayoría sencillos de aplicar y están dirigidos a la prevención de problemas de seguridad.

Descarga de los consejos en PDF: INTECO

INTECO también ha puesto a disposición de los usuarios un mapa de incidencias de virus por Comunidades Autónomas.

Este mapa de incidencias, se genera con la información suministrida por los Colaboradores de la Red de Sensores de INTECO dentro de cada Comunidad Autónoma.

Con la información obtenida se realizan estadísticas sobre las incidencias de virus de correo más extendidos en cada comunidad autónoma y porcentajes de infección entre las muestras analizadas.

Enlace: INTECO


Se han abierto las inscripciones para el Segundo Día Internacional de la Seguridad de la Información DISI 2007, a celebrarse en Madrid en el Campus Sur de la UPM el lunes 3 de diciembre de 2007.

Puede acceder a la ficha de inscripción desde la página Web de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información en el cuerpo de la noticia de DISI 2007:

http://www.capsdesi.upm.es/

Se recuerda que la inscripción es gratuita, que se solicitará unos días antes del evento la confirmación de asistencia por email y que el aforo del Salón de Grados está limitado a 550 butacas.

Tanto si se accede con Firefox como con Internet Explorer, deberá aceptarse el Certificado Digital presentado por el servidor. Como es conocido, el navegador Internet Explorer presentará un mensaje de advertencia.

El programa de DISI 2007 puede descargarse desde esta dirección:
http://www.capsdesi.upm.es/file.php/1/descargas/Programa_2doCongreso_DISI_2007.pdf

Fuente de la Noticia : Hispasec


El próximo 20 de noviembre tendrá lugar en Madrid la II Jornada Internacional de la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain.

Será en el Palacio Municipal de Congresos de Madrid (Campo de las Naciones), desde las 9:30 hasta las 18:00 horas. La jornada, titulada “Seguridad de la Información: una cuestión de Responsabilidad Social Corporativa?, hará hincapié en la importancia que tiene el apoyo a la política y estrategia de seguridad de la información desde la Alta Dirección, y en el positivo impacto de esta implicación en la Responsabilidad Social Corporativa y el Buen Gobierno de las organizaciones.

Entre los ponentes confirmados están Bruce Schneier, experto internacional en seguridad de la información, y Meng-Chow Kang, vicepresidente de RAISS Forum (Regional Asia Information Security Standards Forum) y Chief Executive & Privacy Advisor de Microsotf Asia Pacific.

Otros ponentes confirmados son Mónica Mondardini, consejera delegada de Generali; Enrique Polanco, adjunto al consejero delegado y director de Seguridad Corporativa del Grupo PRISA; Joaquín Reyes Vallejo, CIO de CEPSA; Avelino Brito, subdirector general de AENOR y Manel Medina, catedrático de la UPC y director de esCERT (Spanish Computer Emergency Response Team).

Nota de Prensa del ISMS Forum


Hemos actualizado la sección de nuestra web que lleva por título "ISO 27000", especialmente en el apartado dedicado a la serie ISO 27000, donde se han actualizado las fechas de posible publicación de ISO 27000, ISO 27003, ISO 27004, ISO 27005, ISO 27007, ISO 27011, ISO 27031, ISO 27032, ISO 27033, ISO 27034 e ISO 27799.

La información necesaria para dicha actualización ha sido obtenida del catálogo de proyectos de la web oficial del subcomité SC 27, cuya fecha de última revisión es el 26 de Septiembre pasado.


Hace ya unos meses que tres investigadores (Edgar Enrique Ruiz, Diana Carolina Niño Mejía y Alejandro Sierra Múnera) de la Pontificia Universidad Javeriana de Bogotá (Colombia) publicaron un trabajo titulado "Guía Metodológica para la Gestión Centralizada de Registro de Eventos de Seguridad en Pymes".

Se trata de un documento de 44 páginas, en español, bastante técnico pero muy completo, que describe con exactitud cómo puede una organización (en principio, una pyme que no quiera o pueda invertir los recursos necesarios para adquirir sistemas comerciales y en la que, por su tamaño, el impacto en el tráfico de red sea escaso) implantar una infraestructura centralizada de logs con software de código abierto y software propietario de libre distribución.

Esta centralización, que va muy en la línea de varios de los controles de ISO 27002 (antigua ISO 17799), permite, por una parte, una revisión y análisis más rápidos y eficaces de los logs de una red con diversos sistemas y, por otra, cumplir con el enfoque forense de que los logs sirvan como evidencias digitales.

La página web, con la metodología y diversos documentos adicionales (como, p. ej., un artículo de presentación) para su descarga gratuita, está disponible aquí.


Capital One publicó hace algo más de un mes en Continuity Central una checklist de continuidad de negocio para pequeñas empresas.

Se trata de una lista con puntos muy concretos que debería prever una pequeña empresa que quiera prepararse para poder continuar con su negocio en caso de desastre de algún tipo. La necesidad de aplicar metodologías más o menos complejas para diseñar su estrategia de continuidad de negocio, lleva a la mayoría de empresas de este tamaño a no preparar nada. Una checklist sencilla como esta puede permitir, con pocos medios, planificar al menos los aspectos fundamentales.


El IRAM (Instituto Argentino de Normalización y Certificación) tiene programados varios cursos sobre ISO 27002, ISO 27001 e ISO 21188:

Curso sobre ISO 17799 (actual ISO 27002):
18-19 Octubre en Buenos Aires.
25-26 Octubre en Puerto Madryn.

Curso sobre ISO 27001:
22-23 Octubre en Buenos Aires.
14-15 Noviembre en Córdoba.
6-7 Diciembre en Puerto Madryn.

Curso sobre ISO 21188, Infraestructura de clave pública para servicios financieros:
4-5 Diciembre en Buenos Aires.

Más información e inscripciones en IRAM


Security Cartoon
11/October/2007
www.securitycartoon.com es una página web que publica una viñeta diaria en inglés tratando los diversos temas de seguridad de la información en clave de concienciación de usuarios.


ATSEC es una empresa de consultoría en seguridad de la información presente en varios países europeos, que pone a disposición pública en su web numerosos whitepapers relacionados con la materia.

Uno de ellos es una interesante guía de implantación de un SGSI. Se trata de un documento de 25 páginas, en inglés, de contenido eminentemente práctico, que recorre cada uno de los puntos fundamentales de la implantación de un SGSI, aportando consejos y ejemplos.

Puede descargarse aquí


El próximo 25 de Octubre se celebrará un desayuno de trabajo organizado por ESA Security y SGS Certificación en la sede de ESA Security en las Rozas con el tema "Claves para la implantación de la ISO 27001, aspectos prácticos".

La asistencia al evento es gratuita, aunque se requiere registro previo por limitación de aforo.

Información completa en SGS España.


Del 15 al 19 de Octubre, la entidad de certificación SGS celebrará una nueva formación IRCA de Lead Auditor en Sistemas de Gestión de Seguridad de la Información según ISO/IEC 27001 en Madrid.

El programa IRCA (International Register of Certificated Auditors) de este curso para Auditor Líder ISO 27001 ha sido desarrollado conjuntamente con Ted Humphreys (Director del ISMS internacional User Group y considerado el padre de las normas ISO 27001 e ISO 17799), como respuesta a la demanda de auditores competentes en sistemas de gestión de seguridad en la información (SGSI).

SGS anuncia además la celebración de un nuevo curso del 12 al 16 de Noviembre para Auditores Jefe en Sistemas de Gestión de Servicios TI según norma ISO/IEC 20000 en Madrid.

Los cursos permiten la obtención del titulo de "Auditor Jefe" en ISO 27001 y en ISO 20000 expedido por el IRCA y reconocido internacionalmente por las entidades de registro de auditores a aquellos alumnos que asistan al curso y que superen el examen final.

Más información y contacto: SGS España.


Septiembre cierra con 4.036 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo. En ISO 27001 son, concretamente, 2.509 en total.

Encabeza la lista, como desde hace años, Japón, con 2.317 certificaciones, seguido del Reino Unido, con 363, y la India, con 347.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México: 12
España: 12
Argentina: 3
Colombia: 3
Perú: 2
Chile: 1
Uruguay: 1

Esta información puede consultarse en International Register of ISMS Certificates.


SIGEA ha presentado GxSGSI, su herramienta de Análisis de Riesgos de Seguridad, en el Centro Demostrador de Seguridad para la PYME del INTECO - Instituto Nacional de Tecnologías de la Comunicación -, que pasará a formar parte de la lista de soluciones de seguridad gestionada que esta entidad está confeccionando.

El Centro Demostrador de Seguridad para la PYME, recientemente creado por INTECO, pretende fomentar y difundir entre las pymes españolas - que representan más del 90 por ciento del tejido empresarial nacional - el uso de las tecnologías de seguridad de la información. Con esta presentación, GxSGSI pasa a formar parte de la completa lista de herramientas que INTECO está recopilando para su difusión entre las mismas. A este acto le seguirá en breve la firma de un convenio de colaboración entre SIGEA y el INTECO que dará continuidad a otros proyectos que ya están en fase de desarrollo.


Próximamente, el conocido experto en seguridad Dr. Alberto G. Alexander estará dictando los siguientes cursos en Caracas (Venezuela):

Implantación de un Sistema de Gestión de Seguridad de Información según ISO 27001:2005
Fecha: 05 y 06 de noviembre
Para mayor información, pulsar aquí

Diseño y Gestión de un Plan de Continuidad del Negocio con BS 25999-1:2006 Fecha: 07 y 08 de noviembre
Para mayor información, pulsar aquí.


El 15 de Octubre tendrá lugar en Madrid la conferencia que lleva por título "Nuevas tendencias en Banca Online", con especial incidencia en los aspectos relacionados con la seguridad.

Más información e inscripciones en Expansión Conferencias.


El 16 de Octubre tendrá lugar en el Auditorio Promomadrid (c/ Suero de Quiñones 34, Madrid) la Jornada "Sistemas de seguridad y protección de datos en la Comunidad de Madrid".

En el evento, además de ponencias dedicadas a seguridad en la LOPD y al responsable de ficheros y una mesa redonda, tendrá lugar una ponencia dedicada específicamente a "Cómo los sistemas de gestión de seguridad de la información ayudan a cumplir con la LOPD", impartida por Carlos Manuel Fernández, Product Manager de Certificación TIC de AENOR.

La asistencia es gratuita, previa inscripción: remita sus datos (nombre, empresa, dni e info de contacto) a la dirección jvendrell@aetic.es


BSI España impartirá un curso oficial de Lead Auditor de ISO 27001 en Madrid del 15 al 19 de Octubre.

Se trata de un curso teórico-práctico de 40 horas de duración, que incluye un examen el último día. Con la superación de dicho examen, el alumno obtiene el correspondiente certificado.

El precio es de 1.500 euros.

Más información e inscripciones en www.bsi-spain.com.


El próximo 30 de Octubre tendrán lugar tres eventos simultáneos en Londres, Nueva York y Tokyo de presentación de la norma BS 25999 Parte 2, organizados por BSI (British Standards Institution).

BS 25999-2 proporciona el marco y los requisitos de gestión de continuidad de negocio, como continuación de la Parte 1, que es un documento de buenas prácticas en la materia.

Más información e inscripciones en los eventos en www.bsigroup.com.


José M. Gómez, en Kriptópolis, referencia un artículo de OWASP titulado "Cómo escribir código inseguro", en el que se repasan en tono de humor algunas de las peores prácticas a la hora de programar de forma segura (no habría más que dar la vuelta a los consejos para obtener una guía de buenas prácticas).

Como está escrito en un entorno wiki, es posible hacer aportaciones de nuevas peores prácticas.


Son múltiples las listas de comprobación (checklist) que hay publicadas sobre diferentes aspectos de la seguridad de la información.

En este caso, mencionamos una lista publicada por la Interpol en inglés, que contine 160 preguntas concisas y directas sobre temas como organización de la seguridad, clasificación de la información, software, hardware, documentación, comunicaciones, back-up, protección física, gestión de incidentes, etc.

Esta checklist puede consultase aquí.


Del 21 al 24 de Octubre, tendrá lugar en Monterrey (México) la 12ª Conferencia Anual Latinoamericana de Auditoría, Control y Seguridad de TI organizada por ISACA.

Tendrán lugar 30 ponencias y 5 talleres relacionados con auditoría y buen gobierno de TI.

Más información e inscripciones en: ISACA.


La Asociación de Auditores y Auditoría y Control de Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA), que es también el capítulo de Madrid de ISACA, tiene organizados para lo que queda de año 2007 los siguientes cursos:

Criptografía para Auditores: 11 Octubre
Curso preparación CISA - Módulo teoría: 22-25 Octubre
Auditoría del Outsourcing en los sistemas de información 25 Octubre
Plan de Continuidad de Negocio: definición, implantación y evaluación: 5 y 6 Noviembre
Curso preparación CISA - Módulo simulacros: 10, 17, 24 Noviembre y 1 Diciembre
Curso preparación CISM - Módulo simulacros: 10, 17, 24 Noviembre y 1 Diciembre
Normativas, guías y estándares en seguridad (en preparación)

Más información e inscripciones en ASIA


Avalution Consulting y BSI Americas han publicado recientemente un interesante whitepaper sobre cómo implementar BS 25999 (el estándar británico de continuidad de negocio).

A lo largo de 26 páginas, se da una visión general de la norma (que está formada por dos partes; la segunda a punto de publicarse) y de los pasos que deberían seguirse para desarrollar un plan de continuidad de negocio inspirado en la misma.

El documento, en inglés, está disponible en Avalution.


ENISA ha publicado el tercer número de 2007 de su "ENISA Quarterly Magazine".

El número está dedicado a Trusted Computing, a través de los siguientes artículos:

* An Airbag for the Operating: System ? A Pipedream?
* Devices that can be Trusted
* Can you Really Trust your Computer Today?
* Mitigation of Massive Cyber Attacks ? a report from the ENISA and CERT/CC Workshop
* Portugal Hosts the Third ENISA Awareness Raising Workshop
* Trusted Computing from a European Perspective ? The impact on the public sector
* IT Security Beyond Borders (Denmark)
* Co-operating to Protect Critical Information Infrastructures
* Supervision of the Swedish National Top-Level Domain, .se
* Social Networking and Politics: Loving Marriage or Bitter Divorce?

Puede descargarse gratuitamente aquí


El pasado 25 de Septiembre se publicó en el Boletín Oficial del Estado la ORDEN PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, que regula el marco de actuación y crea los organismos necesarios para poner los procesos de evaluación y certificación al alcance de la industria y de la Administración; todo ello basado en el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

El Centro Nacional de Inteligencia, a través del Centro Criptológico Nacional, es la máxima autoridad en España en esta materia.

El Reglamento es de interés, entre otros, para las entidades públicas o privadas que quieran ejercer de laboratorios de evaluación de la seguridad de las TI en el marco del Esquema y para los fabricantes de productos o sistemas de TI que quieran certificar la seguridad de dichos productos, también en el marco del Esquema. Todo ello, siempre que dichos productos o sistemas sean susceptibles de ser incluidos en el ámbito de actuación del Centro Criptológico Nacional.

Texto completo del reglamento aquí


Information Week publica un artículo en el que, a través de las respuestas en una entrevista a un cracker condenado a prisión en EEUU, analiza el problema de las contraseñas por defecto (las que configura el fabricante) que no son modificadas por los usuarios de los sistemas.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 132 páginas dedicado a cómo implantar continuidad de negocio a través de soluciones de almacenamiento.

La estructura de esta guía resulta muy atractiva porque va planteando los conceptos en un formato de pregunta y respuesta, es decir, al estilo de las FAQ. Los temas que trata, en el marco de las soluciones de almacenamiento, son los siguientes:

Topic 1: Securing Availability and Business Continuity
Topic 2: Maximizing Storage Resources and Solutions
Topic 3: Information Management
Topic 4: Cost Management
Topic 5: Compliance
Topic 6: Security
Topic 7: Aligning Storage to Serve Business

El documento, previa inscripción gratuita, puede descargarse de Realtime Nexus.


www.ISO27000.es ha tenido la oportunidad de entrevistar a Samuel Linares e Ignacio Paredes, autores de IS2ME (Information Security to the Medium Enterprise - Seguridad de la Información a la Mediana Empresa), metodología que surge como solución y aproximación para el camino a seguir hacia la implementación de la seguridad de la información en empresas cuyo modelo de seguridad aún no es maduro.

En la entrevista se recorren de forma resumida los puntos del método. Está disponible en nuestra sección de artículos y podcasts.

Samuel e Ignacio siguen activos en la difusión de su modelo. Recientemente, a la ya conocida versión en español, han añadido su traducción al inglés. Además, el número 13 de la revista Insecure, recién publicado, incluye un artículo sobre IS2ME.

Samuel es también autor del blog dedicado a seguridad de la información InfoSecMan.


BSI España tiene programados para el mes de Octubre en Madrid los siguientes cursos:

- ISO 27001 y LOPD. 10 de Octubre.
- Implantación de ISO 27001. 8 al 11 de Octubre.
- Lead auditor de ISO 27001. 15 al 19 de Octubre.
- BS 25999 - Plan de continuidad de negocio. 24 al 25 de Octubre.

Más información e inscripciones en www.bsi-spain.com.


El rápido desarrollo que han tenido dispositivos como memorias USB, iPods o PDAs ha puesto en manos de cualquier empleado herramientas baratas que facilitan enormemente la fuga de información de las empresas, sea de forma intencionada o accidental. ISO 27002 contempla estas cuestiones en su control 10.7.1 Gestión de soportes extraíbles.

Muchas organizaciones no son siquiera conscientes del peligro que corren y, buena parte de las que sí lo son, optan por bloquear totalmente el acceso de tales dispositivos a los ordenadores de sus redes, perdiendo así las posibilidades de aumento de la productividad que también aportan estas herramientas.

Sin embargo, en el mercado existen sistemas que facilitan la gestión de los dispositivos externos que se conectan a los equipos informáticos de la empresa. En general, estos sistemas ofrecen un control centralizado del acceso de los dispositivos (sólo aquellos que estén registrados serán reconocidos por el PC del usuario, independientemente del tipo de conexión -USB, Bluetooth, WIFI, Firewire...-) y usuarios, dan la posibilidad de determinar niveles de acceso (lectura, escritura, etc.), encritptan de forma transparente toda la información que se copia, llevan un registro central de todos los ficheros que han entrado o salido de los dispositivos (implantando así un fuerte control disuasorio y permitiendo investigaciones posteriores de incumplimiento de políticas), se integran con sistemas como Microsoft Active Directory, permiten liberaciones puntuales de la política, etc.

Referencias útiles en este sentido son, por ejemplo, DeviceWall de Centennial, PointSec Protector de CheckPoint, Sanctuary Device Control de PatchLink -Lumension Security-, diversos productos de SafeBoot, DeviceLock de SmartLine, Endpoint Access Manager de ControlGuard, varios productos de Safend, varios productos de la empresa peruana Advanced Systems, Disknet Pro de Reflex Magnetics, DeviceShield de Layton Tec, etc.

CheckPoint ofrece 7 consejos de cómo implantar un plan de gestión de dispositivos de almacenamiento externos.


Infosec Writers publica este mes, entre otros, un documento editado hace unos años por el National Security Institute de EEUU, en el que se presenta una estrategia de concienciación en seguridad de la información para las empresas.

El documento, en inglés, de 18 páginas, hace un resumen de las principales tareas que debería llevar a cabo un responsable de concienciación. Puede descargarse aquí.


La empresa S21SEC organiza del 1 de Octubre al 21 de Diciembre de 2007 un curso online de Análisis de Seguridad de la Información. Los temas que tratará serán:

- Hacking ético
- Métodos preventivos y de defensa ante incidentes
- Auditoría de seguridad
- Malware, troyanos y aplicaciones maliciosas
- Búsqueda de evidencias en sistemas.

El curso, de 185 horas, tiene un coste de 2.700 euros y forma parte, junto a otros dos cursos que se impartirán en 2008, del Máster Online en Gestión de la Seguridad de la Información.

Más información en S21SEC.


El Jueves 27 de Septiembre de 2007, se celebrará en Madrid una nueva edición de las Conferencias de Seguridad FIST. El evento tendrá lugar gracias al patrocinio de S21Sec y a la colaboración de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información.

Programa:
18:00 - Presentación (Justo Carracedo, UPM)
18:10 - Events Logging Markup Language (Vicente Aceituno, ISM3 Consortium)
19:10 - Ocultación de información mediante métodos esteganográficos (Miguel Saiz, SIA)
20:00 - Descanso
20:10 - WiFiSlax 3.1 (Sergio González)
21:00 - Cierre

Más información e inscripciones en conferencias FIST.


ISO27k implementers? forum es una iniciativa de Gary Hinson, conocido experto en seguridad neozelandés, al cual referenciamos frecuentemente, promotor a través de su empresa IsecT Ltd. de otras webs como www.iso27001security.com (información general sobre la serie ISO 27000) y www.noticebored.com (servicios profesionales de concienciación en seguridad para empresas), o un manual de políticas de seguridad.

En esta ocasión, el mencionado foro ha publicado recientemente una checklist de cuáles podrían ser los documentos que formasen parte de un SGSI: los generales exigidos por ISO 27001, políticas de seguridad, procedimientos, estándares técnicos, directrices y consejos de seguridad, descripciones de puestos de trabajo, componentes operativos del sistema, registros, etc.

Esta checklist está abierta a sugerencias y cambios y será completada en una segunda fase con ejemplos de los documentos.

La lista, en inglés y publicada bajo licencia Creative Commons, está disponible gratuitamente online, como Google doc, .pdf y .rtf.


Como ya adelantamos hace unas semanas, el próximo 20 de noviembre se celebrará en el Palacio Municipal de Exposiciones y Congresos de Madrid la II Jornada Internacional del ISMS Forum Spain.

A la misma a confirmado su participación Bruce Schneier, autor de "Beyond Fear" y uno de los máximos expertos mundiales del sector.

En nombre del ISMS Forum, ISO27000.es realizará una entrevista a Bruce Schneier para publicarla en formato podcast. Para hacer esta entrevista más útil a todos los interesados, animamos a todo aquel que lo desee a hacernos llegar preguntas que le gustaría que se le planteasen a Bruce.

Háganos llegar sus propuestas a consultas arroba iso27000.es


El Ministerio de Defensa de Australia publica y actualiza regularmente desde hace unos años un manual de seguridad de la información y las comunicaciones, conocido por el nombre de ACSI 33.

El manual, un documento en inglés de 257 páginas, está concebido para ayudar a los distintos organismos públicos australianos a gestionar la seguridad de sus TIC, aunque es perfectamente aplicable a cualquier tipo de organización.

De forma estructurada y metódica, se van recorriendo los tradicionales temas de identificación de activos y riesgos, evaluación y tratamiento de los riesgos, controles técnicos y organizativos, concienciación del personal, gestión de incidentes de seguridad, continuidad de negocio, proceso de revisión, etc.

El documento está disponible en dsd.gov.au.


Consulte nuestra sección de Eventos para informarse sobre cursos y seminarios que tendrán lugar en el último trimestre del año.

Podrá encontrar cursos y seminarios de implantación de SGSIs, auditoría de ISO 27001, gestión de continuidad de negocio, ISO 20000, protección de datos personales, análisis y gestión de riesgos, preparación de certificación CISSP, CobiT, COSO, Sarbanes-Oxley, etc., en España, Argentina, México, Chile, Colombia, Venezuela, Perú, Uruguay, Costa Rica, Ecuador, Paraguay, Honduras, EEUU y Reino Unido.


El Gobierno de Canadá, a través de su Centro de Seguridad de las Telecomunicaciones, muestra el aspecto y contenido que puede tener un programa de formación de introducción a la seguridad de la información para técnicos de TI.

Un programa de este tipo formaría parte del más general de formación y concienciación que deberían recibir todos los empleados dentro del alcance de un SGSI, en este caso dirigido al grupo objetivo de técnicos.

Disponible en inglés y en francés.


Gary Hinson actualiza regularmente un documento en NoticeBored en el que incluye opiniones de expertos, casos reales, consejos, referencias, etc., relativos a la necesidad que tienen las organizaciones de implantar planes de concienciación en seguridad de la información para sus empleados.

Disponible en NoticeBored.


El "ISO 9001 Auditing Practices Group", promovido por el ISO Technical Committee 176 Quality Management and Quality Assurance (ISO/TC 176) y el International Accreditation Forum (IAF), tiene publicadas una serie de documentos de buenas prácticas de auditoría.

Aunque están orientados a la auditoría de ISO 9001, bastantes de los documentos son aplicables en la auditoría de cualquier norma ISO de gestión, por lo tanto, también a ISO 27001. Contienen consejos muy útiles, no sólo para auditores, sino también para consultores o responsables internos que quieran conocer detalles sobre el desarrollo de una auditoría o las interpretaciones que pueden darse a distintos aspectos.

Los documentos originales en inglés están disponibles en isotc.iso.org.

El Instituto Latinoamericano de la Calidad ha realizado traducciones al español de la mayoría de los documentos y las ha puesto a disposición pública en su web.


El Banco Mundial tiene a disposición pública desde 2003 un manual de seguridad de las tecnologías de la información, pensado para su uso en países en vías de desarrollo.

Este manual cubre, a lo largo de 389 páginas, temas como seguridad para el usuario individual, seguridad para organizaciones, políticas de seguridad de la información y seguridad TI para administradores de sistemas.

El manual, en inglés, está disponible en infodev-security.net.


Antonio Valle ofrece en su blog consejos muy útiles a quien esté preparando el examen de ITIL Service Manager (Manager's Certificate in IT Service Management).


La entidad de certificación SGS celebrará el próximo martes 18 de Septiembre, de 18:00 a 20:00, en Cra 14 No. 86A-86, Bogotá (Colombia), las conferencias:

"BS 25999: Gestión de la Continuidad de Negocio y los nuevos profesionales TI."
En esta ponencia de una hora de duración, se destacan los hitos fundamentales para la implantación del sistema y se exploran los cambios que introduce la norma BS 25999 en las actividades de los profesionales TI y en la propia organización.

"Norma ISO 27001 y Certificación Parcial de acuerdo al Esquema SERVICERT".
En esta charla de una hora de duración, se explicará el funcionamiento del Esquema Servicert para certificación parcial de ISO 27001 y cuáles son sus ventajas ante el mercado.

La capacidad máxima del aforo es reducida. Los interesados pueden realizar la inscripción por e-mail (diana.ocampo@sgs.com) o por teléfono (6069292 - ext. 1800).


Como indica Javier Cao Avellaneda en su blog:

"Por empezar fuerte el curso hoy quiero compartir un enlace de gran interés para los dedicados al mundillo de la gestión de la seguridad en torno a la norma ISO 27001.

Dentro de mis protocolos de seguimiento de las normas 27001, 27002 y las publicaciones o comentarios en torno a ella utilizando las alertas de Google, hoy quiero compartir un par de enlaces que proporciona en un documento PDF una traducción no ofical al castellano de las normas ISO 27001 e ISO 27002.

Aunque los enlaces no aparecen refereciados en ninguna página principal de esta Web, Google la enlaza al buscar sobre controles de la ISO 27002.

Dado que puede ser de interés para el público hispanohablante disponer de una versión en nuestro idioma, comparto la url que Google proporciona, por si es del interés de todos. Ambos documentos aclaran que su uso es autorizado sólo para fines didácticos, objetivo que comparte también este blog."

Las urls donde se encuentran son:

Enlace descarga PDF traducción libre ISO 27001

Enlace descarga PDF traducción libre ISO 27002


El creciente número de usuarios móviles exige enfrentar los retos de seguridad derivados del uso de smartphones, PDA y handhelds.

Carolina Milanesi, analista de investigación de terminales móviles de Gartner, explica que en 2007 se esperan nuevas tecnologías disponibles, así como la entrada de más jugadores al mercado. “Esperamos ?asevera-- que las ventas de teléfonos celulares se incrementen a 1,200 millones de unidades a nivel mundial?.

Para Alvio Barrios, presidente y director para la región del Caribe y América Latina de Nortel, “en los próximos quince años va a haber más de un trillón de conexiones; de elementos conectados a la red?. Hoy en día, por cada Palm Treo o BlackBerry existen entre cinco o seis conexiones adicionales. “La expectativa es que para 2010, probablemente, va a haber diez por cada usuario?.

La avalancha de dispositivos móviles --cada vez más inteligentes, poderosos y sofisticados-- coloca a las empresas ante riesgos de seguridad nada despreciables. A la par del trabajo a distancia, el intercambio de documentos, la colaboración en tiempo real y las conferencias por Internet, las tecnologías inalámbricas detonan amenazas para los negocios.

Gustavo Solís, miembro de ISACA (Information Systems Audit and Control Association) y experto en seguridad, comenta: “El concepto de riesgo siempre está asociado con los activos o intereses de una organización. Por lo tanto, el riesgo es tan grande como el posible acceso a tales recursos?.

En su opinión, la tecnología es un generador de valor para las empresas, pero también de riesgos. No puede simplemente prohibirse su uso, pues los competidores podrían ponerse un paso adelante. El punto entonces se resume en saber administrar el riesgo.

Su consejo es puntual: “después de hacer un análisis del negocio se puede adoptar un marco de control y seguridad como es COBIT, y a partir de ahí comenzar a implementar los mecanismos y prácticas de protección alineadas con los objetivos de la organización?.

A los usuarios finales Solís les encomienda la opción de utilizar siempre contraseñas y encriptación, pero, sobre todo, tomar mayor conciencia sobre la importancia intrínseca de la información contenida en el dispositivo.

Si el aparato es un elemento de trabajo, es necesario conocer las políticas de seguridad de la organización para asegurar que no se incurre en violaciones.

Pero como esta responsabilidad es compartida, agrega que las empresas deben, periódicamente, realizarse auditorías para verificar si el usuario hace un uso apropiado de los equipos, dentro de la compañía.

Extractos del articulo de Hugo Sandoval para bsecure


Se celebrará los días 8 y 9 de Noviembre en Barcelona, con entrada libre previo registro y los casos seleccionados cubren 5 paises europeos:

# Germany - Insurance Sector: Bundesamt für Sicherheit in der Informationstechnik (BSI), HiSolutions AG and presentation by a small organisation from the insurance sector.

# United Kingdom - Security in retail supply chain sector: Presentation of ISO 17799, presentation of a retailer and one/two SMEs participating in supply chain.

# France - Manufacturing: Direction centrale de la sécurité des systèmes d'information (DCSSI), EBIOS Club and presentation by an end-user from the manufacturing sector.

# Spain - Financial sector: Spanish NSA, presentation from one multiplier and a SME from the financial sector.

# Austria - Regulation: Bundeskanzleramt Österreich, presentation by the Chamber of Commerce and presentation by a SME

En la segunda parte del evento un panel de expertos de distintos países, asociaciaciones y representantes de la industria europeos mantendran una discusión sobre los resultados y conclusiones de los casos presentados para cada país.

Se discutirán en particular los desafíos de la gerstión y evaluación del riesgo en el sector Pyme.

El aforo reservado es para aprox. 200 personas y la entrada es gratuita (Hotel y viaje debe ser cubierto por los asistentes a nivel particular)

Evento e Inscripciones ENISA


La Convención sobre la Continuidad de Negocio tendrá lugar por primera vez en España y promete ser el evento que juntará los profesionales de la península ibérica con más experiencia en materia de gestión de la continuidad. Las conferencias y mesas redondas ofrecerán una serie de conocimientos y una visión de expertos sobre los asuntos que impulsan la continuidad de negocio en España y Portugal e incluso a nivel mundial.

La Convención va dirigida a cualquier responsable de la continuidad de negocio en su organización así como a los profesionales de la gestión de riesgos que cubren todos los aspectos relacionadas con tecnología, gestión, riesgos, normas y cuestiones legales.

La Convención se inicia el jueves 18 de Octubre a las 15:30 y adopta un atractivo formato que combina el programa del evento con el fin de semana, en que se podrá disfrutar del golf, tennis, piscina y otras actividades, que se definirán en breve

Precio para los asistentes (profesional y acompañante): habitación doble, conferencias y pensión completa durante 4 días ( 3 noches) = 1590 €, IVA incluido (Transporte no esta incluido), (descuento del 10% al reservar la plaza antes del 15 de Septiembre)

Noticia BCI Spain

Evento e Inscripciones Pre-programa


Del 24 al 28 de Septiembre la entidad de certificación SGS celebrará el curso IRCA de Lead Auditor en Sistemas de Gestión de Servicios TI en Bogotá, Colombia.

El programa IRCA (International Register of Certificated Auditors) de este novedoso curso para auditores SGSTI ha sido desarrollado en asociación con la Japan Information Processing Development Corporation (JIPDEC) y el ITSMF UK, como respuesta a la demanda de auditores competentes en sistemas de gestión de servicios TI.

El curso permite la obtención del titulo de "Auditor Jefe en ISO 20000" expedido por el IRCA a aquellos alumnos que asistan al curso y que superen el examen final, recibiendo un título de reconocido prestigio internacional.

Información y contacto SGS Formación Colombia.

Cursos y fechas en España para IRCA ISO 27001 e ISO 20000 disponibles en Minisite SGS.

Consulte nuestra sección de Eventos


La agencia de seguridad europea ENISA (European Network and Information Security Agency) contribuye con este documento publicado recientemente y disponible por el momento únicamente en inglés sobre la concienciación corporativa en seguridad.

24 páginas que merecen la pena ser leidas si es usted responsable de la concienciación en seguridad dentro de su organización.

Descarga PDF desde ENISA


Una auditoría sobre el servidor de la aseguradora permitió concluir que la empleada en cuestión "estableció un intercambio de correo electrónico con personal de la firma Afianzadora", que también opera en el mercado de los seguros. Los jueces entendieron que ese comportamiento "evidencia precisamente la falta de conducta imputada a la dependiente".

La mujer, que trabajaba para una aseguradora, enviaba correos electrónicos con datos sobre operaciones, valores y clientes a una compañía competidora.

"Al haber remitido información respecto de las operaciones, valores y demás datos de clientes... a otra (sindicada como competidora)... la actora incurrió en una conducta injuriante y contraria a lo que se espera de un dependiente, quien debe cumplir con los deberes de lealtad y reserva impuesto por la ley".

En su defensa, la mujer argumentó que la información que probaba su conducta incorrecta se había obtenido violando su correo electrónico. Sin embargo, los jueces avalaron el procedimiento para detectar esos mails que probaban la deslealtad, porque se había tratado de "una inspección limitada prudentemente a verificar las comunicaciones dirigidas por parte de la trabajadora a otra empresa competidora".

Noticia comentada en seguinfo.blogspot.


Un episodio de fuga de datos que se conoció hace unos meses ha provocado hoy el registro de un destructor y de los hogares de varios oficiales japoneses.

Al parecer, durante un intercambio de ficheros pornográficos, datos confidenciales relativos al sistema de misiles Aegis, el interceptor Missile-3 y el satélite de reconocimiento Link 16 fueron a parar al ordenador de un oficial no autorizado...

El incidente no puede llegar en peor momento, ya que los japoneses intentan obtener información técnica de las autoridades norteamericanas acerca del caza F22A Raptor, de cara a decidir su compra.

Según ComputerWorld, en las instituciones gubernamentales y militares japonesas se ejecuta mucho software P2P en ordenadores oficiales, con los virus campando a sus anchas y la documentación oficial aterrizando en la Web.

Noticia comentada en Kriptopolis.


Las credenciales de acceso a 100 cuentas de E-mail de las instituciones internacionales del gobierno se han publicado en Internet. Una entrada de un blog escrita bajo pseudónimo DEranged contiene nombres de las instituciones, de las direcciones del IP de los servidores POP3, los nombres de usuario y contraseñas. El objeto de la lista son sobre todo embajadas y consulados. Según el autor del mensaje, está utilizando esta medida drástica para forzar a los responsables a proteger el acceso cuanto antes. Sus comentarios contienen insinuaciones que sugieren que los datos del acceso se conocen ya desde hace bastante tiempo. No se da ningun detalle sobre su origen, aunque en"about" de la página del blog, se recoge a un sueco, Dan Egerstad como el dueño responsable del blog. Noticia comentada en Heise.


El NIST (National Institute of Standards and Technology) ha lanzado una guía de 128 páginas como ayuda a las organizaciones para comprender los desafíos en seguridad de los servicios Web en arquitecturas orientadas al servicio.

La publicación especial 800-95 de NIST, "guía de los servicios Web seguros" proporciona líneas prácticas en los actuales y emergentes estándares aplicables a los servicios Web, además de, información de fondo sobre las amenazas más comunes de la seguridad a SOAs basados en servicios Web. Las pautas indicadas son independientes del hardware y del software y no incluyen a los dispositivos de seguridad de perímetro tales como cortafuegos o herramientas de control de acceso.

Descarga gratuita de la norma en PDF en nist.gov.


Puesta al día del artículo de Anton Chuvakin "cinco errores en la gestión de Logs" que cubre las equivocaciones típicas en que las organizaciones incurren en la gestión de logs y otros registros originados por componentes de la infraestructura TI.

Descarga PDF desde Infosecwriters


NSI (National Security Institute) contribuye con este documento que trata la concienciación interna en seguridad, que la dirección la compre, ir más allá de políticas, construcción de un comportamiento que se base en un modelo, entre otros.

18 páginas que merecen la pena ser leidas si es usted responsable de la concienciación en seguridad dentro de su organización.

Descarga PDF desde Infosecwriters


Agosto cierra con 3.653 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo, en ISO 27001 son concretamente 2.323 en total.

Encabeza la lista, como desde hace años, Japón, con 2.280 certificaciones, le sigue el Reino Unido con 352 y la India con 305.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México y España: 12.
Argentina, 3.
Colombia,2
Perú 1
Uruguay, 1.

Esta información puede consultarse en International Register of ISMS Certificates.


Cerca de 4.500 copias del borrador del estándar BS 25999-2 fueron descargadas durante el periodo de consulta pública y se han realizado aproximadamente 2.000 comentarios sobre el texto. El comité responsable del desarrollo del estándar inicia ahora la revisión de estos comentarios por lo que la nueva fecha planificada para la publicación de la norma BS 25999-2 es ahora Octubre/Noviembre.

Interesados en la norma pueden registrarse en Registro BS 25999.


Javier Cao Avellaneda envía a iso27000.es una interesante información disponible en la Web de la empresa Firma-e respecto a una metodología para implantar la correcta gestión de los datos de carácter personales.

Como un enfoque intermedio para lograr la certificación ISO 27001 sobre el tratamiento, en esta metodología han invertido casi un año en lograr un diseño de procesos robusto que cumpla con los requisitos legales relacionados con los principios de protección de la ley (calidad de los datos, deber de informar, consentimiento, seguridad, intercambios con terceros) para posteriormente poder plantear la implantación de un SGSI que garantice también la seguridad de la información.

La presentación de libre descarga aporta estadísticas que han ido realizando respecto a las sanciones. Para empresas la casuística es más por no resolver las cuestiones legales aunque para la Administración Pública son por no garantizar la seguridad de la información.

La metodología deja libre una posible opción de construir un sistema de gestión basado en la 9001 pero para el tratamiento de los datos de carácter personal.

Enlace relacionado en FIRMA-E

Presentación metodología PDF (10Mb) FIRMA-E


Del 17 al 21 de Septiembre la entidad de certificación SGS celebrará el curso IRCA de Lead Auditor en Sistemas de Gestión de Seguridad de la Información en Bogotá, Colombia.

El programa IRCA (International Register of Certificated Auditors) de este curso para Auditor Líder ISO 27001 ha sido desarrollado conjuntamente con Ted Humphreys (Director de Xisec y considerado el padre de las normas ISO 27001 e ISO 17799), como respuesta a la demanda de auditores competentes en sistemas de gestión de seguridad en la información (SGSI).

El curso permite la obtención del titulo de "Auditor Jefe en ISO 27001" expedido por el IRCA a aquellos alumnos que asistan al curso y que superen el examen final, recibiendo un título de reconocido prestigio internacional.

Información y contacto SGS Formación Colombia.

Cursos y fechas en España para IRCA ISO 27001 e ISO 20000 disponibles en Minisite SGS.

Consulte nuestra sección de Eventos


El fondo de capital de riesgo estadounidense Carlyle se ha impuesto al grupo inversor francés Eurazeo y ha formalizado hoy la compra de Applus+, filial de inspección y certificación del grupo Agbar, por 1.480 millones, en la mayor operación del sector de lo que va de año en España.

Carlyle ha pujado por Applus+, grupo participado por Agbar (53,1%), Unión Fenosa (25%) y Caja Madrid (21,9%), a través de un consorcio en el que están presentes Caixa Catalunya, el Real Automóvil Club de Cataluña (RACC) y otras cuatro cajas de ahorro catalanas -Tarragona, Sabadell, Manresa y Terrassa-, con un paquete en su conjunto próximo al 25%.

Noticia completa El País


Si bien las presentaciones realizadas este año aún no se encuentran en la web oficial, las mismas pueden descargarse desde: presentaciones Black Hat 2007. El servicio puede ser intermitente así que sea paciente.

Referencia del Programa en programa Black Hat 2007

Fuente de la Noticia Seguinfo.blogspot.com


Presuntamente Sensible
30/August/2007
El departamento de defensa aplica la política de encriptar todos los dispositivos móviles.

Este verano comenzó a requerir a su personal cifrar prácticamente todos los datos almacenados en los PC portátiles y asistentes digitales personales (PDA) o dispositivos de almacenaje de información o CDs.

Los responsables de poner la directiva en práctica tendrán que generar un informe a la oficina del CIO antes del 31 de Diciembre, con el detalle del progreso en el cumplimiento de la política.

La nueva política, declarada en una nota de julio por el CIO John Grimes, requiere el cifrado de todos los datos considerados sensibles bajo la nueva definición de la agencia si los datos están en un dispositivo que sea fácilmente transportable.

Noticia completa en GCN


Según informa hoy Der Spiegel, el primer ministro chino considera una "especulación irresponsable" afirmar que la reciente intrusión de origen chino en ordenadores del gobierno alemán fuera controlada por su gobierno y afirma que colaborará con Alemania en la resolución del incidente.

El asunto fue revelado por la revista Der Spiegel, remontándose a Mayo la detección del primer troyano. Al parecer, expertos en seguridad interrumpieron la transmisión de un fichero de unos 160 GB desde un ministerio alemán a China, pero se ignora si otros ficheros han podido ser robados. Funcionarios alemanes sospechan que los intrusos estarían dirigidos por el Ejército de Liberación Popular y que utilizaban redirecciones a Corea del Sur para ocultar su origen.

Según Der Spiegel, los troyanos llegaron ocultos en ficheros de Microsoft Word y Microsoft PowerPoint, e infectaron las instalaciones informáticas al ser abiertos.

Entre los ordenadores infectados estarían los de los ministerios de Economía, Exteriores e Investigación y Desarrollo, así como la Cancillería de la propia primer ministro, Angela Merkel.

Noticia comentada en Kriptopolis

Fuente en Der Spiegel


El gobierno uruguayo enviará al Parlamento un proyecto de ley de protección de datos o de "libertad informática", considerado la "columna vertebral" de la futura Agencia del Gobierno Electrónico, anunció el director de la Oficina de Planeamiento y Presupuesto (OPP), Enrique Rubio.

El proyecto fue acordado en el Consejo de Ministros, y "moderniza y coloca a Uruguay a la altura de los desafíos que hay en la actualidad en materia de comercio electrónico y de privacidad en el manejo de datos".

Rubio explicó que se procurará proteger "los datos relativos a la salud de las personas en el intercambio entre las bases de datos, el manejo de datos comerciales y en general dar protección al derecho de las personas a saber qué información tiene el Estado sobre su situación personal".

Además, dijo que en la primera quincena de septiembre el gobierno lanzará la Agencia del Gobierno Electrónico, iniciativa que acaba de quedar firme en el Parlamento en cuanto a su estructura, porque fue enviado el proyecto a la Asamblea General y ya pasó el plazo para estudiar las diferencias entre lo aprobado por el Senado y lo que votó la Cámara de Representantes.

Noticia completa disponible en Alfa-Redi


El Web site de empleo Monster.com que sufrió un enorme ataque de malware esta semana, esperó cinco días antes de informar a sus usuarios que sus datos personales habían sido hackeados, según ha revelado un ejecutivo de la compañía.

Patrick Manzo, vice presidente de cumplimento y prevención del fraude de la firma con base en Nueva York, dijo a la agencia de noticias Reuters que la compañía supo primero del ataque el 17 de agosto, cuando los expertos de la seguridad en Symantec les comunicaron la fuga de los datos.

Monster.com fijó posteriormente un aviso en su Web site el 22 de agosto para informar a los clientes del incidente.

Los investigadores detectaron el Trojano, llamado Infostealer.Monstres, que tuvo acceso a 1.6 millones de entradas de la información personal que pertenecían a varios cientos de miles de personas, residentes principalmente en los E.E.U.U., del sitio de registro en línea.

Monster.com también ha revelado que ha cerrado el servidor que fue utilizado para almacenar la información comprometida.

Calum Macleod, director europeo de Cyber-Ark, cree que las cosas podrían ir a peor para Monster.com, pues los hackers podrían utilizar los detalles personales para cometer robos criminales por hurto de la identidad, que podrían conducir a pleitos contra la compañía.

"Mediante el cifrado de los detalles, incluso cuando los atacantes tuvieran éxito en descargar los archivos, el hecho de haber sido protegidos hubiera hecho a los datos ilegibles y por lo tanto inutilizables," declaró.

Noticia completa disponible en SCMagazine


Los responsables TI de pequeñas y medianas empresas responsabilizan a los empleados de las brechas de seguridad en Internet, debido a que muchas compañías fallan en poner en práctica las políticas de uso.

El estudio, realizado por la firma de seguridad Websense, encontró a más de un cuarto de managers de PYMES europeas que creen que su personal es en última instancia el responsable de las brechas en seguridad.

Sin embargo, menos que la mitad (47 por ciento) del los encargados encuestados declaró el uso de software como filtro para proteger a la corporación y a sus empleados contra las amenazas on line.

Por otra parte, menos de un cuarto (23 por ciento) de PYMESs dispone de políticas en activo para el uso de Internet pero no las hace cumplir mediante la solicitud al personal de la firma de las reglas. Mas allá, un 16 por ciento admitió que no dispone de ninguna política de uso y que confía totalmente en sus trabajadores.

Inversamente, un tercio (32 por ciento) de los responsables calificó el comportamiento de los empleados como la causa principal de la frustración al intentar implantar y mantener la seguridad TI. Este tema no está en la agenda corporativa o sufre por las reducciones presupuestarias.

Casi un tercio (31 por ciento) de los empleados encuestados declaró que no podría hacer frente al trabajo sin poder tener acceso a Web, a pesar de ser altos riesgos en la seguridad, tales como el software peer-to-peer y sitios de descarga directa.

El estudio examinó 750 responsables TI y empleados a través de toda Europa, en países como Reino Unido, Alemania, Francia e Italia.

Noticia completa disponible en SCMagazine


ISO27k implementers? forum es una iniciativa de Gary Hinson, conocido experto en seguridad neozelandés, al cual referenciamos frecuentemente, promotor a través de su empresa IsecT Ltd. de otras webs como www.iso27001security.com (información general sobre la serie ISO 27000) y www.noticebored.com (servicios profesionales de concienciación en seguridad para empresas), o un manual de políticas de seguridad.

En esta ocasión, el mencionado foro ha publicado recientemente un documento que, de forma resumida, presenta consejos de implantación y diversas métricas aplicables para cada uno de los objetivos de control de ISO 27002 (antigua ISO 17799). En su mayor parte, métricas sencillas y claras que aportan ideas a este importante apartado de la norma (recordemos que la inclusión de sistemas de medición de la eficacia del SGSI fue la principal innovación en el paso de BS 7799-2 a ISO 27001 y que las referencias sobre esta materia son más bien escasas, a la espera de la publicación de ISO 27004).

El documento, en inglés y publicado bajo licencia Creative Commons, está disponible gratuitamente online, en formato PDF y formato RTF


El 21 y 22 de Agosto tendrá lugar en el Hotel Sheraton de Buenos Aires (Argentina) el XX Congreso Nacional de Informática y Comunicaciones, organizado por USUARIA (Asociación Argentina de Usuarios de la Informática y las Comunicaciones).

El congreso está focalizado en obtener respuestas a tres cuestiones:

¿Es necesaria una Agenda Digital para Argentina?
¿Quiénes deben participar en su desarrollo y con qué rol?
¿Qué tiene que contemplar la Agenda Digital Argentina?

Más información e inscripciones en: www.congresousuaria.org.ar


La Agencia Criptológica Nacional de Canadá tiene entre sus funciones la de la protección de la información y comunicación electrónica dentro del país.

Para ayudar a los distintos organismos de su Administración a gestionar correctamente la seguridad de su información, ponen a disposición pública varios documentos muy completos relacionados con la gestión de riesgos que, aunque están redactados hace ya unos años, siguen siendo vigentes como una buena visión de esta materia.

Estas guías son las siguientes:

Guía de gestión de riesgos de seguridad de sistemas de tecnologías de la información (MG-2): descargable en inglés y en francés.
Guía de evaluación de riesgos y selección de salvaguardas para sistemas de tecnologías de la información (MG-3): descargable en inglés y en francés.
Guía de certificación y acreditación de sistemas de tecnologías de la información (MG-4): descargable en inglés y en francés.

Los autores de las guías recomiendan el estudio de las tres, apoyado por otro documento publicado por la Policía de Canadá (este más resumido), que es otra guía de evaluación de amenazas y riesgos de tecnologías de la información: descargable en inglés y en francés.

Además, ponen a disposición otro manual de evaluación de amenazas y riesgos: descargable en inglés y en francés.

Todos estos documentos, redactados con gran claridad y rigor, pueden servir a cualquier organización, sea pública o privada, para definir su metodología de evaluación de riesgos, tal y como requiere ISO 27001.


SABSA (Sherwood Applied Business Security Architecture) es un modelo y una metodología para desarrollar arquitecturas de seguridad corporativas basadas en el riesgo y para proveer soluciones de infraestructura de seguridad que soporten actividades críticas de negocio. La principal característica del modelo SABSA es que todo debe derivar de un análisis de los requisitos de seguridad de la empresa, especialmente aquellos en los que la seguridad tiene una función facilitadora a través de la cual pueden desarrollarse y explotarse nuevas oportunidades de negocio.

SABSA es un modelo reconocido por su alto grado de madurez y aplicable sólo en organizaciones que cuentan ya con un desarrollo importante de la seguridad de la información y busquen un marco global de arquitectura de seguridad más orientado al negocio que a la tecnología.

La conocida experta en seguridad Shon Harris escribió hace unos meses un artículo en el que introduce SABSA y lo compara con ISO 17799 (actual ISO 27002).

Toda la información acerca de SABSA en www.sabsa-institute.org


El pasado mes de Julio, The Institute of Internal Auditors publicó el volumen número 8 de su serie GTAG (Global Technology Audit Guides), dedicado en esta ocasión a la auditoría de controles en aplicaciones.

La guía, como todas las que ha publicado el IIA, es un documento en inglés muy completo y riguroso pero, a la vez, práctico y conciso. Además de la parte más teórica sobre los controles en aplicaciones, incluye una lista de los controles más habituales, una propuesta de plan de auditoría y una checklist.

La guía puede descargarse gratuitamente de www.theiia.org.

Además, está disponible una presentación en PowerPoint sobre objetivos y contenidos de la guía.


El SANS Reading Room publica un interesante trabajo de Nithin Haridas, dedicado a la inclusión de la seguridad dentro del ciclo de vida de desarrollo de software (SDLC).

A lo largo de 27 páginas, el autor introduce al lector en los conceptos fundamentales de la seguridad en el desarrollo de software, para pasar a dar indicaciones de cómo llevar el proceso a la práctica. El documento se completa con algunos enlaces a temas relacionados.

Recordamos aquí también el excelente artículo publicado por Ismael Valenzuela en (IN)Secure, que versa sobre cómo integrar ISO 17799 en el ciclo SDLC. Este artículo está disponible en ISO27000.es.


IT Strategy Center publica un artículo de Linda McCarthy (en realidad, extraído de su libro "IT Security: Risking the Corporation"), en el que proporciona consejos a los directivos de las organizaciones sobre cómo abordar la seguridad de la información como un tema clave y cómo ser capaz de evaluar si se le está dando la debida importancia.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 82 páginas dedicado a la gestión de redes para pequeñas y medianas empresas.

El libro se estructura en cuatro capítulos:

Chapter 1: FCAPS, Network Management Fundamentals, and Fault Management
Chapter 2: Performance Management
Chapter 3: Configuration Management and Security
Chapter 4: Network Troubleshooting and Diagnostics

El documento, previa inscripción gratuita, puede descargarse de Realtime Nexus.


El pasado 23 de Julio finalizó el plazo de transición de certificados de BS 7799-2 a ISO 27001, tal y como indicaba el comunicado TPS 55 publicado en su día por UKAS (la entidad de acreditación del Reino Unido).

Es decir, a menos que se especifique algo distinto en la revisión de este documento prevista para el 31 de Agosto, los certificados en BS 7799-2 ya no son válidos desde el 23 de Julio.

Aplicando esto a las organizaciones registradas como certificadas en el International Register of ISMS Certificates, la cifra de 3.781 a nivel mundial pasaría a 2.026.


@rroba, la revista española más veterana de Internet y seguridad informática dedica en su número 119 un artículo de Andrés Méndez y Manuel Bareliola sobre la familia ISO 27000 y los sistemas de gestión.

El equipo de ISO27000.es quiere agradecer a @arroba la selección de los contenidos de nuestra página dentro de su espacio "Website del mes" y aprovechamos para extender nuestro agradecimiento a todas las personas que se han brindado libremente desde 2005 a participar en la difusión de la norma aportando sus expertos comentarios en forma de podcast, aportación de artículos y comunicación de eventos, entre otros.

Enlace a la página principal de arroba


Adelantamos que el próximo 20 de noviembre se celebrará en el Palacio Municipal de Exposiciones y Congresos de Madrid la II Jornada Internacional de ISMS Forum Spain.

Bruce Schneier, autor de "Beyond Fear" y uno de los máximos expertos mundiales del sector, ya ha confirmado su participación.

En esta ocasión las ponencias prestarán especial atención, además, a la importancia estratégica de la seguridad de la información en el buen gobierno corporativo. Reserve ya en su agenda el 20 de noviembre, una cita importante para todos los profesionales de la seguridad de la información.

El programa y el formulario de inscripción (gratuita para socios) estarán disponibles en septiembre. Recomendamos la reserva anticipada para garantizar la plazas de asistencia.

Noticia ISMS Forum Spain


Con una duracion de 3 días (del 17 al 19 de Septiembre) la entidad de certificación SGS celebrará su primer curso de implantacion SGSI de caracter eminentemente práctico y utlizando como referencia un esqueleto documental que cubre todos los aspectos de la norma.

Por otra parte, del 15 al 19 de Octubre la entidad de certificación SGS celebrará el próximo curso IRCA de Lead Auditor en Sistemas de Gestión de Seguridad de la Información en Madrid .

El programa IRCA (International Register of Certificated Auditors) de este curso para Auditor Líder ISO 27001 ha sido desarrollado conjuntamente con Ted Humphreys (Director de Xisec y considerado el padre de las normas ISO 27001 e ISO 17799), como respuesta a la demanda de auditores competentes en sistemas de gestión de seguridad en la información (SGSI).

El curso permite la obtención del titulo de "Auditor Jefe en ISO 27001" expedido por el IRCA a aquellos alumnos que asistan al curso y que superen el examen final, recibiendo un título de reconocido prestigio internacional.

Información y contacto para cursos IRCA ISO 27001 e ISO 20000 Minisite SGS.

Consulte nuestra sección de Eventos


La Convención sobre la Continuidad de Negocio tendrá lugar por primera vez en España y promete ser el evento que juntará los profesionales de la península ibérica con más experiencia en materia de gestión de la continuidad. Las conferencias y mesas redondas ofrecerán una serie de conocimientos y una visión de expertos sobre los asuntos que impulsan la continuidad de negocio en España y Portugal e incluso a nivel mundial.

La Convención va dirigida a cualquier responsable de la continuidad de negocio en su organización así como a los profesionales de la gestión de riesgos que cubren todos los aspectos relacionadas con tecnología, gestión, riesgos, normas y cuestiones legales.

La Convención se inicia el jueves 4 de Octubre a las 15:00 y adopta un atractivo formato que combina el programa del evento con el fin de semana, en que se podrá disfrutar del golf, tennis, piscina y otras actividades, que se definirán en breve

Precio para los asistentes (profesional y acompañante): habitación doble, conferencias y pensión completa durante 4 días ( 3 noches) = 1590 €, IVA incluido (Transporte no esta incluido), (descuento del 10% al reservar la plaza antes del 15 de agosto)

Noticia BCI Spain

Evento e Inscripciones Pre-programa


Este documento de Karen Watson presenta las aplicaciones del sistema del E-mail en una organización del sector sanitario, los desafíos de un sistema E-mail en estas organizaciones y las acciones preventivas necesarias para asegurar el sistema del E-mail en este sector sensible.

Descarga en PDF en infosecwriters


El CONGRESO ESPAÑOL DE INFORMÁTICA (CEDI) pretende servir de marco de encuentro para profesionales dedicados preferentemente a la investigación, desarrollo, innovación y enseñanza universitaria, dentro del ámbito de la ingeniería informática.

El CEDI se ha estructurado como un multi-congreso, una gran parte de los cuales se corresponden con Congresos, Jornadas o Encuentros que se vienen desarrollando periódicamente.

Prácticamente se cubren todos los campos en los que en la actualidad incide la informática, y dentro de cada uno de ellos se presentan, por medio de comunicaciones, los aspectos más innovadores, y con mayor proyección futura, siempre desde una perspectiva eminentemente universitaria y científica.

El CEDI también supone un medio para fomentar las relaciones e intercambios entre los distintos países iberoamericanos en un campo en continua expansión como es el de la informática, invitando muy especialmente a esta comunidad a participar en el evento.

La primera edición del congreso (CEDI?2005) se celebró en Granada, colaborando en su organización 15 asociaciones científicas del campo de las tecnologías de la información y de las comunicaciones, y en él se incluyeron 25 simposios, 9 talleres, 3 tutoriales, 23 conferencias invitadas y 8 mesas redondas.

El número de inscritos fue de 1.750 personas, procedentes de 16 naciones.

La presente edición (CEDI?2007) se celebrará en Zaragoza, y quedará integrada dentro de las actividades científicas organizadas alrededor de la Exposición Universal de Zaragoza que tendrá lugar en el 2008. La siguiente (tercera) edición del CEDI está previsto se celebre en el año 2010.

Enlace a evento en CEDI


BitDefender anuncia la inauguración de su nuevo foro en español, el que será un lugar de encuentro dentro de la comunidad BitDefender donde intercambiar opiniones e información.

El foro se divide en cuatro salas con diferentes temas de discusión: general, virus y malware, spam y phishing, y productos; apoyado siempre por el departamento de soporte técnico de BitDefender para contestar y ayudar ante cualquier duda o necesidad planteada.

Alojado y accesible en la web de la compañía, el foro ha sido creado como vía de comunicación interactiva sobre temas de seguridad.

Noticia publicada en Diario TI.

Enlace a Forum Bitdefender


"De todas las normas de la familia 27000, la de gestión de riesgos está siendo la más compleja de editar.

Por un lado, todos en mayor o menor medida tenemos una metodología de cabecera que preferimos frente a otras, lo que hace que todos los países quieran ver su punto de vista reconocido en la norma. Por otro, hay que recordar que esta norma pretende no establecer una metodología, lo que entra en colisión con lo que la gente espera de ella.

Por último, BSI no aportó la norma espejo de gestión de riesgos de su sistema 7799 a la norma internacional ISO, a diferencia de lo que hicieron con la 7799 parte 1 y 2 al convertirlas en las ISO 27001 y 27002, lo que ha ralentizado su progreso.

Así que, de igual manera que la ISO 27000, la reunión en Rusia centró el debate en la revisión del vocabulario y definiciones, y su engarce en las las distintas fuentes existentes (ISO GUIDE 73, ISO 27001, ISO 2700X, ISO 15489, etc.). La editora se vió en la obligación de recordar las normas de edición para aligerar la misma, a pesar de lo cual no consiguió progresar el documento a FDIS. Las normas son:

* No se aceptan nuevos conceptos y definiciones que puedan provocar cambios de concepto en el documento.
* No se incluirán nuevos términos que tengan que ser definidos.
* En caso de términos definidos por varias normas se priorizará la 27001 y 27002. Para el resto de definiciones se tomará la ISO Guide 73:2003
* En ningún caso se tomarán las definiciones del nuevo documento de trabajo ISO Guide 73 ni de la ISO 25700.
La norma tuvo 26 votos positivos, 4 abstenciones y 5 votos negativos (Australia, Japón, Noruega, Suiza y USA), con un total de 565 comentarios de los cuales 295 fueron editoriales y 270 técnicos y generales.

El documento pasó a 2nd FCD y se espera que progrese a FDIS en la reunión de Lucerna de principios de octubre.

Si todo sale como está previsto, la publicación podría producirse para principios del 2008."

Noticia extraida del Blog Paloma Llaneza


ISMS Forum Spain y el capítulo español de The Business Continuity Institute, BCI Spain, han firmado un acuerdo que prevé una estrecha colaboración entre ambas instituciones, cuyos objetivos y metas son claramente afines.

A partir de ahora, ambas organizaciones tendrán una presencia notable en los eventos y actividades que organicen y colaborarán mediante publicaciones conjuntas, elaboración de informes y coordinación de grupos de trabajo en la difusión de distintos aspectos de la seguridad de la información y la continuidad de negocio.

Este acuerdo se ha concretado ya en la presencia y colaboración de ISMS Forum Spain en la I Convención Ibérica sobre Continuidad de Negocio, organizada por BCI Spain, que se celebrará en Marbella del 4 al 7 de octubre.

Además, ISMS Forum Spain traducirá al castellano y editará The Good Practices Guidelines, guía elaborada por el Business Continuity Institute, que se presentará el próximo 20 de noviembre en Madrid, en el transcurso de la II Jornada Internacional de ISMS Forum Spain.

Además, los miembros de ISMS Forum Spain que deseen asociarse a BCI Spain obtendrán un descuento del 50 por ciento en la cuota de inscripción.

Noticia ISMS Forum Spain


Se ha colgado recientemente un video clip en YouTube que muestra a manifestantes sindicales examinando la basura que aguarda el exterior de varias sucursales del Chase Bank de Nueva York.

El vídeo muestra cómo pueden recolectarse fácilmente formularios de petición de préstamos y otros datos sensibles que son examinados por los partidarios del "Service Employees International Union". El clip ilustra nuevamente como unos niveles de seguridad bajos siguen siendo una amenaza constante.

Noticia recogida del ISO 27000 Newsletter.

Video disponible en YouTube


De cara al segundo semestre de 2007, hemos actualizado y ampliado nuestra sección de eventos con referencias a numerosos cursos relacionados con la seguridad de la información.

Podrá encontrar cursos y seminarios de implantación de SGSIs, auditoría de ISO 27001, gestión de continuidad de negocio, ISO 20000, protección de datos personales, análisis y gestión de riesgos, preparación de certificación CISSP, CobiT, COSO, Sarbanes-Oxley, etc., en España, Argentina, México, Chile, Colombia, Venezuela, Perú, Uruguay, Costa Rica, Ecuador, Paraguay, Honduras, EEUU y Reino Unido.

Consulte nuestra sección de Eventos


BSI (British Standards Institution) ha publicado en Julio la traducción al español de PAS 99:2006, que es una especificación de los requisitos comunes de los sistemas de gestión como marco para la integración.

PAS 99 pretende ayudar a las organizaciones integrar sus diversos sistemas de gestión (calidad, medioambiente, seguridad de la información, etc.) y poder así centrarse más en su negocio, conseguir un enfoque más holístico de la gestión de riesgos, reducir los conflictos entre sistemas, reducir duplicidades y burocracia y lograr mayor eficacia y eficiencia en las auditorías tanto internas como externas.

PAS 99 en español puede adquirirse online en www.bsi-global.com/PAS99Spanish


InfoSecurity, evento con empresas expositoras, workshops y conferencias relacionadas con la seguridad de la información, organizado en Iberoamérica por I-SEC, se celebrará durante el último cuatrimestre de 2007 en:

- Bogotá (Colombia), el 4 de Septiembre
- La Paz (Bolivia), el 13 de Septiembre
- San Juan (Puerto Rico), el 2 de Octubre
- Caracas (Venezuela), el 18 de Octubre
- Montevideo (Uruguay), el 31 de Octubre
- Santiago (Chile), el 2 de Noviembre
- Quito (Ecuador), el 20 de Noviembre

Más información e inscripciones en InfoSecurityOnline


La entidad de certificación Applus+ tiene programados varios cursos de implantación y auditoría de sistemas de gestión de seguridad de la información en Madrid y Barcelona para el último trimestre de 2007.

Más información en applusformacion


A principios de Junio tuvo lugar en Ciudad de México el congreso Seguridad en Cómputo 2007, con un completo programa de conferencias de seguridad de la información.

Las presentaciones en .pdf de cada una de las conferencias están ahora disponibles para su descarga individual o conjunta en forma de imagen de disco ISO.

Descarga en congreso.seguridad.unam.mx


USUARIA (Asociación Argentina de Usuarios de la Informática y las Comunicaciones) organiza en los próximos meses en Buenos Aires una serie de interesantes cursos que impartirá el conocido experto en seguridad de la información Carlos Ormella.

Los cursos y fechas son los siguientes:

1) ROSI - El ROI de la Seguridad Empresarial, el 16 de Agosto.
2) VPNS, Redes Privadas Virtuales, el 29 de Agosto.
3) Planificación de la Continuidad de los Negocios - Taller de Iniciación, el 6 de Septiembre.
4) Sarbanes-Oxley y Seguridad de la Información - Taller de Iniciación, el 27 de Septiembre.
5) ITIL y el Estándar ISO 20000, el 17 de Octubre.

Más información e inscripciones en USUARIA


Hasta el 29 de Septiembre está abierto el plazo de inscripción en un curso de preparación para la certificación CISSP que imparte la empresa Datasec, en Montevideo (Uruguay), de Octubre a Diciembre, los lunes y miércoles de 18:30 a 21:30 horas.

El examen de certificación tendrá lugar el 8 de Diciembre.

Más información e inscripciones en www.datasec-soft.com


NeoSecure tiene previstos los siguientes cursos para el segundo semestre de 2007 en Santiago (Chile):

Preparación a la Certificación CISSP de ISC2: 20 de Agosto al 3 de Septiembre.
Auditor Líder ISMS - ISO 27001: 22 al 26 de Octubre.
Implantación de ISMS - ISO 27001: 12 al 16 de Noviembre.

Más información e inscripciones en www.neosecure.cl


Del 9 al 12 de Octubre próximos tendrá lugar en Valparaíso (Chile) la décima edición de la "Information Security Conference", que cada año se celebra en un país (ha pasado por Brasil, Grecia, Reino Unido, EEUU, Japón, España, etc.).

Las ponencias cubren todo el espectro de temas relacionados con la seguridad de la información.

Más información e inscripciones en www.isc07.cl


En muchas organizaciones se emplean hojas de cálculo como sistemas de información en procesos críticos, por su flexibilidad, potencia y facilidad de uso.

Sin embargo, pocas son las organizaciones que evalúan los riesgos, estructuran, introducen controles, aseguran la trazabilidad, protegen o gestionan los cambios relacionados con la utilización de hojas de cálculo en dichos procesos, corriendo con ello riesgos no asumibles.

El IT Compliance Institute publica un artículo en el que se enumeran los 10 riesgos más importantes relacionados con el uso de hojas de cálculo y cómo reducirlos (exactamente, se refiere a conformidad con normas como SOX o Basilea II, pero el artículo es de aplicación general).

Está disponible en ITCi


La Asociación de Internautas comenta en su web la setencia de la Audiencia Nacional en la que ésta revoca una sanción que impuso hace dos años la Agencia Española de Protección de Datos a un empresario que utilizó los datos de contacto de 13 tarjetas de visita comerciales, intercambiadas en la feria SIMO, para realizar un envío de e-mails con ofertas de sus productos.

En la noticia, se destacan los párrafos principales de la sentencia.

Igualmente, el abogado experto en derecho informático Xavier Ribas destaca en su blog las conclusiones principales de la sentencia, que puede crear jurisprudencia sobre el uso que pueden dar las empresas a los datos obtenidos mediante intercambio de tarjetas de visita. Xavier incluye también el texto de la sentencia completa


Secunia, la empresa danesa especializada en investigación y gestión de vulnerabilidades, ha puesto a disposición del público la versión beta de su nuevo producto PSI (Personal Software Inspector).

Este software detecta en un PC todo el software instalado (es capaz de detectar más de 4.200 aplicaciones diferentes) y lo categoriza en función de que esté actualizado o no en cuanto a parches de seguridad. Si existe alguna actualización de seguridad, el programa lo avisa mediante una ventana emergente y proporciona el enlace para la descarga del parche. Todo esto lo realiza con la ayuda de una base de datos que mantiene Secunia, donde introduce continuamente las referencias a nuevas actualizaciones de seguridad.

Secunia PSI será gratuito para uso privado. Los usuarios corporativos deberán licenciarlo a través de Secunia Network Software Inspector.

Versión beta disponible aquí.


Samuel Linares destaca en su blog uno de los últimos documentos que se ha publicado en el SANS Information Security Reading Room.

Se trata de una guía de desarrollo de una política de seguridad de la información que, a lo largo de 41 páginas, describe los distintos aspectos que deben tenerse en cuenta durante todo el ciclo de vida de una política de este tipo.

El documento puede descargarse aquí


Build Security In vuelve a publicar un interesante artículo de 2005 de Cigital, dedicado al análisis de riesgos de arquitecturas de software.

Tras una breve introducción general a la evaluación de riesgos, pasa a analizar cada uno de los componentes y fases (activos, vulnerabilidades, amenazas, riesgos, impactos, valoración del riesgo, tratamiento del riesgo...) aplicados al ciclo de vida tradicional SLDC de creación de software.

Disponible en Build Security In.


Ya se ha publicado el número 12, correspondiente a Julio de 2007, de (IN)SECURE Magazine, con los siguientes artículos:

* Enterprise grade remote access
* Review: Centennial Software DeviceWall 4.6
* Solving the keylogger conundrum
* Interview with Jeremiah Grossman, CTO of WhiteHat Security
* The role of log management in operationalizing PCI compliance
* Windows security: how to act against common attack vectors
* Taking ownership of the Trusted Platform Module chip on Intel Macs
* Compliance, IT security and a clear conscience
* Key management for enterprise data encryption
* The menace within
* A closer look at the Cisco CCNP Video Mentor
* Network Access Control

Disponible en www.insecuremag.com.


La Federal Deposit Insurance Corporation de EEUU tiene publicadas desde 2004 unas recomendaciones sobre la evaluación y gestión de riesgos que deberían hacer las instituciones financieras (aunque son aplicables a cualquier organización) por el uso de aplicaciones de software libre o de código abierto.

Temas como compatibilidad, interoperabilidad, madurez, integración, soporte, coste total de propiedad, integridad del código, documentación, plan de contingencia, licencias, garantías, etc. deberían ser tratados en un análisis y tratamiento de riesgos específicos del uso de software libre en entornos empresariales.

Disponible en FDIC.


Del 27 al 29 de Agosto, tendrá lugar en el Hotel Intercontinental Miramar de Ciudad de Panamá, CICON 2007, la Conferencia Iberoamericana de Continuidad de Negocio.

En el evento, organizado por Strohl Systems Iberoamérica, se desarrollarán conferencias, exposición de casos de éxito, presentación de herramientas y talleres opcionales (días 29 y 30).

Más información e inscripciones en www.conferenciacicon.info.


www.continuitycentral.com sigue siendo una interesante referencia de continuidad de negocio.

Este portal ofrece al visitante gran cantidad de artículos, documentos, enlaces, noticias, cursos, etc. relacionados con continuidad de negocio y recuperación de desastres.


VMware tiene disponibles en su página web una serie de whitepapers que explican cómo implantar una arquitectura de sistemas, rápida de recuperar en caso de desastre, mediante virtualización.


ASIS International (antigua American Society for Industrial Security) es una asociación que agrupa a más de 35.000 profesionales de la seguridad en todo el mundo.

En su página web publica lo que llama Security Toolkit, una colección de casos de estudio, guías, informes y whitepapers relacionados con la seguridad en general. A pesar de no referirse específicamente a seguridad de la información, algunos de los documentos (como la Business Continuity Guideline, la Chief Security Officer Guideline o la General Security Risk Assessment Guideline) son aplicables también en esta área.


El ISP asturiano OBICE B2Bi ha sido incorporado a la red de sensores del Centro de Alerta Temprana Antivirus (CATA), mediante la firma de un acuerdo de colaboración con INTECO, Sociedad adscrita al Ministerio de Industria, Turismo y Comercio.

OBICE B2Bi pertenece al Grupo Sigea, dedicado a la consultoría en todos los aspectos relacionados con los sistemas de gestión de seguridad de la información y desarrollador del software de análisis y gestión de riesgos GxSGSI.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información y gestión de TI. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 281 páginas dedicado a la gestión de sistemas orientada a servicios, dando una visión general de todos los procesos implicados, con referencia a conocidos marcos como ITIL, CobiT o ISO 17799 (ahora ISO 27002).

El documento, previa inscripción gratuita, puede descargarse de Realtime Nexus.


ISACA tiene abierto el plazo de inscripción en los exámenes de CISA (Certified Information Systems Auditor) y CISM (Certified Information Security Manager) que tendrán lugar el 8 de Diciembre de 2007.

El plazo de inscripción llega hasta el 26 de Septiembre, con el 15 de Agosto como fecha límite de inscripción temprana (con derecho a descuento).

Más información en ISACA: CISA y CISM


En el CobiT Focus de Julio, ISACA anuncia que tiene en proceso de desarrollo una nueva acreditación profesional, en este caso de IT Governance, que se unirá a sus ya exitosas CISA y CISM.

Esta nueva certificación va dirigida a profesionales con experiencia en la gobernanza de las tecnologías de la información, en sus distintas facetas de evaluación, implementación o gestión de marcos de buen gobierno.

El marco que sirve de soporte a la certificación es CobiT 4.1, aunque se han utilizado también otras referencias en su desarrollo.

Está previsto que el primer examen de certificación tenga lugar en Diciembre de 2008. También se pondrá en marcha en breve un programa de exención de examen ("grandfathering program") para que profesionales con gran experiencia en IT Governance puedan acceder directamente a la acreditación.

Más información sobre la certificación y sus requisitos en ISACA


La corrección técnica publicada con fecha 01 de Julio implica únicamente la sustitución de la numeración “17799? por “27002? en el documento hasta esa fecha conocido como ISO/IEC 17799:2005.

Enlace a la nueva norma así como a la descarga gratuita de la corrección técnica que aquí anunciamos en ISO 27002:2005


27004 Medidas
18/July/2007
"Seguimos con la numeración de la Familia 27000 y los resultados de la reunión en el Volga.

La norma 27004 se está convirtiendo en una urgencia ya que resulta necesaria a todas aquellas entidades que, habiéndose certificado contra la BS 7799-2 (que no contiene la obligación de establecer métricas de eficacia de los controles) ahora van a tener que integrar un set de medidas para poder mantener la certificación (BSI ha establecido una equivalencia entre la BS 7799-2 que ahora es la ISO/IEC 27001 a todos los efectos)

La edición fue menos dura de lo que se anunciaba. A pesar del elevado número de comentarios recibidos, apreciamos un aumento de los editoriales y un descenso de los técnicos, lo que confirma el estado de madurez de la norma.

Por imperativo de las Directrices ISO, se dió preferencia a los comentarios de los países que emitieron un voto negativo, si bien se acogieron muchos otros provinientes de países con voto positivo.

Gracias a los comentarios japoneses, se clarificó definitivamente las diferencias entre proceso, programa y modelo, respetando la estructura documental de la norma que refleja el flujo del modelo y del programa.

Se espera conseguir un FCD (Final Committee Draft) para la reunión de Octubre en Lucerna.

Noticia de Blog Paloma Llaneza


"Vía el INTECO, aparece hoy publicada una guía sencilla de seguridad con los consejos básicos a tener en cuenta elaborada por el Gobierno de Aragón. Con solo 12 páginas, se describen los conceptos de seguridad que afectan a la protección de toda empresa.

La guía puede obtenerse en Guía de seguridad para empresas y autónomos

Quiero aprovechar para recordar que aquí en Murcia hemos realizado también algunas iniciativas al respecto en las que personalmente he podido participar.

Se ha elaborado por parte de Timur otra guía, orientada más a la gestión de la seguridad de la información, que apareció en marzo de este año donde intentamos concienciar a las empresas a los conceptos del marco normativo ISO 27001 e ISO 17799. El documento está accesible en Guía de seguridad de la información para pymes.

Además, se realizó un comic general de concienciación y una guía básica para usuarios y ciudadanos con un repaso a los conceptos básicos de protección y consejos respecto a la adquisición y protección de la informática doméstica. Guía de seguridad para ciudadanos."

Noticia completa extraida del Blog de Javier Cao Avellaneda


Andy Green pone a disposición este documento de referencia para la gestión de los dispositivos móviles en las empresas

Acceso al documento en PDF Infosecwriters


Dan Geer ha sido extremadamente generoso y ha dejado a disposición un curso de formación/presentación (350 diapositivas con notas para el ponente) sobre métricas en seguridad en base a la aplicación de las matemáticas a la seguridad de la información.

Explota ideas estadísticas y otras áreas de estudio en el contexto de la seguridad de la información, dejando al descubierto valiosas y creativas ideas.

Descarga gratuita del documento en geer.tinho.net

Lista de mail para posibles aportaciones al documento: discuss@securitymetrics.org


Un inspector de calidad de Boeing se enfrenta a 16 cargos por cargar datos en un pequeño dispositivo removible que sacaba de la empresa, actividad que ha realizado por un periodo de más de dos años.

Según la demanda criminal, la búsqueda efectuada en las computadoras del hogar de Eastman y en los dispositivos de almacenaje contenían más de 320.000 páginas de documentos "muy sensibles" y relacionadas con las operaciones de negocio de Boeing.

Boeing ha estimado en el informe de la detención que si, solamente, una porción de los documentos robados fuera dada a los competidores podría costar a la compañía entre 5 mil millones y 15 mil millones de dólares.

La demanda observa que Eastman declaró su insatisfacción con Boeing porque él había advertido varios asuntos relacionados con las inspecciones de piezas y a la atención tanto de la compañía como del FAA.

Dijo que no se habían tratado ninguna de sus advertencias según su satisfacción. El informe afirma que él recogió los datos para sostener sus advertencias sobre los problemas detectados en el proceso de la inspección.

Información completa en Informationweek


"Estimados Clientes y Colaboradores:

El Grupo NEXUS Consultores y Auditores, en su incansable búsqueda de mejora contínua, ha tomado la decisión de trasladar sus oficinas centrales en Málaga al Parque Tecnológico de Andalucía, donde encontramos la ubicación idónea para las actividades que desarrollamos. Para ello, incorporamos a dicho Grupo una nueva firma: ADENSIA Sistemas de Información, en la cual, se prestarán servicios alineados con la Seguridad de la Información y Nuevas Tecnologías.

Nos ponemos en contacto con Ustedes para comunicarles que, a partir del próximo día 1 de agosto de 2007, nos encontrarán en las nuevas instalaciones sitas en:

Edificio BIC EURONOVA
Avenida Juan López Peñalver, nº 21
Parque Tecnológico de Andalucía (PTA)
Campanillas (Málaga)

No obstante podrán seguir contactando con nosotros en el mismo número de teléfono (Tlf: 952 06 03 15).

Agradeciéndoles su atención, quedamos a su disposición para cualquier consulta que pueda afectar a su empresa con respecto al traslado, o sobre cualquier otro tema en particular.

Les saluda atentamente,

Violeta Benítez Torres
Grupo Nexus Consultores y Auditores
T. 952 06 03 15
F. 952 60 10 90
E. vbenitez@nexusasesores.com
W. www.nexusasesores.com


"Ayer miércoles he asistido al lanzamiento del Estudio Nacional de TI 2007, con la presencia del Presidente de ACTI , junto al representante en Chile de la Consultora Gartner, el profesor Marcos Sepúlveda de CETI UC lanzó el informe ENTI 2007. El informe que se entrega desde el año 2003 es un levantamiento que se hace a través de encuestas a los Gerentes de Informática CIO, correspondientes a las principales 500 empresas de Chile y una breve encuesta que se hace a los CEO Gerentes Generales de esas empresas."

"En este trabajo se presentan las tendencias principales que tiene el uso de la tecnología en Chile y el estado de inversión que se hace. La información analizada en el estudio pretende determinar cómo se utilizan las Ti en las grandes empresas del país, permitiendo a las compañías y proveedores compararse con su pares, y a su vez definir los lineamientos estratégicos para el futuro. Además, se dio a conocer un programa computacional que hace benchmarking en materia de comparación de uso de la tecnología por rubro de empresas, una interesante herramienta que se nutre de los datos que provee el ENTI."

Noticia recogida de Blog de Pumarino con estudio descargable en PDF desde Cetiuc.cl.


"La tecnología de la firma digital permite que las comunicaciones realizadas por computadoras (correo electrónico, redes digitales de datos, etc.) tengan validez legal en nuestro país, lo cual abre el camino para su implementación tanto a nivel privado como a nivel público. Lo que hay y lo que falta."

"Sin embargo, y respecto a la terminología utilizada para referirse al tema, nos parece oportuno señalar que, aunque la legislación argentina emplea el término "Firma Digital" en forma equivalente al término "Firma Electrónica Avanzada" que se utiliza en la Unión Europea, o "Firma Electrónica" empleado en otros países como Brasil o Chile, la realidad es que para el régimen vigente los términos "Firma Digital" y "Firma Electrónica" no poseen el mismo significado."

Artículo de José Luis Gonzalez en Segu-info.com.ar/.


La última version de FIPS 140-3 (Federal Information Processing Standard for cryptographic modules) ha sido liberada para comentario público por NIST (National Institute of Standards and Technology).

Comentarios al borrador, que será puesto a disposición online en nist.gov, hasta el 1 de Octubre.


A partir de Febrero, todos los departamentos y agencias Estadounidenses se supone que tendrán la misma configuración de seguridad.

Artículo completo en Informationweek.com


El Institute of Internal Auditors produce una serie de publicaciones como guías en tecnología de información. Orientadas sobre todo para CAE (Chief Audit Executive) y supervisores de auditoría, las guías toman en cuenta la preocupaciones de la dirección y órganos ejecutivos de las empresas.

El objetivo de última publicación es explicar:
- Qué son los controles de la aplicaciones y sus beneficios
- Cómo realizar una evaluación de riesgos
- El alcance de revisión de los controles
- Formas de revisión de las aplicaciones y otras consideraciones
- Controles habituales, sugerencias de tests y un ejemplo de un programa de revisión.

Descarga directa de la guía disponible en GTAG 8 Auditing Application Controls.

Presentación en ppt de las guías publicadas hasta el momento en GTAG Overall Slides.


"El desarrollo de la sociedad del conocimiento en España, depende esencialmente de la extensión del uso de las nuevas tecnologías. La utilización de las Tecnologías de la Información y las Comunicaciones (TIC), por parte de nuestras empresas, es un elemento fundamental para el incremento de la competitividad y la innovación e incide directamente en el aumento de la productividad y el crecimiento económico."

"La seguridad de la información es una necesidad de negocio para todas las empresas de cualquier sector y tamaño. La información y los procesos que la apoyan, sistemas y redes son activos cada vez más importantes en las organizaciones. La disponibilidad, integridad y confidencialidad de la información son esenciales para mantener la competitividad."

Artículo completo de Martín Pérez, Presidente de ASIMELEC en Securtecnia


Nuevo número de la revista bimensual en inglés publicada por ISACA y dedicada a IT governance y auditoría, control y seguridad de sistemas de información.

Acceso a miembros en Information Systems Control Journal


El 2 y 3 de Agosto, Fondonorma organiza un curso de diseño y gestión de un plan de continuidad de negocio, impartido por Alberto G. Alexander.

Más información en Fondonorma


Se ha publicado el último número de ENISA Quarterly, con los siguientes artículos:

A Word from the Executive Director
A Word from the Editor
Are Banks Strengthening their Defences?
IDS Data Visualisation
Security Metrics for Information Security Management (por Vicente Aceituno)
ENISA Study on Providers? Anti-Spam and Security Measures
An ENISA Joint Portal for NIS Standards
Evil Lurks Around Every Corner ? IT Security in Germany
The Network Security Innovation Platforms in the UK
Hungary Put on the Map of IT Security
Measuring the Impact of Security Awareness in Lithuania
ENISA Short News

Disponible para su descarga gratuita en: ENISA


Junio cerró con 3.653 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo, 38 más que el mes pasado.

En ISO 27001 son concretamente 1.727, cifra que incluye 940 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 787 certificaciones directas.

Encabeza la lista, como desde hace años, Japón, con 2.148 certificaciones, y le siguen el Reino Unido, con 316, y la India, con 294.

Una idea del rápido crecimiento que está experimentando la certificación es que, a finales de 2004, eran unas 1000 empresas las que estaban certificadas en todo el mundo y, a finales de 2005, unas 2.100.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México, 12.
España, 10.
Argentina, 3.
Colombia, 2.
Perú, 1.
Uruguay, 1.

Esta información puede consultarse en International Register of ISMS Certificates (el estado mostrado es el de Junio, a pesar de indicar Mayo en el encabezado).


"ISM-Community" ha publicado un documento de 39 páginas donde plantea los 10 puntos que considera fundamentales en la gestión de la seguridad de la información en una organización:

1. Obtain and Maintain Executive Sponsorship and Commitment 2. Company Wide Support and Participation
3. Use, Adopt and Align to Industry Standards
4. Make it Easy for People to do the Right Thing
5. Document, Publish and Refine your Processes
6. Recognize that Training and Education is Key
7. Manage Risk, not Security
8. Manage with Facts and Numbers
9. Avoid the Compliance Trap
10. Leverage Corporate Business Initiatives

En cada uno de los 10 puntos incluye interesantes consejos prácticos de diferentes profesionales de la seguridad de la información.

El documento puede descargarse de: www.ism-community.org


La empresa AUdIT & SecurIT organiza en Quito (Ecuador) un Taller de formación intensiva en auditoría, seguridad y gerencia de tecnologías de la información los días 13, 14, 20 y 21 de Julio.

Más información e inscripciones en: auditsecurit


FERMA (Federation of European Risk Management Associations) ha publicado una nota de prensa el pasado 5 de Julio, en la que expone que su posición oficial es que no es necesario un estándar ISO de gestión del riesgo (en referencia a ISO 31000).

En su opinión, una norma ISO sería demasiado inflexible para una disciplina tan amplia como la gestión de riesgos, que es extremadamente compleja y variada en su aplicación.

En su lugar, defiende la el uso de los términos guía de referencia, marco, principios generales o lista de mejores prácticas para describir el documento que está desarrollando ISO. FERMA apoyaría una guía general titulada "Sistema de gestión de riesgos: fundamentos, principios y terminología".

Más información en Nota de prensa y Manifiesto


OWASP comunica la celebración de su próximo meeting, que se celebrará en Barcelona el próximo viernes 6 de Julio de 2007.

"Tras casi un año desde nuestro primer evento, la comunidad OWASP en España ha crecido a buen ritmo y, lo que es más importante, cada vez son más los miembros de nuestro capítulo que colaboran en los distintos proyectos de la OWASP Foundation, aportan nuevas propuestas y ayudan a la difusión de conocimientos y promoción de la seguridad en las aplicaciones web. Desde aquí, gracias a todos."

"La asistencia al evento es totalmente gratuita. Debido a la limitación del aforo, todos aquellos interesados en asistir deben inscribirse previamente enviando un correo electrónico a Vicente Aguilera especificando "inscripcion" en el asunto del mensaje."

AGENDA:
16:30h - Registro
17:00h - Bienvenida y presentaciones - Vicente Aguilera Diaz, OWASP Spain Chapter Leader.
17:05h - "Seguridad en entornos financieros" - Pedro Sánchez, Responsable de Seguridad. ATCA
18:00h - "Ataques DoS en aplicaciones Web" - Jaime Blasco, Responsable de Seguridad. Eazel
18:55h - Coffee-break
19:10h - "Trust, Security and Usability" - Roger Carhuatocto, NeS & DTM Product Manager. NetFocus
20:05h - "Programación segura: validación de entradas" - Albert Puigsech, Auditor Senior. Internet Security Auditors
21:00h - Despedida/Entrega de certificados de asistencia(*)

LUGAR:
IL3 - Institute for LifeLong Learning (Universitat de Barcelona)
C/ Ciutat de Granada, 131
08018 - BARCELONA


Ampliamos nuestra sección con una entrevista en formato webcast a Vincent Desmond, vicepresidente del International Register of Certificated Auditors (IRCA). Con él hablamos durante la pasada Jornada internacional del ISMS Forum sobre las actividades del IRCA y la importancia de la seguridad de la información, la formación de auditores con el programa de Lead Auditor IRCA en ISO 27001 realizado en colaboración con Ted Humphreys, su novedad mundial del programa Lead Auditor en ISO 20000 realizado en colaboración con ITSMF UK y JIPDEC y por qué IRCA es el registro de mayor prestigio y reconocimiento a nivel mundial después de 30 años de actividad.

Recordamos que dentro de esta serie de entrevistas, ya se han publicado:

Podcast Joanne Gagnon, BCI España, Continuidad de Negocio, estándar BS 25999.
Podcast Enrique Martín, Sanitas, Implantación y certificación de ISO 27001.
Entrevista de Iñaki Lázaro (El Guardián) a www.iso27000.es (Agustín López y Javier Ruiz). Introducción a los SGSIs e ISO 27001.
Podcast Silvia García, Belt Ibérica, Implantación y certificación de ISO 27001.
Podcast Abel González, ESA Security. Implantación de ISO 27001 desde el punto de vista de la consultoría.
Podcast Iñigo Barreira, Izenpe. Implantación y certificación de ISO 27001.
Podcast Vicente Aceituno. Modelo ISM3.
Podcast Laura Prats, Applus+. Certificaciones ISO 27001 y UNE 71502, acreditación de entidades de certificación.
Podcast promotores CAMERSEC. Certificación SGSIs en pymes andaluzas.
Podcast Miguel Banegas, Telefónica Empresas. Implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid).
Podcast Miguel Ángel Thomas, Everis (DMR Consulting). Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002).
Podcast Alejandro García, BSI. Estado actual y evolución en la certificación ISO 27001.
Podcast Álvaro Rodríguez de Roa, SGS ICS. Proceso de certificación de un SGSI.
Podcast Agustín Lerma, Nextel. Gestión de riesgos.
Podcast José Manuel Fernández, Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández, Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001, www.ISO27000.es.


GFI celebrará el próximo jueves 5 de Junio en sus oficinas del Centro Empresarial Parque Norte (Serrano Galvache 56, 28033 Madrid) una ponencia centrada en la Gestión de los Servicios TI.

Las sesiones van orientadas a Responsables de Departamento, Área, Gerencia, Servicios de Explotación de TI que tengan conocimientos de ITIL y deseen ampliar su formación alrededor de IT-Governance.

1ª Ponencia - Aproximación a la Norma ISO20000 versus ITIL
- Raúl Núñez Blanco, Jefe de Servicio Área de Soporte y Continuidad, GFI.

? Pausa - Café.

? 2ª Ponencia - Certificación en ISO20000 ? Servicert: Certificación parcial ISO20000 (SGS)
- Agustín López Neira, Primer Tutor Internacional IRCA para el estándar ISO 20000..

La asistencia es libre (plazas limitadas) bajo previo Registro al evento

Del 09 al 13 de Julio, SGS convoca el curso IRCA de Lead auditor en ISO 20000, cuyo contenido ha sido realizado con la colaboración del ITSMF UK y Japan Information Processing Development Corporation (JIPDEC), en respuesta a la demanda de auditores de SGSTI competentes.


En el marco del seminario Iberoamericano de Protección de Datos celebrado en Colombia, representantes organismos e instituciones de 12 países Iberoamericanos, España y Portugal, todos ellos miembros de la Red Iberoamericana de Protección de Datos, han puesto de manifiesto la necesidad de adoptar medidas que permitan un marco armonizado de protección del derecho a la protección de datos personales que garantice el libre flujo de información, favoreciendo así el comercio y el enriquecimiento derivado de éste.

En la actualidad existen diferencias significativas en los niveles de protección de datos entre Iberoamérica y Europa, y son pocos los países Iberoamericanos que cuentan con normativas en esta materia. Esta circunstancia constituye, según han explicado los participantes en el seminario, un obstáculo para las actividades económicas que exigen constantes flujos de información.

En la Comunidad iberoamericana tan sólo Argentina, que promulgó en el año 2000 la Ley Nacional de Protección de Datos Personales, ha sido reconocida por la Comisión Europea como país que ofrece un nivel de protección de datos adecuado con arreglo a lo dispuesto en la Directiva 95/46 , de Protección de Datos, y por lo tanto tan solo a este país en Iberoamérica pueden transferirse datos desde los Estados Miembros de la UE, sin necesidad autorización por parte de las Autoridades de Control de la UE. No obstante, en la actualidad otros países, como México, Colombia o Perú, están desarrollando proyectos legislativos en la materia.

Artículo completo en Datospersonales.org


La tendencia dicta que la seguridad física y lógica de las compañías debe estar bajo el mando de una sola área, la tecnología para apoyar esto existe, ¿por qué entonces no se da el paso?.

Actualmente, resguardar los activos de una empresa no sólo tiene que ver con restringir el acceso a determinadas áreas, ubicar policías en las puertas o filmar durante horas el pasillo de la dirección general; también involucra tecnologías de la información (IT).

El problema es que en la mayoría de las empresas mexicanas, las dos grandes áreas en las que se divide la seguridad (física y lógica) operan de manera independiente.

“La tecnología para incorporar estos rubros existe, pero las empresas no conciben que haya un solo departamento donde todo esto converja?, señala Andrés Velázquez, director de investigaciones especiales de Mattica (firma especializada en seguridad informática).

Lo común, es que el responsable de seguridad lógica dependa del área de sistemas o finanzas y la seguridad física, de recursos humanos. Y es que hablar de una protección integrada o de una convergencia implica contar con la infraestructura necesaria para poder implementarla y desarrollarla, algo en lo que muchas empresas no pueden invertir, al menos por el momento, dadas sus prioridades por equiparse con otro tipo de tecnología..

Artículo completo de Marissa Sánchez en BSecure


El éxito de una estrategia de seguridad depende, en buena medida, de generar conciencia en el personal y cambiar hábitos arraigados de tiempo atrás.

Cuando necesitamos implementar seguridad de información dentro de una empresa es usual que empecemos por buscar qué tecnología nos hace falta para proteger nuestras comunicaciones, computadoras, servidores, o, en el mejor de los casos, primero consideramos tomar como referencia estándares, metodologías y mejores prácticas adoptadas internacionalmente.

Pero pocas veces o casi nunca nos preocupamos por diseñar un plan para cambiar los malos hábitos del personal que trabaja en nuestra compañía, respecto al manejo de la información y los sistemas, y tampoco nos enfocamos en disminuir su resistencia natural a esas necesarias modificaciones.

Evidentemente, hacer esto no es una tarea fácil, porque implica generar conciencia en la gente y cambiar costumbres arraigadas desde mucho tiempo atrás.

Artículo completo de Pedro Valencia Santiago en BSecure


Ya no basta con aplicar esquemas de seguridad reactivos; ahora es necesario validar proactivamente la infraestructura informática, pero con precaución.

El diagnóstico no deja lugar a dudas. Los resultados de un centenar de pruebas de penetración (Pen Test), aplicadas por una firma especializada en esto, muestran que 98% de las empresas examinadas son extremadamente vulnerables a ataques e intrusiones en su infraestructura informática.

“Hace casi año y medio comenzamos a automatizar las pruebas de penetración. El resultado es que en 73% de las corporaciones obtuvimos, en menos de una hora, control total en el ámbito de servidores de dominio (usuarios, contraseñas y acceso de administrador); servidores Unix y OS/400; bases de datos, routers, switches y estaciones de trabajo?, comenta Víctor Chapela, director general de Sm4rt Security Services,

Y es que en opinión del directivo, las amenazas son cada vez más “quirúrgicas, ubicuas, invisibles e ineludibles? para las compañías, sobre todo en el caso de las grandes. Las respuestas convencionales que recurren a esquemas de seguridad reactiva son, por tanto, inviables.

Artículo completo de Hugo Sandoval en BSecure


"Desde la publicación de la Norma ISO 27001 para los Sistemas de Gestión de la Seguridad de la Información (SGSI) en octubre de 2005, muchas organizaciones se han lanzado a la aventura de desarrollar un sistema de estas características.

En el último año, además, han aparecido numerosas empresas dedicadas a desarrollar sistemas de gestión de calidad, de gestión medioambiental o que han orientado algunas de sus líneas de negocio hacia el desarrollo y certificación de los sistemas de gestión de seguridad."

"La Norma ISO 27001 es un excelente guión para comenzar el desarrollo de un SGSI. No obstante, no podemos pretender que todas las organizaciones, independientemente del negocio al que se dediquen, tamaño o cultura, sigan este guión escrupulosamente, al pie de la letra y sin saltarse una coma."

Artículo completo de Olof Sandtrom en revista-ays.com


Crear contraseñas que resistan ataques de diccionario o fuerza bruta no es difícil, pero ser capaz de recordarlas es otra cosa bien distinta.

En Watching the Net proponen un curioso método, consistente en dotar a los caracteres especiales de ciertos significados para el usuario y luego utilizarlos como parte de frases con algún sentido para él...

Está claro que se pierde aleatoriedad, pero se gana sin duda en facilidad de uso.

Enlace recomendado por Kriptópolis accesible en Watchingthenet.org


Juan Colley, director EMEA en el sector industrial, cree que la profesión de la seguridad de la información está pasando con una fase evolutiva, con una escasez de profesionales cualificados para la seguridad de la información que hace crecer la demanda y los sueldos.

Advierte, esto conducirá a un exceso de gente cualificada que desea incorporarse a la profesión, excediendo el número de trabajos disponibles.

La "seguridad de la información se está desarrollando,", dijo, "hay una demanda enorme en estas habilidades profesionales y la escasez de gente cualificada está empujando hacia arriba la remuneración. Pero, esto conducirá a un exceso de los empleados potenciales que superará el número de puestos disponibles. La profesión llegará a ser más común y los sueldos bajarán. Esto sería el futuro, pero podría suceder."

Colley cree que, las compañías están bajando actualmente sus requisitos para encontrar al personal que hace este trabajo. "la escasez de gente experta significa que el nivel de la experiencia está cayendo realmente por el momento," agregó, "la demanda supera la oferta y las compañías están preparadas ya para emplear a alguien con menos experiencia y para invertir dinero en formación, porque no hay la gente para hacer el trabajo."

Emma Tabeshfar, jefe de cumplimentación con los estándares y conformidad de la división de la gestión del riesgo del grupo de Barclay está de acuerdo.

"La industria de la seguridad de la información está cambiando," dijo ella, "la visibilidad de este tema ha crecido en los años recientes. Se difunde mayor información sobre ello y la concienciación sobre el tema y el número creciente de personas interesados y que desean trabajar en esta profesión."


Enlace DRI accesible en: SCMagazine


Disaster Recovery Institute fue fundado en 1988 con el objetivo de desarrollar los conocimientos necesarios sobre planes de contingencia y la gestión del riesgo, profesión que está creciendo rápidamente.

Además de los programas de certificación de profesionales que cuenta ya con 3500 profesionales certificados, dispone de repositorio de información de consulta al que nos invita a visitar Joseba Enjuto en su blog.

Enlace DRI accesible en: DRI


Interesante recopilación publicada por editorial Ra-Ma con capítulos dedicados a:

- El Gobierno de las Tecnologías y Sistemas de Información
- Técnicas y Planificación para el Gobierno de TSI
- Valor y Retorno de la Inversión de las TSI
- Aspectos Jurídicos
- Visión general del Gobierno de la Seguridad - Implantación del gobierno de la Seguridad de las TSI
- Gestión de Riesgos de Seguridad
- Cuadros de mando para el gobierno de TSI
- Modelos de Madures para SGSI desde un enfoque práctico
- Panorámica general sobre normas de seguridad de tecnologías de la información
- Norma ISO 27001
- Gestión de la Seguridad
- Métricas de Seguridad de la Información
- Norma 17799. Codigo de buenas prácticas para los SGSI
- COSO
- COBIT 4
- ITIL y la Norma ISO 20000
- Sarbanes Oxley
- Basilea II

Indice de la publicación accesible en: Ra-ma.es


Todos los días hay noticias sobre pérdidas de datos, tanto pequeñas como importantes. Es ridículo que se pierdan datos importantes tan a menudo, aunque la verdad es que esa información se pierde simplemente porque las personas no la protegen..

La verdad es que los datos, del cliente o internos, deben tratarse de la misma manera que se trataría un desecho médico. Deberían: 1. Tratarse con cuidado extremo 2. Almacenarse y transportarse con precaución 3. No ponerse en peligro durante los pasos del proceso 4. Eliminarse con mucho cuidado Si sigue todas las medidas de seguridad que resumo aquí, estará en el buen camino para proteger sus datos durante todo su ciclo de vida.

Artículo completo en: Microsoft Technet


Sigue abierto el plazo de inscripción para un curso de Auditor Líder en ISO 27001 que impartirá BSI (British Standards Institution) en Madrid del 9 al 13 de Julio de 2007.

El curso, de orientación eminentemente práctica y con un precio de 1.200 euros, incluye un examen el último día que, en caso de superarse, proporciona al alumno el certificado correspondiente.

Más información e inscripciones en el número de teléfono 914008620 o el e-mail marketing.spain@bsi-global.com


El ISMS Forum Spain, constituido hace unos meses y presentado oficialmente el pasado 17 de Mayo, ya ha puesto en marcha cuatro interesantes grupos de trabajo:

GT-1: Análisis y Gestión de Riesgos. Grupo de trabajo que compartirá experiencias y mejores prácticas en cuanto a los procesos de catalogación de activos de información, mapa de dependencias, análisis de impactos, evaluación de amenazas, ejercicios de gestión de riesgos, tomas de decisión en cuanto a riesgo residual, así como la selección de las contramedidas necesarias.

GT-2: Métricas e Indicadores. Grupo de trabajo que analizará y propondrá mejores prácticas a la hora de implantar cuadros de mando de seguridad, no sólo desde el punto de vista de gobierno y cumplimiento, sino también desde el punto de vista operativo. Este grupo tendrá en cuenta las normativas y regulaciones que aplican para proponer mecanismos con el objetivo poder obtener de manera eficiente las mediciones necesarias.

GT-3: SGSIs. Grupo de trabajo donde se compartirán diferentes experiencias a la hora de implantar Sistemas de Gestión de la Seguridad de la Información y se propondrán recomendaciones prácticas para poder implantar SGSIs de manera eficaz y eficiente.

GT-4: Cumplimiento de Regulaciones. Grupo de trabajo que analizará el mapa actual y futuro de las regulaciones que afectan a la seguridad de la información en España, siempre teniendo en cuenta otras regulaciones de ámbito internacional. También se estudiarán y se propondrán recomendaciones desde el punto de vista de mejores prácticas a la hora de implantar controles relacionados con estas regulaciones. Este grupo prestará especial atención a cómo la implantación de un SGSI puede ayudar a cumplir ciertas regulaciones como LOPD, Blanqueo, Buen Gobierno Corporativo, SOX, Basilea II, MIFID, Solvencia II, etc.

Para formar parte de los grupos de trabajo (como máximo, dos simultáneamente) es necesario ser socio del Forum. Es posible asociarse online en la propia web del Forum


El ISMS Forum Spain ha publicado el número 1 de su newsletter, con artículos e informaciones diversas como, por ejemplo: La necesidad de la certificación ISO 27001 acaparó la atención de la primera Jornada Internacional de ISMS Forum Spain; El análisis de riesgos, piedra angular en la gestión de la seguridad de la información; Lo que los usuarios realmente valoran de la Seguridad; Seguridad de la información en Isla Formosa; ISMS Forum Spain pone en marcha sus Grupos de Trabajo; La revista SIC premia a ISMS Forum Spain por su proyecto para fomentar el desarrollo y la cultura de la seguridad de la información en España; Vocalías de trabajo de la Asociación Española para el Fomento de la Seguridad de la Información en España; Presentación de ISMS Forum Spain en Barcelona; Eventos.

La newsletter está disponible en: ISMS Forum Spain


"Information Assurance Support Environment" es una iniciativa de la Defense Information Systems Agency de EEUU que pone a disposición del público una página web con mucha información acerca de seguridad informática.

Una de las secciones está dedicada a checklists, útiles documentos donde se recorre en forma de cuestionarios todos los puntos que se deberían tener en cuenta para asegurar diferentes sistemas: Active Directory, aplicaciones en general, biometría, routers Cisco, bases de datos, DNS, tareas generales de administración de seguridad, WiFi, routers Juniper, .NET, OS/390, SAN, Unisys, VMS, UNIX, Virtual Machine, Windows XP, Windows NT, Windows Vista, Windows 2000, Windows 2003, etc.

Disponibles para su descarga gratuita en: iase.disa.mil


K. K. Mookhey publica en el número de Junio de ITAudit un artículo de introducción a la evaluación de controles de seguridad en aplicaciones, en el que resume distintas metodologías para la misma: auditorías de diseño a nivel alto, tests de caja negra y revisiones de código fuente. Para cada una, da una descripción relativamente detallada de los conceptos que cubre y adjunta algunos enlaces útiles.

Disponible en: ITAUDIT


Effective IT Security Practices and Solutions Guide es una plataforma colaborativa en Internet orientada especialmente a Universidades, que se configura como una guía de buenas prácticas en seguridad TI, con consejos, políticas, enlaces, documentos, etc. sobre temas como control de accesos, concienciación y formación, gestión de incidentes, gestión de riesgos, políticas y procedimientos de seguridad, arquitecturas y modelos de seguridad...

Disponible en: wiki.internet2.edu


El número de Julio de 2007 de la revista "a+)) auditoría y seguridad" puede leerse ya online en la página web www.revista-ays.com


La NSA (National Security Agency de EEUU) publica las llamadas Guías de Configuración de Seguridad para su descarga gratuita, que son documentos de tipo técnico con directrices, consejos y pasos a seguir para configurar la seguridad de productos concretos, en las áreas de sistemas operativos, aplicaciones, servidores de bases de datos, routers, switches, VoIP, servidores y navergadores web, WiFi, etc.


The Uptime Institute tiene publicado un whitepaper en el que describe una clasificación en cuatro niveles de los centros de proceso de datos según su grado de disponibilidad, exponiendo las características de cada uno, así como sus equipamientos típicos.

Por ejemplo, en el máximo nivel, el IV, el porcentaje de disponiblidad es del 99,995%, es decir, menos de 30 minutos de indisponibilidad al año causada por el propio centro.

Fuente: NoticeBored


Mason Pokladnik publica en SANS un documento en inglés en el que, a lo largo de 42 páginas, expone directrices y recursos utilizables por Pymes para implantar un proceso de gestión de incidentes de seguridad de la información.

El documento está disponible para su descarga gratuita en SANS Institute.


Del 11 al 15 de Junio la entidad de certificación SGS ha celebrado el primer curso IRCA en Madrid y anuncia del 23 al 27 de Julio como próxima fecha de celebración.

El programa IRCA (International Register of Certificated Auditors) de este curso para Auditor Líder ISO 27001 ha sido desarrollado conjuntamente con Ted Humphreys (Director de Xisec y considerado el padre de las normas ISO 27001 e ISO 17799), como respuesta a la demanda de auditores competentes en sistemas de gestión de seguridad en la información (SGSI).

El curso permite la obtención del titulo de "Auditor Jefe en ISO 27001" expedido por el IRCA a aquellos alumnos que asistan al curso y que superen el examen final, recibiendo un título de reconocido prestigio internacional.

SGS ha anunciado ya la siguiente fecha de celebración de este curso que tendrá lugar entre el 23 y 27 de Julio, así como la aplicación de interesantes descuentos a aquellos asistentes que sean miembros del ISMS Forum, como apoyo y en calidad de socio fundador de la asociación para el desarrollo y fomento de la seguridad de la información en nuestro país.

Información y contacto para cursos IRCA ISO 27001 e ISO 20000 Minisite SGS.


Publicación del borrador para comentario público del estándar británico BS 31100, norma que dispone el Código de Buenas Prácticas para Gestión del Riesgo.

Se admiten comentarios hasta el próximo 31 de julio de 2007, los cuáles pueden ser enviados al correo electrónico habilitado en el site BSI.

Noticia en Blog José Manuel Fernández.

Descarga en Página BSI.


...o es la seguridad de los sistemas el equivalente a una guerra en base al Terror?

Bruce Schneier nos cuenta la historia completa en ITSecurity.


Publicación de ITSecurity con la lista que registra a los expertos en seguridad de la información más influyentes en el 2007.

Desde oficiales de seguridad hasta bloggers lista completa en ITSecurity.


En Marzo, el hospital de Piedmont de Atlanta se convirtió en la primera institución de USA en ser auditada para la conformidad con las reglas de la seguridad de HIPAA (Health Insurance Portability and Accountability Act).

La auditoría fue conducida por la oficina de inspección general del departamento de salud de los Estados Unidos y está siendo observada en la industria médica como precursor de auditorías similares para otras instituciones.

Las 42 preguntas realizadas que se referencian en el artículo confirman la validez del estándar ISO 27001 como marco óptimo para cubrir cualquier auditoría en relación a la protección de la información sensible.

Noticia completa en Computerworld.


La seguridad de datos es un tema importante para el negocio en Rusia. Significa conformidad con las leyes sobre privacidad internacional y requisitos para la gestión de los datos, así como, ocuparse de los requisitos rigurosos de Rusia para la protección de la información personal de suscriptores.

Para atenuar el riesgo y para hacer frente al mercado cada vez mayor de las telecomunicaciones, MTT ha decidido ser la primera compañía de telecomunicaciones en el mercado ruso que se certificará a ISO/IEC 27001, el estándar internacional de la seguridad de la información.

No ha sido un camino directo. La compañía se estableció en 1994 y ahora es uno de los abastecedores rusos más grandes de telecomunicaciones interurbanas domésticas e internacionales. Fusionó las redes de los operadores regionales individuales en un único entorno de telecomunicaciones común para toda la federación rusa.

Noticia completa en Businessstandards.


En función de la creciente preocupación alrededor del tema de cumplimento regulatorio, cada vez es más importante contar con un proceso disponible para el uso de patches. Realmente, la mayoría de los temas de seguridad pueden ser resueltos por medio del uso de patches adecuados en la red de sistemas operativos. Colin Buechler de Shavlik Technologies ofrece una guía paso a paso desde su implementación hasta su auditoría.

Artículo completo en IRCA.


Elegir la manera correcta de evaluar los esfuerzos en seguridad de una aplicación puede ser difícil. Ahora los auditores TI pueden aprender las diversas maneras de determinar la eficacia de los controles de la seguridad de las aplicaciones y que el método logrará los mejores resultados en base a las necesidades de seguridad de la organización.

Las aplicaciones de negocio cubren las operaciones de una organización. Desde los paquetes de contabilidad y portales de Intranet a los sistemas de planificación de recursos de la empresa (ERP), casi el 100 por ciento de los datos críticos para los objetivos de una organización atraviesan estas aplicaciones. El papel de los auditores TI, por lo tanto, es determinar si existen los controles apropiados para proteger la información que reside en estos sistemas.

Interesante artículo de KK Mookhey en IT Audit.


El Institute of Internal Auditors produce una serie de publicaciones como guías en tecnología de información. Orientadas sobre todo para CAE (Chief Audit Executive) y supervisores de auditoría, las guías toman en cuenta la preocupaciones de la dirección y órganos ejecutivos de las empresas.

Presentación en ppt de las guías publicadas hasta el momento en GTAG Overall Slides.

Noticia GTAG 8 en GTAG 8 — Auditing Application Controls.


La Oficina del Director de la Inteligencia Nacional de Estados Unidos (organismo que supervisa todas las agencias federales de Inteligencia) parece haber revelado inadvertidamente uno de los secretos mejor guardados del gobierno: el presupuesto real de la Inteligencia nacional.

El dato en cuestión (un 25% superior a lo que se venía estimando) se ha obtenido a partir de un documento desclasificado en formato Microsoft Powerpoint, publicado en el sitio web de la Agencia para la Inteligencia de la Defensa (DIA)...

Noticia comentada en Kriptópolis.

Noticia original The Spy Who Billed me.


¿Recuerda los floppies de 360K?

Artículo de Winn Schwartau sobre la evolución del almacenamiento portátil en la última década.

Enlace a Computerworld.


Los negocios deben prepararse para la profusión de los riesgos en seguridad que ocurrirán cuando los empleados utilizan cada vez más tecnología de consumo, según advierte Gartner.

Se espera que los trabajadores incrementen el uso de equipos y servicios en el trabajo y que salen de las organizaciones expuestas a las amenazas de la seguridad, según indican los analistas TI.

Las empresas de desarrollo enfatizan que el correo personal, Voz IP, el uso creciente de blogs, sitios de redes sociales y otros servicios de Web 2.0 crean riesgos de fuga de datos y suministran canales de entrada para software malicioso. El surgimiento incontrolado de dispositivos móviles y redes inalámbricas, así como, el número de empleados que trabajan en remoto son también objetivo del código malicioso.

"Aunque las tecnologías de consumo crean nuevos riesgos para la empresa, la eliminación de su uso es cada vez más difícil, e imprácticable," declaró Rich Mogull, vicepresidente de la investigación para Gartner. "tomando precauciones en seguridad e invirtiéndo en tecnologías de seguridad básica en este momento, los negocios pueden prepararse para el uso creciente de los dispositivos, servicios y redes con su organización, y gestionar estos riesgos."

Noticia completa en SC Magazine.


Laura Prats, Olof Sandstrom y Jesús Castellanos, conocidos profesionales en implantación y certificación de SGSIs, impartirán, del 9 al 11 de Noviembre, el Primer Taller Profesional ISO 27001 a través de la empresa SAKERHET.

El seminario, cuyo número de plazas está limitado a 15 para mejor aprovechamiento de las sesiones de trabajo, tendrá lugar durante dicho fin de semana en el Parador Nacional de Santo Domingo de la Calzada, en La Rioja.

Se puede consultar el programa detallado del curso, solicitar más información o efectuar la inscripción en www.sakerhet.es.


Desde hace unos días está disponible en la página web de BSI (British Standards Institution) el borrador final de la norma BS 25999-2, para exposición pública y comentarios. Está previsto que la norma se publique definitivamente en el próximo otoño.

Esta norma define los requisitos que debe tener un sistema de gestión de continuidad de negocio (BCM). Será un estándar certificable. Se complementa con la parte 1, que es una guía de buenas prácticas de BCM.

Descarga en: www.bsi-global.com


Mayo cerró con 3.615 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo, 85 más que el mes pasado.

En ISO 27001 son concretamente 1.653, cifra que incluye 907 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 746 certificaciones directas.

Encabeza la lista, como desde hace años, Japón, con 2.148 certificaciones, y le siguen el Reino Unido, con 313, y la India, con 288.

Una idea del rápido crecimiento que está experimentando la certificación es que, a finales de 2004, eran unas 1000 empresas las que estaban certificadas en todo el mundo y, a finales de 2005, unas 2.100.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México, 12.
España, 10.
Argentina, 3.
Colombia, 2.
Perú, 1.
Uruguay, 1.

España aumenta este mes en una empresa certificada, que es Belt Ibérica, S.A. (que, realmente, ya recibió su certificado hace varios meses). No aparece en el International Register of ISMS Certificates en la sección de España, debido a que ha sido errónamente introducido su nombre en la columna de país y el país en la de nombre. En la búsqueda por empresas, sí aparece al final de la lista de las que empiezan por la letra B. Es de esperar que este error sea corregido en breve.


Écija Abogados ha presentado su herramienta Ecija SGSI, un software con módulos utilizables de forma individual o integrada, para apoyar la implantación y mantenimiento del sistema de gestión de seguridad de la información de una organización. Está desarrollada en tecnologías Java, se ofrece en español, catalán, francés e inglés y se comercializa mediante licencia o en modo ASP.

Más información en: www.legal4.com, la extranet de Écija.


El próximo 25 de Septiembre está prevista la conferencia de presentación de la segunda parte de BS 25999 en Londres.

Recordemos que esta norma, que se publicará en otoño de este año, dará las especificaciones de un sistema de gestión de continuidad de negocio y será certificable.

Más información sobre el evento en www.bsi-global.com


ENISA (European Network and information Security Agency) ha publicado la versión en español de su completa guía "Cómo crear un CSIRT paso a paso".

A lo largo de 90 páginas, se detallan las diferentes fases de creación de un equipo de respuesta a incidentes de seguridad informática, además de presentar casos prácticos y ejemplos.

La guía está disponible para su descarga gratuita en ENISA


Una curiosa página web que pone a disposición del visitante una larga lista de cartas escaneadas que diversas empresas y organismos han enviado a clientes y usuarios que se han visto indirectamente afectados por incidentes de seguridad de las primeras (al quedar datos personales expuestos de alguna manera).

Algunas pueden servir de modelo de cómo afrontar una situación tan delicada, en la que está en juego la imagen pública y confiabilidad de una organización.

Fuente: Dancho Danchev


BuildSecurityIn reúne tres artículos con los que intenta ofrecer pautas en el proceso de considerar la seguridad en la adquisición de sistemas de información por parte de empresas y organismos públicos.

Están disponibles aquí.


Paloma Llaneza continúa aportando sus informaciones de primera mano sobre el estado de las distintas normas de la serie ISO 27000 que están en elaboración.

En esta ocasión comenta el recorrido relativamente largo que aún le queda a ISO 27003 (Guía de implementación).


Samuel Linares, InfoSecMan, se hace eco de un estudio realizado por la Unión Internacional de Telecomunicaciones, en colaboración con ENISA y NISSG, que intenta resumir en un solo documento todos los estándares de seguridad que han editado o que tienen en proyecto las distintas organizaciones internacionales que trabajan en esta área.

Disponible en ITU.


Segu-Info organiza el 17 de Julio, de 13:00 a 18:00, su Tercer Seminario de Seguridad de la Información, bajo el título genérico de "10 maneras de ser estafado".

El seminario tendrá lugar en el Instituto Universitario de la Policia Federal Argentina (IUPFA), ubicado en Rosario 532, Ciudad Autónoma de Buenos Aires, Argentina.

Más información e inscripción en www.segu-info.com.ar


El próximo día 14 de Junio de 2007, tendrá lugar en Ciudad Real (España) uno de los eventos Exposec 2007 organizados por ASIMELEC.

El programa incluye ponencias sobre los siguientes temas:

Análisis de la seguridad como concepto global
Aplicaciónes de firma electrónica y e-factura
LSSI y LOPD
ISO 17799 e ISO 27001
Recuperación y Continuidad de Negocio
e-firma: requerimientos y demos
Archivado de firmas a largo plazo: estándar XAdES
Mesa Redonda:Aplicaciones específicas de seguridad

Más información e inscripción gratuita en exposec.asimelec.es


Criptored es una referencia en muchos temas relacionados con la seguridad de la información. Una de sus secciones es un listado de cursos de especialización, postgrado y seminarios de Seguridad Informática que están disponibles en países de habla hispana.

La información puede consultarse aquí


La Dirección Central de Inteligencia de EEUU tiene publicada desde hace unos años una directiva llamada "Physical Security Standards for Sensitive Compartemented Information Facilities (SCIF)".

A lo largo de 76 páginas, el documento da indicaciones de qué consideraciones deben realizarse a la hora de construir o equipar instalaciones para que cumplan con unas condiciones determinadas de seguridad física, así como qué tipo de medidas organizativas deben tomarse.

El documento puede descargarse de www.fas.org

Fuente: NoticeBored


Paloma Llaneza publica en su Blog información relevante sobre los resultados de la última reunión internacional y acerca de las novedades en la serie de normas ISO 2700x:

"Quedé en ir contando, en fascículos coleccionables, que les había ocurrido a las normas de la familia 2700X en la última reunión internacional celebrada a principios de mayo en Moscú.

Empezando por el final, y en cuanto a las normas que están empezando a gestarse, cabe decir que la relativa a la aplicación de la 27001 a los juegos de azar, propuesta por la WLA, tendrá que esperar hasta que WLA manifieste su acuerdo con las reglas que se aplican a las normas ISO en su confección, tramitación y contenidos.

En cuanto a otra de las normas llamadas “sector specific?, dentro de nada verá la luz, producto de la liaison con ITU, la 27011 “Information security management guidelines for telecommunications (X.1051/27031)?.

Por último, y en cuanto a la futura norma de auditoría de ISMS (27007), se procederá a integrar las distintas contribuciones nacionales recibidas debidamente alineadas con la revisión de la norma ISO 19011 que se está produciendo en estos momentos. La próxima entrega será sobre la 27000.

Acceso a los comentarios en el blog personal Paloma Llaneza


Nueva entrega de Paloma Llaneza sobre los resultados de la última reunión internacional y acerca de las novedades en la serie de normas ISO 2700x:

"Seguimos informando sobre la familia, en este caso la 27000.

Esta norma, cuya distribución gratuita se acordó en la anterior reunión en Sudáfrica, adolece de un problema en lo que se refiere al vocabulario.

Se supone que ha de recoger los términos y definiciones de las restantes normas de la familia 27000, pero se encuentra con el problema de que éstas se producen en distintos lapsos temporales, con lo que el vocabulario es objeto de continua modificación. Se ha barajado la posibilidad de que la parte de vocabulario pase a ser un Standing Document, que son esos documentos que no se cierran y que se modifican en todas las reuniones.

A pesar de ello, la reunión se centró principalmente en la revisión del vocabulario (inclusión y modificación) y su engarce en las distintas otros documentos ISO (ISO GUIDE 73, ISO 27001, ISO 2700X, ISO 15489, etc.).

Con respecto al modelo de relación de las restantes normas que forman parte de la familia 27000, apenas se discutió.

Aún no ha sido aprobado definitivamente

Acceso a los comentarios en el blog personal Paloma Llaneza


National Institute of Standards and Technology (NIST) ha puesto a disposición en el mes de Junio tres interesantes borradores para consulta pública .

- June 4, 2007: Draft Special Publication 800-53A, Guide for Assessing the Security Controls in Federal Information Systems (third public draft)

- June 1, 2007: Draft Special Publication 800-44 Version 2, Guidelines on Securing Public Web Servers

- June 1, 2007: Draft Special Publication 800-46 Version 2, User's Guide to Securing External Devices for Telework and Remote Access

Información completa y enlace a descargables en Drafts NIST


"El personal TI es poco confiable". Tal sería la conclusión de investigación británica donde se indica que los administradores TI abusan de su cargo para espiar a sus propios compañeros de trabajo.

Uno de cada tres empleados TI espía ilegalmente el correo electrónico, documentos, información salarial y otros datos confidenciales de sus compañeros de trabajo. Tal es la conclusión de una investigación altamente informal realizada por la compañía británica Cyber Ark Software, basada en entrevistas a 200 ejecutivos TI asistentes a la feria informática InfoSec de Londres.

Más de la mitad de los consultados continúa escribiendo sus contraseñas en papeles sueltos, costumbre que también se observa entre el personal con acceso de administradores a los sistemas de la empresa.

Una tercera parte de los consultados admitió abiertamente haber usado sus derechos de administrador para espiar datos confidenciales de sus compañeros de trabajo. Algunos incluso revelaron que ex empleados continuaban teniendo acceso a los sistemas de la empresa. Noticia completa en Diario TI


Mientras el mercado del Outsourcing crece, del mismo modo lo hacen los riesgos en seguridad. ¿Qué puedes hacer para reducir la amenaza?

La analista de Burton Group Diana Kelly indica algunos puntos relevantes para fijar niveles de riesgo, monitorizar a tus suministradores y negociar SLAs apropiados.

Entrevista a Diana Kelly en CSO Magazine


Identificar los riesgos y su probabilidad e impacto global puede ayudar a los auditores internos a indicar las recomendaciones que permiten a las compañías desarrollar un plan eficaz para la gestión del riesgo.

Además de identificar los riesgos a los que debe hacer frente una organización, los auditores internos ayudan a determinar el posible impacto en el rendimiento y en los procesos empresariales. Por lo tanto, el papel de los auditores no es sólo evaluar los riesgos, sino determinar si los controles adecuados están establecidos para mitigar el riesgo eficazmente.

Familiarizarse con los diversos elementos de un proceso eficaz de gestión del riesgo puede ayudar a los auditores internos a indicar recomendaciones que tratan las necesidades de gestión del riesgo de la organización e identificar los riesgos antes de que se conviertan en una amenaza a los activos de datos empresariales.

Artículo de Mark T. Edmead, CISSP, CISA y director TI de Control Solutions International IT audit


El aprendizaje de cómo funciona la autenticación permitirá a los auditores aportar recomendaciones que maximizan el retorno de inversión y la eficacia en los controles de seguridad.

Como parte del proceso de gestión de la identidad, los auditores internos pueden necesitar de la realización de evaluaciones de las herramientas y controles de la autentificación de una compañía.

Aunque se ha escrito mucho sobre los tipos de herramientas hoy disponibles, los auditores internos más jóvenes pueden no estar familiarizados con los pros y el contras del uso de este tipo de tecnología.

Por lo tanto, es interesante para el auditor aprender los fundamentos básicos sobre la autenticación, su papel durante la evaluación de las diversas herramientas y los distintos usuarios y necesidades regulatorias así como los controles que deben ser implantados.

Artículo de Lakshmana Rao Vemuri, CISA y consultor de seguridad en IT audit


El Proyecto de Reglamento, que ha contado con la colaboración y el impulso de la Agencia Española de Protección de Datos,parte de la necesidad de dotar de coherencia a la regulación reglamentaria en todo lo relacionado con la transposición de la Directiva de Protección de Datos y de desarrollar los aspectos novedosos de la Ley Orgánica 15/1999 junto con aquellos en los que la experiencia ha aconsejado un cierto de grado de precisión que dote de seguridad jurídica al sistema.

El Reglamento se estructura en nueve Títulos que desarrollan los aspectos esenciales en esta materia.La Agencia de Protección de Datos de la Comunidad de Madrid proporciona un canal de debate y discusión del mismo a través del Foro de la revista datospersonales.org

Enlace al Proyecto de Reglamento

Noticia completa en datospersonales.org


Próximamente, la Agencia Catalana de Protección de Datos tiene prevista la convocatoria de ayudas a profesores universitarios para facilitar su especialización en materia de protección de datos personales.

El objeto de las ayudas de investigación, en los términos y en las condiciones que se establezcan en las bases de la convocatoria, es que las personas seleccionadas puedan profundizar en el conocimiento del derecho a la protección de datos personales desde diferentes aspectos, tanto teóricos como prácticos, con el fin de complementar su especialización y poder integrar y potenciar la materia de protección de datos personales en su área de conocimiento ofreciendo asignaturas, seminarios, postgrados o doctorados en esta materia, ya que las personas candidatas tienen que asumir el compromiso de incorporarla en su carga lectiva.

La investigación se realizará en centros o instituciones estatales o extranjeros cuya actuación se enmarque en el derecho a la protección de datos personales. La estancia en estos centros o instituciones será, en principio, de un mes, si bien su duración estará supeditada a la disponibilidad de la institución.

En la convocatoria se indicarán una serie de instituciones o centros a elegir para realizar la estancia y también preverá que la persona solicitante pueda elegir libremente la institución donde realizar la estancia, siempre previa presentación de la carta de aceptación de la institución propuesta y la aceptación de la Agencia Catalana de Protección de Datos.

Noticia completa en datospersonales.org


Internet Security Auditors obtiene las certificaciones de QSA (Qualified Security Assessor) y de ASV (Approved Scanning Vendor) concedidas por el PCI SSC (Payment Card Industries Security Standards Council).

Dicho organismo, creado de la unión de fuerzas de MasterCard Worldwide, Visa International, American Express, Discover Financial Services y JCB vela por el cumplimiento y normalización de los estándares de seguridad que deben cumplir todas las empresas que emplean, transmiten o almacenan datos de tarjetas de crédito.

Entre sus funciones, el PCI SSC, se responsabiliza de la certificación, con criterios comunes a todas las "marcas" de tarjetas, de homologar y certificar a aquellas empresas que, cumpliendo los requerimientos necesarios y superando las pruebas técnicas requeridas, son capaces de ofrecer las garantías técnicas y administrativas necesarias para ser consultores y auditores en el cumplimiento de dicha norma. Ayudando así a las empresas que deben cumplir con dicho estándar en su camino a la implantación correcta de las medidas establecidas por dicha norma.

Por tanto, Internet Security Auditors se convierte en el primer proveedor de servicios Español, reconocido por los 5 fabricantes de tarjetas más importantes del mundo a través del PCI SSC , capaz de ofrecer la consultoría sobre la norma PCI DSS (Payment Card Industries Data Security Standard).

Noticia completa en Internet Security Auditors


Después del éxito de las últimas convocatorias en Madrid y Barcelona, Internet Security Auditors de la mano del International Information Systems Security Certification Consortium (ISC)² vuelve a organizar en Madrid el próximo curso y examen de la certificación CISSP.

+ CISSP (Certified Information Systems Security Professional)
- Curso: Madrid. 1-5 de Octubre 2007
- Fecha límite inscripción: 14/9/07
- Precio (anticipado hasta el 14/8/07): 2.336 EUR + IVA
- Precio (normal desde el 15/8/07): 2.595 EUR + IVA

Más información e inscripciones en Internet Security Auditors


El propósito de la organización International Council of Electronic Commerce Consultants (EC-Council) es el de ofrecer soporte y mejorar el papel de las personas y empresas que trabajan con soluciones de e-Business.

+ CEH (Certified Ethical Hacker)
- Curso: Barcelona. 1-5 de Octubre de 2007
- Examen: Barcelona. 19 de Octubre de 2007
- Fecha límite inscripción: 14/9/07
- Precio (anticipado hasta el 14/8): 1.800 EUR + IVA
- Precio (normal desde el 15/8): 2.000 EUR + IVA

+ CHFI (Certified Hacking Forensic Investigator)
- Curso: Barcelona. 22-26 de Octubre de 2007
- Examen: Barcelona. 9 de Noviembre de 2007
- Fecha límite inscripción: 5/10/07
- Precio (anticipado hasta el 7/9): 1.935 EUR + IVA
- Precio (normal desde el 8/9): 2.150 EUR + IVA

Más información e inscripciones en Internet Security Auditors


Internet Security Auditors tiene un acuerdo de colaboración con BSI España (British Standards Institution) para impartir la formación oficial y certificación BSI de Lead Auditor sobre la norma de referencia ISO/IEC 27001:2005.

El curso se celebrará en Barcelona del 17 al 21 de Septiembre de 2007

- Fecha límite inscripción: 31/8/07
- Precio (anticipado hasta el 31/7): 1.650 EUR + IVA
- Precio (normal desde el 1/8): 1.850 EUR + IVA

Más información e inscripciones en Internet Security Auditors


Samuel Linares e Ignacio Paredes, expertos en seguridad de la información y activos miembros en diversos foros y asociaciones del sector, han desarrollado un método llamado IS2ME que, según sus propias palabras:

"surge como un método de implementación de la seguridad de la información en las medianas empresas que conjuga por una parte, las necesidades de cumplimiento y desarrollo de un sistema de gestión de la seguridad de la información según estándares internacionalmente reconocidos [especialmente ISO 27001], y por otra, la obtención de resultados a corto plazo que permiten disminuir el riesgo que este tipo de organizaciones están asumiendo, proporcionando a su vez prontos resultados a la alta dirección."

El método puede consultarse y descargarse gratuitamente en su página web oficial: www.is2me.org


Ismael Valenzuela ha dado autorización a ISO27000.es para publicar su excelente artículo aparecido en la última edición de (IN)Secure, que versa sobre cómo integrar ISO 17799 en el ciclo de vida de desarrollo de software (SDLC).

El artículo, en inglés, puede descargase aquí.


Alberto Alexander ha publicado un nuevo artículo en eficienciagerencial.com, que presenta de la siguiente forma:

"El Business Continuity Plan (BCP) termina con un documento denominado "plan de reanudación de operaciones". Este documento detalla las fases y las actividades requeridas para que rápidamente dentro de los tiempos máximos tolerables, los procesos esenciales puedan reanudar sus operaciones. Los equipos designados deben poder ejecutar sus actividades y responsabilidades tal como fue planificado.
Si la empresa no realiza ensayos, no comprueba que los equipos saben desempeñar sus funciones y no valida que el BCP cumple su propósito, no se tiene un BCP."

El artículo está disponible en: eficienciagerencial.com


ISACA y el IT Governance Institute han puesto a disposición de consulta pública el borrador de la guía de objetivos de control de TI para Basilea II.

Este documento proporciona un marco de gestión del riesgo de los sistemas de información en el contexto de Basilea II para organizaciones de servicios financieros.

Más información, documento para descarga y forma de comunicar comentarios en ISACA.org.


Ya ha sido publicado el número 11, correspondiente a Junio de 2007, de la revista Auditoría y Seguridad.

La edición online está disponible en: www.revista-ays.com.


www.bs25999.com
30/May/2007
www.bs25999.com es un sitio web en inglés que lleva activo algún tiempo y que ofrece información, noticias, artículos, recursos, enlaces, etc., sobre gestión de continuidad de negocio en general y la norma BS 25999 en particular.

Es posible abonarse a sus feeds de noticias y de publicación de documentos.


Joseba Enjuto hace un par de reflexiones interesantes en su blog.

Por una parte, incide en la necesidad de que, al redactar políticas, se incluya un apartado dedicado a su justificación y motivos, persiguiendo con ello una mejor concienciación del personal, indicación para futuras revisiones de cuál fue la causa de su redacción (por si esta ya no fuese relevante), apoyo a las actividades formativas, mejor difución de las motivaciones y establecimiento formal de las mismas.

Por otra parte, propone un método sencillo de gestión sin burocracia para pequeñas organizaciones.


La entidad de certificación SGS y la empresa consultora AUREN organizan el próximo 7 de Junio en Madrid un desayuno de trabajo bajo el título de "Implantación de un SGSI".

Más información e inscripciones en: SGS


El Instituto Nacional de Justicia de EEUU ha publicado una guía en inglés que aporta información técnica introductoria a personas responsables de investigaciones sobre hechos que incluyan el uso de Internet y otras redes de ordenadores.

A lo largo de 137 páginas, la guía presenta con un cierto grado de detalle (sin llegar a ser un manual técnico) los conceptos, posibles malos usos, implicaciones legales, etc., sobre temas como rastreo de direcciones de Internet, e-mail, páginas web, mensajería instantánea, chats, redes P2P, intrusiones, ataques de denegación de servicio, etc.

La guía puede descargarse gratuitamente de Office of Justice Programs


Security Park publica un interesante artículo en el que plantea la importancia de que se haya publicado un estándar de continuidad de negocio como BS 25999 (en su parte primera; la segunda está aún por publicar), pero avisa de los peligros de buscar sólo el alineamiento con la norma sin imbricar realmente toda la gestión de continuidad de negocio en los procesos de la empresa, tratar el asunto como un proyecto y no como una parte consustancial a sistemas y procedimientos o de implantar la norma en organizaciones pequeñas en toda su extensión.

Artículo completo en Security Park


El pasado 17 de Mayo, coincidiendo con el Día de Internet, el portal argentino especializado en seguridad www.segu-info.com.ar, que dirige Cristian F. Borghello, finalizó su Cruzada Antifraude de 17 días.

Durante ese tiempo, cada día se publicó en dicho portal una así llamada Naranja, consistente en un consejo -explicado y documentado- para utilizar Internet de forma segura.

El resultado de esta excelente iniciativa queda a disposición del público para su consulta en http://www.segu-info.com.ar/cruzada/


La Asociación de Auditores y Auditoría y Control de Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA), que es también el capítulo de Madrid de ISACA, tiene organizados para lo que queda de año 2007 los siguientes cursos:

Análisis forense y generación de evidencias electrónicas (14 y 15/06/07)
Seguridad en los SI. Aspectos prácticos (11/07/07)
(In) Seguridad en VoIP (18/09/07)
Criptografía para Auditores (11/10/07)
Auditoría del Outsourcing en los sistemas de información (25/10/07)
Plan de Continuidad de Negocio: definición, implantación y evaluación (05 y 06/11/07)
Normativas, guías y estándares en seguridad (en preparación)

Más información e inscripciones en ASIA


El Instituto Bancario Internacional y CYBSEC ofrecen en Ciudad de Panamá, del 13 al 15 de Junio, un curso de 24 horas que lleva por título "Manejo de incidentes informáticos y gerenciamiento de la seguridad".

El curso cubre un amplio espectro de aspectos técnicos y gerenciales, además de estar complementado con casos prácticos.

Más información e inscripciones en Instituto Bancario Internacional


Por quinto año consecutivo, tendrá lugar del 6 al 8 de Junio el evento InfoSecurity en el Hotel Sheraton de Buenos Aires (Argentina).

Más información e inscripciones en: www.infosecurityonline.org


ESA Security, empresa especializada en seguridad de la información con sede en Madrid, está en proceso de construir una red de partners en Valencia, Zaragoza, Valladolid y Galicia.

El perfil de partner buscado es el de una consultora con su sede central en una de las mencionadas zonas, bien introducida en la misma y que busque aportar un valor añadido a sus clientes a través de los servicios especializados en seguridad de la información de ESA Security.

Los servicios de consultoría que ofrece ESA Security están orientados a certificación ISO 27001, planes directores de seguridad, planes de continuidad de negocio, análisis y gestión de riesgos, hacking ético, formación en seguridad de la información, mantenimiento de redes y software de seguridad y adecuación y auditoría de LOPD.

Las empresas interesadas pueden contactar a través de e-mail: partners@esa-security.com


ESA Security, empresa consultora española especializada en seguridad de la información y en implantación de SGSIs, ha pasado recientemente con éxito la auditoría de su propio SGSI por parte de la entidad de certificación SGS, bajo acreditación UKAS.

Fuente de la noticia: www.esa-security.es


La revista Red Seguridad ha organizado un seminario para el próximo 12 de Junio en el Hotel Meliá Castilla de Madrid dedicado a los aspectos de seguridad que condicionan la seguridad de las oficinas móviles.

Habrá ponencias dedicadas a la seguridad del puesto de trabajo móvil, seguridad de las comunicaciones, identificación y acceso, procesamiento de información, gestión de incidentes, respaldo y recuperación, etc.

El evento es gratuito, pero con aforo limitado.

Más información e inscripciones en www.borrmart.es


Varios medios de comunicación se hacen eco del acuerdo que han firmado hace unas semanas la empresa consultora española AVENTIA y British Standards Institution, por el cual la primera entra a formar parte del grupo de empresas consultoras asociadas a la segunda, a nivel internacional, para la implantación de proyectos de adecuación a ISO 27001, ISO 20000 y BS 25999.

Este acuerdo se enmarca dentro del Associate Consultant Programme que promueve BSI a nivel mundial, como marco de asociación con empresas consultoras de implantación de diversos estándares de gestión, manteniendo por una parte la independencia entre consultoría y certificación, pero buscando por otra una cierta homologación de niveles de calidad en la prestación de servicios de consultoría de sistemas de gestión.


Según resolución de 16 de abril de 2007 de la Dirección General de Desarrollo Industrial, por la que se publican los proyectos de norma UNE que la Asociación Española de Normalización y Certificación (AENOR) tiene en tramitación, se ha sometido a información pública en el Boletín Oficial del Estado el proyecto de norma PNE-ISO/IEC 27001 con el título "Tecnología de la información. Técnicas de seguridad. Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) (ISO/IEC 27001:2005)" que, una vez aprobado, será adoptado finalmente como norma UNE.

La publicación en el BOE tiene fecha de 7 de Mayo y la duración del período de información pública establecido para este proyecto de norma PNE-ISO/IEC 27001 es de 20 días (contados a partir del 8 de Mayo). En este, caso, al tratarse de una traducción del inglés y no de una norma creada específicamente como UNE, no está disponible al público para comentarios el documento traducido.

La aprobación final del proyecto permitirá actualizar la actual norma UNE 71502 (basada en el estándar británico BS 7799-2 del año 2002) y disponer finalmente de una norma UNE 27001 en español y en relación con el actual estandar internacional ISO/IEC 27001:2005.

Acceso a publicación en BOE núm. 109


El comité ISO/IEC JTC1/SC27 está desarrollando un conjunto de documentos de apoyo para la familia ISO/IEC 27000 en sectores específicos, incluyendo:

ISO/IEC 27011, requisitos para telecomunicaciones
ISO/IEC 27012, requisitos para la industria automotriz
ISO/IEC 27013, requisitos para la asociación mundial de loterías.
ISO/IEC 27014, requisitos para sistemas de información en los transportes.

Artículo disponible en nuevo número de spain.irca.org


Se encuentra abierto el plazo de inscripción para un curso de Auditor Líder en ISO 27001 que impartirá SGS Certificación en Madrid del 11 al 15 de Junio de 2007.

El programa IRCA (International Register of Certificated Auditors) de este curso para Auditor Líder ISO 27001 ha sido desarrollado conjuntamente con Ted Humphreys (Director de Xisec y considerado el padre de las normas ISO 27001 e ISO 17799), como respuesta a la demanda de auditores competentes en sistemas de gestión de seguridad en la información (ISMS).

El curso, de orientación eminentemente práctica permite la obtención por parte de los asistentes de la titulación IRCA, reconocida internacionalmente.

SGS ofrece también el primer curso IRCA que se va a celebrar fuera de Asia para Auditores Líder de Sistemas de Gestión de Servicios de Tecnología de la Información en ISO 20000 (25-29 Junio), también en Madrid y en español.

Más información e inscripciones en SGS España


La ISO/IEC 27001, norma de un sistema de gestión de seguridad en la información (ISMS), fue publicada en octubre de 2005. ¿Luego de dos años, ha sido un éxito?. ¿Es tan eficaz y popular como lo son las normas de calidad y medioambiente?. Pandita Louram investiga si la norma ISO/IEC 27001 se ha asegurado un lugar entre las famosas de sistemas de gestión.

Artículo disponible en nuevo número de spain.irca.org


LGAI Technological Center, S.A. (Campus de la U.A.B, s/n 08193 Bellaterra. (Barcelona) ha sido acreditada por la ENTIDAD NACIONAL DE ACREDITACIÓN, conforme a los criterios recogidos en la norma UNE-EN 45012:1998 complementada con el documento EA-7/03:2000, para: "Certificación de Sistemas de Gestión de la Seguridad de la Información" de acuerdo con los documentos normativos:

- ISO 27001:2005 Information technology -- Security techniques -- Information security management systems ? Requirements

- UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)

La acreditación se obtiene tras un proceso de auditoría que comprueba la calidad del trabajo realizado y el cumplimiento de las normas internacionales de referencia, en este caso el documento EA 7/03.

Información completa en PDF Nota prensa Applus+ LGAI


El 6% de los negocios predicen el coste de las caídas en alrededor de 1.500.000 euros/hora.

-Global Switch ha publicado los resultados de una encuesta pan-europea en la que se sostiene que las caídas de sistema tienen un coste aproximado de 440.000 euros/hora de media para los negocios europeos. Aún así, casi la mitad de estos negocios (47%) aún mantienen su infraestructura IT crítica en sus propias oficinas.

Markel Gruber, Consejero Delegado de Global Switch España, comenta al respecto: “Con el coste de las caídas superando los 440.000 euros por hora, las compañías en Europa deberían despertar y empezar a reconocer la importancia de proteger su infraestructura informática contra alguna potencial caída. A pesar de que algunos sectores muestran un grado notable de preocupación al respecto, casi la mitad de los negocios europeos siguen poniendo sus sistemas corporativos en riesgo. Los directores de informática deberían dar mayor importancia al entorno físico en el cual eligen localizar la infraestructura informática crítica, para mitigar riesgos y evitar costosas repercusiones?

Noticia completa en Financialtech Magazine


La citada asociación se presentó celebrando una jornada internacional sobre la situación y los retos de seguridad de la información en España.

Según datos expuestos por la ISMS Japón es el país más avanzado en número de empresas cuya seguridad de la información está certificada por los estándares aceptados internacionalmente, mientras que Reino Unido, Alemania, Italia o Estados Unidos figuran entre los primeros.

También la India, Corea o China están bien situadas, mientras que España está realmente a la cola, por detrás de Turquía, Malasia, Polonia o Brasil, por citar otros países que van por delante.

La ISMS está constituida por diversas empresas e instituciones públicas, desde la Universidad Complutense a Bankinter o Gas Natural, pasando por el Consejo de Colegios de Médicos o Hewlett Packard en España, por citar algunas.

Gianluca D'Antonio, presidente de la asociación, señaló a Efe que "considerando que somos el octavo país del mundo según el PIB y que estamos entre los cinco primeros países del mundo en número de certificados de calidad ISO 9000, no tiene ningún sentido que España arrastre un retraso tan grande en certificaciones de seguridad".

"Por ejemplo, con este certificado, un banco garantiza a sus clientes que cuando actúan en internet los datos de las transacciones se transmiten según un protocolo establecido que garantiza el mínimo riesgo", explicó D'Antonio.

"En España en los últimos años las empresas se han dedicado a implementar sus negocios, a crecer, a consolidarse y esta fase de la seguridad de la información es un nivel de madurez posterior. Cuando ya han consolidado su modelo de negocio y tienen un mercado maduro las empresas empiezan a implementar todas las medidas complementarias para mejorar su nivel de servicio. Ahora deben hacerlo las empresas españolas", concluyó.

Constituida sin ánimo de lucro para dar mayor visibilidad a este sector estratégico y minimizar los riesgos que amenazan a la información, la ISMS Fórum Spain integra ya a 45 empresas y 400 profesionales.

Entre los socios fundadores, además de las ya citadas, figuran Futurespace, S21 Sec, SGS ICS, Sanitas, BT Global Services, Ecija y Fomento de Construcciones y Contratas.

Noticia completa en Fuente EFE


El próximo día 24 de Mayo se celebrará un desayuno de trabajo organizado por ESA Security y SGS Certificación en el Palacio de Miraflores con el tema "La importancia crítica de la gestión de la seguridad de la información para el negocio" y presentado a debate abierto por Gianluca D'Antonio, Director de Seguridad de la Información y gestión del riesgo de Fomento de Contratas y Contrucciones y presidente del ISMS Forum.

La asistencia al evento es con registro previo y gratuito.

Información completa en PDF Desayunos Mayo


Nuevo número de la revista bimensual en inglés publicada por ISACA y dedicada a IT governance y auditoría, control y seguridad de sistemas de información.

Acceso a miembros en Information Systems Control Journal


Más de la mitad de las organizaciones fallan en la formación de sus empleados sobre cómo tratar los datos, comprometiendo la seguridad de sus clientes y según indica el último estudio de ARMA Internacional.

El estudio, que cuenta con las opiniones de más de 500 profesionales de TI y Recursos Humanos, ha encontrado que el 45 por ciento de compañías no proporcionan formación formal al personal para la manipulación de expedientes y de la información corporativos y 46 por ciento no tiene ningún plan para introducir este tipo de formación en un futuro próximo.

El informe también revela que casi un tercio (31 por ciento) de negocios elige no entrenar a sus empleados específicamente sobre la seguridad de los datos.

"El hecho de que tan muchas organizaciones no formen formalmente a todos sus trabajadores en el manejo de registros e información - incluyendo datos sensibles - indica que muchos altos ejecutivos no comprenden completamente el riesgo," declaró Marilyn Bier, director ejecutivo internacional de ARMA internacional.

La "información es un activo corporativo crítico. Es también un área importante de riesgo. Este hecho debe iniciarse desde lo más alto." Según Bier, las compañías tienen la responsabilidad de formar a cada uno de los miembros del personal para la debida atención a la importancia de la seguridad de la información.

"la falta de institucionalizar la formación para la administración de datos deja a una organización vulnerable," indicó. las "políticas por si sólas no son bastantes. Cada empleado necesita entender por qué la protección de los datos es importante para la continuidad de la operativa y los riesgos que se corren si no se hace bien."

Información completa en SCMagazine


Entre los contenidos de este nuevo número destacamos el interesante artículo dedicado a la integración de ISO 17799 en el ciclo de vida para el desarrollo del Software y con un mapeo detallado de controles de la norma recomendables en relación a cada una de las fases involucradas en el desarrollo.

Relación completa de contenidos:
* On the security of e-passports
* Review: GFI LANguard Network Security Scanner 8
* Critical steps to secure your virtualized environment
* Interview with Howard Schmidt, President and CEO R & H Security Consulting
* Quantitative look at penetration testing
* Integrating ISO 17799 into your Software Development Lifecycle
* Public Key Infrastructure (PKI): dead or alive?
* Interview with Christen Krogh, Opera Software's Vice President of Engineering
* Super ninja privacy techniques for web application developers
* Security economics
* iptables - an introduction to a robust firewall
* Black Hat Briefings & Training Europe 2007
* Enforcing the network security policy with digital certificates

Descarga en PDF (IN)Secure 11

También disponible desde nuestro apartado de Boletines


INFORC ECUADOR es un proyecto personal de Carlos Jumbo desarrollado hace dos años, con un solo objetivo, poner a cosideración de todos una gran variedad de recursos y herramientas para información general de diferentes tópicos necesarios y útiles hoy en día.

Los temas que serán tratados en el Primer Seminario de Seguridad de la Información INFORC ECUADOR son:

* EL SCAM (Qué es el SCAM?)
* SPAM (Origen, cifras, como prevenirlo, herramientas, SPAM a través de la Web, ¿SPAM un negocio en el Ecuador?, etc.).
* FRAUDE NIGERIANO (como funciona, sus riesgos y su historia, etc.)
* HOAX (mails cadena)
* MALWARE (virus, troyanos, gusanos, etc.)
* PHISHING (objetivo, métodos, víctimas)
* SPYWARE (su evolución, ejemplos, Redes sociales, WEB 2.0, prevención)
* ATACANTES (hackers, crackers, etc.)
* INGENIERIA SOCIAL (ejemplos y casos prácticos, como prevenir)
* TECNOLOGÍA VS FACTOR HUMANO
* EMPRESAS SIN CAPACITACIÓN (sus riesgos)
* MANEJO DE INFORMACIÓN (evitar fugas, prevención)
* LOS RIESGOS DE SIEMPRE PERO EN OTROS MEDIOS (Buscadores, Bluetooth, etc)
* EL FUTURO DE LA CIBERDELINCUENCIA (Piratas de la web, Ataques VOIP).

El seminario tendrá lugar el viernes 22 de junio desde las 14h00 en el Hotel Best Western Hotel Casino Plaza de la ciudad capital del Ecuador.

Información completa en Inforc.ec


Impide recuperar información sobre los tratamientos de los pacientes.

Técnicos informáticos trabajan «con toda intensidad» desde el pasado viernes en el Hospital General Yagüe para solucionar la caída de la red de ordenadores del Complejo Hospitalario de Burgos, afectada por un virus informático, según confirmó ayer el delegado de la Junta en Burgos, Jaime Matéu.

El origen de este virus está siendo investigado, según explicó Matéu, que mostró su esperanza de que el problema esté resuelto mañana lunes. La infección del sistema informático del Complejo Hospitalario mantiene sin conexión diferentes servicios sanitarios e impide recuperar archivos para conocer datos de los pacientes como los medicamentos o dietas especiales. «Ha afectado a la herramienta que facilita la tarea de todos los profesionales y que da una mayor agilidad a los problemas sanitarios», indicó el delegado de la Junta.

Noticia completa en Nortecastilla.es


Al parecer, los funcionarios de dicho organismo no conocían los metadatos que Word incluye en los documentos y sus peligrosos "efectos colaterales", lo que ha permitido acceder a información que refleja la incompetencia y el aislamiento de las fuerzas de ocupación...

Y un aviso para navegantes: en contra lo que algunos aún piensan, para eliminar todos los metadatos no basta en principio con importar un doc en OpenOffice y convertirlo a odt, como tampoco basta en general la simple conversión de formato Word a pdf. La NSA tiene publicado un documento al respecto, donde explica al usuario lo que debe saber (quién sabe si habrá otros detalles que la NSA considera que no necesitamos saber...). Por su parte, Microsoft permite descargar un plugin que se supone elimina los metadatos.

Recordar por último a los usuarios de sistemas libres la existencia de Catdoc, una sencilla utilidad que permite desformatear (y por tanto limpiar definitivamente) los documentos DOC. Actualmente la descarga de Catdoc (un software libre creado por un informático ruso) incorpora también la de xls2csv y catppt, dirigidos a desformatear los documentos Excel y Powerpoint, respectivamente.

Noticia comentada en Kriptópolis

Noticia completa en Slashdot.org


OWASP Foundation ha traducido la guía de pruebas OWASP v2.0. Un extenso documento que contempla los procesos involucrados en la auditoría de aplicaciones Web.

Más de 300 páginas de valiosa información, fruto de la colaboración internacional de los expertos más reputados del sector.

Descarga del documento en formato ZIP OWASP.org


Ampliamos nuestra sección de podcasts con una entrevista a Joanne Gagnon, delegada para España y Portugal del Business Continuity Institute (BCI). Con ella hablamos sobre las actividades del BCI, su lanzamiento en España, la norma BS 25999 y otros aspectos de la continuidad de negocio.

Recordamos que dentro de esta serie de entrevistas, ya se han publicado:

Podcast Enrique Martín, Sanitas, Implantación y certificación de ISO 27001.
Entrevista de Iñaki Lázaro (El Guardián) a www.iso27000.es (Agustín López y Javier Ruiz). Introducción a los SGSIs e ISO 27001.
Podcast Silvia García, Belt Ibérica, Implantación y certificación de ISO 27001.
Podcast Abel González, ESA Security. Implantación de ISO 27001 desde el punto de vista de la consultoría.
Podcast Iñigo Barreira, Izenpe. Implantación y certificación de ISO 27001.
Podcast Vicente Aceituno. Modelo ISM3.
Podcast Laura Prats, Applus+. Certificaciones ISO 27001 y UNE 71502, acreditación de entidades de certificación.
Podcast promotores CAMERSEC. Certificación SGSIs en pymes andaluzas.
Podcast Miguel Banegas, Telefónica Empresas. Implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid).
Podcast Miguel Ángel Thomas, Everis (DMR Consulting). Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002).
Podcast Alejandro García, BSI. Estado actual y evolución en la certificación ISO 27001.
Podcast Álvaro Rodríguez de Roa, SGS ICS. Proceso de certificación de un SGSI.
Podcast Agustín Lerma, Nextel. Gestión de riesgos.
Podcast José Manuel Fernández, Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández, Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001, www.ISO27000.es.


I-SEC Education Center Colombia impartirá del 28 de Mayo al 1 de Junio un curso de 40 horas preparatorio para el examen de certificación CISSP (Certified Information Systems Security Professional), incluyendo un examen de simulación.

El curso tendrá lugar en el Centro de Gestión Empresarial CAFAM de la Floresta (Bogotá) y tiene un coste de $2´200.000 + IVA.

Para más información e inscripciones:
Tfno.: (571) 758 6955
e-mail: info.colombia@i-sec.org


El BCI (Business Continuity Institute) ha publicado recientemente una versión actualizada de su guía de buenas prácticas de continuidad de negocio, que viene editando desde 2002, con sucesivas revisiones.

El documento pretende ser una herramienta que ayude a las organizaciones a crear y gestionar su plan de continuidad de negocio y se presenta como una guía de implantación del estándar BS 25999-1, dedicado a esta materia. BCI tiene previsto realizar una nueva revisión una vez que se publique BS 25999-2, que será la norma certificable que establecerá los requisitos de un plan de continuidad de negocio.

La guía, estructurada en cinco capítulos separados, puede descargarse gratuitamente de la web del BCI.

También está disponible una guía de bolsillo, documento que resume en dos páginas los conceptos fundamentales.

BCI tiene también delegación para Iberia.


Javier Cao, siempre atento a las innovaciones en seguridad de la información, comenta en su blog un documento publicado en InfosecWriters sobre diferentes técnicas de uso de contraseñas gráficas basadas en clics sobre fotografías, en figuras geométricas formadas por la posición de iconos, selección de fotografías de personas, etc., como alternativa o complemento a las tradicionales contraseñas basadas en combinaciones de caracteres alfanuméricos.


Privacy International, organización independiente dedicada a denunciar las invasiones de la privacidad de los ciudadanos por parte de gobiernos y corporaciones, ha concedido en un evento reciente en Canadá sus premios Gran Hermano a los considerados mayores invasores de la privacidad del año.

La lista de nominados y ganadores en las diferentes categorías está publicada en www.privacyinternational.org


BuildSecurityIn publica un excelente artículo que revisa 13 modelos diferentes de valoración de inversiones en TI aplicables a la difícil tarea de evaluar el retorno de invertir en generar software seguro.

Los modelos revisados son:

Total Value of Opportunity (TVO) - Gartner
Total Economic Impact (TEI) - Forrester
Rapid Economic Justification (REJ) - Microsoft
Economic Value Added (EVA) - Stern Stewart & Co
Economic Value Sourced (EVS) - Cawly & the Meta Group
Total Cost of Ownership (TCO) - Gartner
Balanced Scorecard - Norton and Kaplan
Customer Index: Andersen Consulting
Information Economics (IE) - The Beta Group
IT Scorecard - Bitterman, IT Performance Management Group
Real Options Valuation (ROV)
Applied Information Economics (AIE) - Hubbard
CoCoMo II and Security Extensions - Center for Software Engineering

El documento incluye también una serie de enlaces a información relacionada.


La Delegación Miguel Hidalgo del Gobierno del Distrito Federal de México es uno de los organismos públicos mexicanos más activos en el ofrecimiento de servicios al ciudadano vía Internet, así como en el aseguramiento de sus sistemas de información. De hecho, tal y como anunciamos en su día, este organismo está certificado en ISO 27001 por BSI desde Septiembre de 2006, formando parte así del reducido grupo de 12 organizaciones certificadas en México.

La última iniciativa de esta Delegación, según informa El Universal, ha sido habilitar en su página web un espacio para que las adjudicaciones directas, menores de 250 mil pesos, se realicen vía electrónica. Esta medida persigue evitar cualquier tipo de discrecionalidad a la hora de otorgar este tipo de contratos y proporcionar así mayor transparencia y rapidez al proceso.


La sección de Eventos de www.iso27000.es se actualiza constantemente con referencias a cursos, seminarios, congresos, ferias, etc., relacionados con seguridad de la información, fundamentalmente en países de habla hispana. Visite la sección regularmente para estar al día.

Los eventos que ya han tenido lugar puede consultarlos en Archivo de Eventos.


Roberto Fañanás, Auditor TIC de la Armada Española, escribe en el número de Mayo de a+)) Auditoría y Seguridad un interesante artículo de introducción al análisis de incidentes, en el que define la taxonomía de los incidentes en función de siete elementos: atacante, herramienta, vulnerabilidad, acción, blanco, resultado no autorizado y objetivo. Después, entra a exponer las distintas fases del análisis: detección, evaluación, notificación, etc.


Ampliamos nuestra sección de podcasts con una entrevista a Enrique Martín, Responsable de Seguridad informática y de continuidad de negocio de Sanitas.

En esta entrevista, Enrique Martín habla sobre el proceso de implantación y certificación de ISO 27001 en su empresa.

Recordamos que dentro de esta serie de entrevistas, ya se han publicado:

Entrevista de Iñaki Lázaro (El Guardián) a www.iso27000.es (Agustín López y Javier Ruiz). Introducción a los SGSIs e ISO 27001.
Podcast Silvia García, Belt Ibérica, Implantación y certificación de ISO 27001.
Podcast Abel González, ESA Security. Implantación de ISO 27001 desde el punto de vista de la consultoría.
Podcast Iñigo Barreira, Izenpe. Implantación y certificación de ISO 27001.
Podcast Vicente Aceituno. Modelo ISM3.
Podcast Laura Prats, Applus+. Certificaciones ISO 27001 y UNE 71502, acreditación de entidades de certificación.
Podcast promotores CAMERSEC. Certificación SGSIs en pymes andaluzas.
Podcast Miguel Banegas, Telefónica Empresas. Implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid).
Podcast Miguel Ángel Thomas, Everis (DMR Consulting). Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002).
Podcast Alejandro García, BSI. Estado actual y evolución en la certificación ISO 27001.
Podcast Álvaro Rodríguez de Roa, SGS ICS. Proceso de certificación de un SGSI.
Podcast Agustín Lerma, Nextel. Gestión de riesgos.
Podcast José Manuel Fernández, Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández, Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001, www.ISO27000.es.


El pasado mes de Marzo se celebró en el National Center for High Performance Computing de Tainan (Taiwan) el primer curso IRCA para la certificación de Lead Auditor ISO/IEC 20000 a nivel mundial.

El curso, con una duración total de 40 horas, fue desarrollado e impartido por SGS (lider mundial en certificaciomes) cumpliendo con los altos niveles de exigencia y siguiendo el esquema y técnicas avanzadas de aprendizaje demandadas por el IRCA. El curso permite la obtención del titulo de "Auditor Jefe en ISO 20000" expedido por el IRCA a aquellos alumnos que asistan al curso y que superen el examen final, recibiendo un título de reconocido prestigio internacional.

El curso se desarrolló en inglés y los primeros tutores reconocidos por el IRCA para impartir estos cursos han sido Louis Lu (SGS Taiwan) y Agustín López Neira (SGS ICS España). Aprovechando la ventaja de las diferentes nacionalidades de dos tutores, SGS ha indicado su intención de adaptar y ofrecer próximamente este curso a partir del mes de Junio en otros idiomas como español o mandarín y en países fuera del continente Asiático como España, Inglaterra, Suiza o países de Latinoamérica .

Información y contacto para cursos IRCA ISO 27001 e ISO 20000 Minisite SGS.

Servicios de Tecnología de la Información IRCA


La tradicional cena de la revista SIC fue el escenario de la entrega el pasado 25 de abril de los Premios SIC.

La apertura de la ceremonia corrió a cargo de Luis Fernández Delgado, editor de la revista SIC, quien hizo entrega del primer galardón a la Asociación Española para el Fomento de la Seguridad de la Información ISMS Forum Spain, por la “ constitución de un marco asociativo abierto para la promoción del desarrollo, el conocimiento y la cultura de la información en España ? . Recogió el galardón Gianluca D?Antonio, Presidente del ISMS Forum Spain, quien agradeció el premio en nombre de la entidad recién creada y que celebrará su I Jornada Internacional de ISMS Forum Spain el próximo 17 de mayo de 2007 en el Reina Sofia de Madrid con un interesante programa.

A continuación, SIC quiso ensalzar la labor profesional y trayectoria destacada en el campo de la seguridad informática con la entrega de sendos galardones a Jorge Dávila Muro (Director del Laboratorio de Criptografía LSIIS de la Facultad de Informática de la Universidad Complutense de Madrid), José de la Peña Sánchez (Economista, Licenciado en Informática y Auditor de Cuentas Censor Jurado), Correos, Nextel, S.A, Grupo ICA, Fortinet, a los Editores Españoles de Normas Internacionales del Subcomité 27 de Seguridad TI de ISO (Miguel Bañón Puente, Editor de las normas ISO/IEC 15408-3 e ISO/IEC 18045, con contenido equivalente a las normas “ Common Critera ? y “ Common Evaluation Methodology ? ; José Antonio Mañas Argemí, Editor de la norma de fechado digital ISO/IEC 18014, parte 2; y Paloma Llaneza González, Co-editora de la norma ISO/IEC 27004, de métricas del SGSI).

El bloque final de entrega de premios fue conducido por José de la Peña Muñoz, Director de la revista SIC, quien entregó trofeos a Manuel Vidal Formoso presidente de ASIA (Asociación de Auditores y Auditoría y Control de Sistemas y Tecnologías de la Información y las Comunicaciones, Capítulo de Madrid de ISACA), al Equipo de Seguridad Tecnológica del Banco Sabadell y a Rosa María García Ontoso (asesora en materia de seguridad y protección de datos de las Direcciones Generales de Informática Sanitaria e Innovación Tecnológica y en la Dirección General de Farmacia y Productos Sanitarios de la Comunidad de Madrid; además, también es presidenta del Subcomité Técnico de Normalización de la Seguridad JTC1/SC27).

También se distinguió la labor del Centro Criptológico Nacional-CCN por “ el trabajo realizado en pro de la obtención para España de la capacidad de emitir certificaciones de seguridad de las TIC basadas en los Criterios Comunes ?.

Información detallada y fotos de los galardonados en Revista Sic


Importantes medios de Internet ya se han hecho eco de la Cruzada Naranja de Segu-Info contra el Fraude en Internet.

Cada una de las Organizaciones que apoyan la cruzada han aportado su conocimiento y experiencia en el area en que se desarrollan, para dar valor agregado a la Cruzada de Segu-Info.

Este material tiene como Objetivo la Educación, y ha sido desarrollado para que los usuarios de todos los niveles lean, aprendan y jueguen.

Como lo dice el nombre de la Cruzada, se entregarán 17 Naranjas en formas de Consejos para utilizar Internet en forma segura. Se estudiarán las formas de estar siempre alerta para evitar caer en las trampas de delincuentes y personas que se aprovechan de la inocencia de otros.

Hasta el 17 de Mayo, Día Internacional de Interet, cada naranja tratará un tema diferente como:
- Uso de la Ingeniería Social
- Derecho a la Intimidad y Privacidad
- Configuración correcta del navegador y del correo electrónico.
- ...
Acceso a la página principal y consejos directamente en Segu-Info


Open Vulnerability and Assessment Language (OVAL™) es un intento de formalización y normalización de los intercambios de información entre herramientas relacionadas con la gestión de vulnerabilidades y bastionado de equipos.

OVAL incluye un lenguaje utilizado para especificar los sistemas de información y valorar la presencia de las vulnerabilidades.

Este lenguaje estandariza los tres principales pasos en la gestión de vulnerabilidades:

- Recoger la información existente respecto a las vulnerabilidades publicadas que puedan afectar a los sistemas de información revisados.
- Verificar que esas vulnerabilidades están o no presentes.
- Realizar informes con el estado de situación tras los examenes realizados.

Noticia completa en Blog de Javier Cao

Enlace a la iniciativa y descargables en Oval


Desde Julio del 2005 attrition.org ha registrado distintos sucesos en relación a pérdida de datos y robos de información ocurridos no sólo en los Estados Unidos. La lista incluye incidentes que podrían haber expuesto información sensible y se remonta al año 2000.

DLDOS es un sencillo fichero con valores separados por comas y que puede ser importado libremente a modo de base de datos MySQL, MS Access, Oracle,... y que incluye datos sobre la fecha, la compañía que informa del suceso, el tipo de información objeto del impacto, el número de registros de información afectados, terceras compañías involucradas y algún otro dato de interés.

El acceso a estos datos es libre y disponible para usos no comerciales y mantiene en estos momentos 618 casos con un total de 204 millones de registros de información afectados.

Acceso a la página principal en Attrition.org


Una investigación de IDC patrocinada por EMC, mide y prevé la cantidad y el tipo de información digital que se crea y se copia en el mundo, y si la generan particulares o empresas.

Los resultados del informe tienen diversas consecuencias para los particulares, las empresas y la sociedad.

Principales conclusiones:

* En 2006, el universo digital tenía un tamaño de 161.000 millones de gigabytes (161 exabytes)
* IDC proyecta una sextuplicación anual de la información de 2006 a 2010
* Si bien casi 70% del universo digital será generado por particulares para el año 2010, la mayor parte de este contenido entrará en contacto con una organización en el camino, ya sea en una red, un centro de datos, un sitio de alojamiento, un conmutador telefónico o de Internet, o un sistema de respaldo.

Las organizaciones, incluidas empresa de todo tamaño, agencias, gobiernos y asociaciones, serán responsables de la seguridad, la privacidad, la confiabilidad y el cumplimiento con las normas de al menos 85% de la información.

Noticia completa en Financialtech magazine

Para descargar el estudio (PDF, inglés, 24 páginas, 1,9Mb), pulse aquí


La protección de la reputación de la marca, las relaciones de la empresa con el cliente y los abusos en línea están llegando a ser tan importantes para las compañías como la seguridad de sus redes, datos y sistemas informáticos

“Los abusos de fraude y de la falsificación contra marcas están aumentando en intensidad y en número, a medida que los negocios se mueven en línea?, dijo Rose Ryan, analista de la investigación, realizada por la consultora IDC.

“La protección de la reputación de la marca, las relaciones del cliente y los abusos en línea están llegando a ser tan importante para las empresas como la seguridad de sus redes, datos y sistemas?, agregó Ryan.

El estudio rastrea referencias diarias en 134 millones de registros de páginas web de las 25 primeras marcas mundiales, junto con las ocho principales marcas en categorías como automóviles, alimentación, ropa y alta tecnología.

¿Por qué los hackers buscan las marcas que son propiedades de empresas y no de productos, artistas y deportistas famosos, clubes deportivos o grupos de música? Ocurre que en la web las marcas corporativas son las que tienen mayor difusión y presencia. Los dominios de Internet relacionados con estas marcas se utilizan tanto en la web y en el e-mail por millones de personas que deben ingresar a los portales de sus empresas para realizar distintas actividades.

De esta manera, aumentan la cantidad de datos personales que pueden capturar los ciberdelincuentes, para cometer luego con ellos diferentes delitos.

Noticia completa en Infobaeprofesional.com


El próximo 8 de mayo, a las 11.00 h., tendrá lugar en la sede del Centro Superior de Estudios de la Defensa Nacional, en Madrid, la presentación de la Capacidad de Respuesta ante Incidentes de Seguridad de la Información (CCN-CERT), desarrollada por el Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). El objetivo de este servicio es mejorar el asesoramiento y afrontar de forma activa las nuevas amenazas a las que hoy en día están expuestos todos los sistemas de información de las Administraciones Públicas.

Los responsables de Seguridad y Sistemas de la Información de los diferentes organismos públicos con sede en la Comunidad de Madrid, tanto estatales, como autonómicos y locales, están invitados a un acto que contará con la participación del Subdirector General Adjunto del CCN, Luís Jiménez, y del Jefe de Política y Servicios del citado centro, Javier Candau.

En dicho encuentro se ofrecerá una visión detallada de los objetivos y la misión de este nuevo servicio creado por el CCN con el fin de ser el centro de alerta nacional que ayude a las AAPP a responder de forma rápida y eficiente a los incidentes de seguridad que pudieran surgir.

Con este acto se inicia una gira por toda la geografía española para presentar el proyecto en las distintas autonomías.

Noticia completa en CNN-Cert


Series CCN-STIC
08/May/2007
La serie de documentos CCN-STIC incluye normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los Sistemas de las TIC en la Administración, constituyendo un marco de referencia que sirva de apoyo al personal en su tarea de proporcionar seguridad a los Sistemas bajo su responsabilidad.

Para acceder al área de descarga hay que registrarse en el Portal CCN-CERT como paso previo de entrada al portal.

Página con el listado completo de publicaciones en CNN-Cert


El Tribunal Supremo ha confirmado la sanción de 1,08 millones de euros a Zeppelin Televisión S.A, productora del programa Gran Hermano, impuesta por la Agencia Española de Protección de Datos por el tratamiento dado a la información de carácter personal de unos 7.000 candidatos a participar en el espacio de televisión emitido por Telecinco.

La sentencia publicada señala que la productora recabó información relativa a gustos, ideología, creencias religiosas, raza, salud o vida sexual sin que existiera consentimiento de los candidatos para que estos datos se trataran informáticamente. Además, cedió los ficheros sin la debida seguridad a personas con las que no le unía ningún lazo contractual.

Noticia completa en El País


IDC llevó a cabo en la ciudad de México al IDC Websec 2007 “La Seguridad en los Tiempos de Internet", foro orientado a impulsar un intercambio de conocimiento, experiencia e información entre las empresas y entidades públicas en materia de Seguridad.

Durante los dos días de actividades, expertos de las empresas más reconocidas a nivel mundial, coincidieron en que la proliferación de amenazas informáticas se debe en gran medida a la cada vez mayor disposición de aplicaciones apoyadas en Internet, lo que hace necesario que las empresas y entidades públicas replanteen sus programas internos-externos de seguridad para prevenir ataques a la infraestructura o la sustracción de información por infiltración o robo de identidad.

El análisis de IDC señala - por ejemplo- que en México el 65% de las empresas han sufrido, por lo menos, un ataque a su infraestructura informática cuyos objetivos están centrados principalmente en robo de información financiera, agendas de directivos y espionaje industrial.

“Consideramos que una sociedad sólo progresa a través de la disponibilidad de la información, y este trabajo debe estar coordinado con las autoridades a partir de planes de negocio creativos y viables. Dichos planes deberán estar respaldados por una infraestructura pública y privada eficaz, segura y disponible en todo momento para asegurar el logro de objetivos", señaló Alejandro Floreán, Director de Go to Market Services y Conferencias en IDC México.

Noticia completa en Diario TI


El denominado "Informe de Analisis y Propuestas en Materia de Acceso a la Información y Privacidad en América Latina" contiene una serie de propuestas de recomendaciones y puntos mínimos para poder implementar políticas y regulación en torno a los temas del Monitor.

Estas propuestas, lineamientos y puntos mínimos se han desarrollado tras el Taller de Lima (Noviembre 2006) en donde expertos de la región encontraron un espacio de dialogo en los temas indicados y han podido encontrar los puntos de coincidencia para establecer mínimos comunes desde la perspectiva de la Sociedad Civil, el Sector Privado, la Academia y el Sector Gubernamental. Asimismo se incluye en el informe propuestas de instrumentos de armonización normativa.

Para obtener documento Informe Situacional de Privacidad y Acceso a la Información en América Latina Informe Situacional

Para obtener documento Informe de Analisis y Propuestas en Materia de Acceso a la Información y Privacidad en América Latina Informe Propuestas


La complejidad creciente de las organizaciones, el dinamismo de los negocios en los que participan y la dificultad para gestionar apropiadamente la infraestructura IT ha revelado la necesidad de establecer y uniformar unos requerimientos mínimos para el gobierno de dicha infraestructura, así como de los procesos de negocio que soporta, manteniendo un nivel de riesgo aceptable.

El desarrollo e implantación de una política de seguridad en el área IT constituye una iniciativa clave que facilita la gestión del riesgo y el uso de buenas prácticas. No obstante, esta clase de proyectos entrañan una dificultad considerable, por lo que, en muchos casos, el esfuerzo realizado no produce los resultados que se esperaban. En este artículo se presentan los diez factores de éxito que, a juicio del autor, deben contemplarse a la hora de abordar el desarrollo de una política de seguridad.

Artículo de Rafael San Miguel para e.Security


Se encuentra abierto el plazo de inscripción para un curso de Auditor Líder en ISO 27001 que impartirá BSI (British Standards Institution) en Madrid del 11 al 15 de Junio de 2007.

El curso, de orientación eminentemente práctica y con un precio de 1.200 euros, incluye un examen el último día que, en caso de superarse, proporciona al alumno el certificado correspondiente.

BSI ofrece también un curso de implantación de ISO 27001 (22-24 Mayo) y de implantación de ISO 20000 (8-9 Mayo), ambos en Madrid.

Más información e inscripciones en BSI España


Bureau Veritas imparte un curso cualificado por IRCA de Lead Auditor en ISO 27001 del 14 al 18 de Mayo en Bogotá (Colombia).

Información y contacto:

olga-judith.alvarado@co.bureauveritas.com
BUREAU VERITAS COLOMBIA LTDA.
Telefono: 57 - 1 - 312 9191 Extensión 126
Bogotá D.C. - Colombia


Del 29 al 31 de Mayo tendrá lugar en el Hotel NH Alcalá de Madrid el evento Global Security Management 2007, centrado en la convergencia de la seguridad física y lógica.

A lo largo de diversas ponencias se expondrán las experiencias de diversas empresas sobre:

* Cómo han implementado un Modelo de Seguridad Integral.
* Los Beneficios de integrar todas las áreas de la empresa en el Plan Director de Seguridad.
* Las ventajas de aplicar la convergencia en los sistemas de control de accesos a ubicaciones físicas y a la información.
* Qué mejoras en la seguridad se obtienen con una adecuada gestión de la identificación de usuarios.
* Las últimas tecnologías en Seguridad: RFID, Sistemas de Identificación Biométricos.

Más información e inscripciones en: www.iqpc.es


El conocido abogado especialista en Derecho Informático Xavier Ribas ha dedicado en los últimos días varias entradas de su blog a los contratos de escrow.

El contrato de escrow, muy poco conocido en España pero ampliamente usado en países como EEUU, es un tipo de contrato en el que un tercero actúa como depositario de un bien y lo entrega a alguna de las dos partes sólo si se cumplen determinadas condiciones.

En el área del software, se utiliza especialmente para regular el uso del código fuente de un programa hecho a medida. La empresa informática desarrolladora (depositante) entrega una copia del código fuente del programa licenciado a un tercero (depositario), que normalmente es un fedatario público, el cual se compromete a custodiarlo y a seguir las reglas del depósito que determinarán la restitución del mismo a su propietario o la entrega al cliente que contrata la licencia según lo dispuesto por las partes. De esta forma, el cliente puede asegurarse la entrega del código fuente en caso, por ejemplo, de que el desarrollador quiebre y el desarrollador se asegura de que nadie va a tener acceso a su know-how mientras cumpla con las condiciones pactadas.

Xavier Ribas ofrece en su blog un modelo de contrato de escrow y una checklist para valorar el equilibrio de intereses de ambas partes durante las fases de redacción, revisión y negociación del contrato.

La checklist resultará muy útil también a un auditor de SGSI que se encuentre en la situación de tener que auditar un contrato de escrow.

Otras referencias:

http://www.onnet.es/06005003.htm
http://www.gtc1.com/library/what_is_escrow_spanish.pdf
http://www.alfa-redi.org/rdi-articulo.shtml?x=1537


Martín Pérez comenta en su blog un informe de KPMG que llega a la conclusión de que la mayor parte de los delitos de fraude son cometidos por la propia dirección de las empresas. Concretamente, se define el perfil del defraudador como varón de entre 36 y 55 años de edad, directivo con más de seis años de antigüedad en la empresa y que trabaja principalmente en el departamento financiero.

Comentario completo en: sociedaddelainformacion.wordpress.com


IT Security publica una lista con enlaces a 103 aplicaciones de seguridad gratuitas para Mac, Windows y Linux ordenadas por los temas spyware, antivirus, rootkit, firewall, e-mail, utilidades web, red, IDS, VPN, ficheros temporales, wireless, encriptación y varios.


The Institute of Internal Auditors ha publicado el volumen número 7 de sus guías de auditoría de sistemas de información.

En esta ocasión, el documento, de 36 páginas, está dedicado a proporcionar una visión general del proceso de externalización de TI en las organizaciones, así como aspectos a tener en cuenta desde el punto de vista de la auditoría.

El índice contenidos es el siguiente:

1. Summary for the Chief Audit Executive (CAE)
2. Introduction
3. Types of IT Outsourcing
4. Key Outsourcing Control Considerations ? Client Operations
5. Key Outsourcing Control Considerations ? Service Provider Operations
6. IT Outsourcing ? A Few Applicable Control Frameworks and Guidelines
7. Recent Trends and the Future of Outsourcing
8. Glossary of Terms

Descargable gratuitamente en: www.theiia.org


Gary Hinson hace referencia a un excelente whitepaper de Mich Kabay dedicado a cómo crear y gestionar un equipo de respuesta a incidentes de seguridad de la información (conocido por sus siglas CERT, CSIRT o CIRT) .

A lo largo de 31 páginas, el autor expone de forma clara, resumida y práctica todos los pasos necesarios para crear, mantener y gestionar la respuesta a incidentes de seguridad de la información en una organización. Con ejemplos, casos prácticos, enlaces a otros documentos, consejos, etc., esta guía es de amena lectura y utilidad práctica.

Descargable en: norwich.edu


Cualquier persona interesada en seguridad de la información conoce las prestigiosas guías del NIST (National Institute of Standards and Technology de EEUU).

El número de guías y documentos ofrecidos para su descarga gratuita es realmente alto, lo que puede dificultar el tener una visión de conjunto de todo lo publicado.

Para ayudar en esto, NIST ha editado un resumen de todo lo disponible en el área de seguridad de la información. Puede descargarse en: NIST Computer Security Resource Center.

Fuente de la noticia: Noticebored.


173 reglas aplicables para generar código más seguro en lenguajes como C o C++ han sido publicadas por BuildSecurityIn.

Para su más rápida localización, estas llamadas "Coding Rules" están ordenadas por varios conceptos: tipo de ataque, tipo de sistema operativo, contexto de software y tipo de vulnerabilidad.


"The President's Identity Theft Task Force" es un grupo de trabajo al cual se le encomendó en Mayo de 2006, en EEUU, la tarea de definir una estrategia general de lucha contra el robo de identidad, un problema de seguridad de la información cuya dimensión ha crecido considerablemente en los últimos tiempos.

En este mes de Abril, este grupo ha publicado un informe sobre la situación actual del robo de identidad (centrado, naturalmente, en EEUU) y la estrategia y recomendaciones para combatirlo desde distintos frentes (administraciones, consumidores, empresas, etc.).

El informe, de 120 páginas, está disponible para su descarga libre en www.idtheft.gov, junto con informaciones adicionales y una lista de sitios web (también en español) relacionados con el robo de identidad.


La Caja de Ahorros y Pensiones de Barcelona, más conocida como "La Caixa" ha obtenido la certificación en ISO 27001:2005 por parte de BSI (British Standards Institution).

El alcance certificado, tal y como se publica en International Register of ISMS Certificates es concretamente:

"La proteccion y seguridad de los servicios web de "la Caixa" gestionada por un equipo especializado en prevención y respuesta ante incidentes."

Fuente de la noticia: portal1.lacaixa.es.


Abril cerró con 3.530 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo, 180 más que el mes pasado.

En ISO 27001 son concretamente 1.235, cifra que incluye 656 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 579 nuevas certificaciones.

Encabeza la lista, como desde hace años, Japón, con 2.043 certificaciones, y le siguen el Reino Unido, con 329, y la India, con 285.

Una idea del rápido crecimiento que está experimentando la certificación es que, a finales de 2004, eran unas 1000 empresas las que estaban certificadas en todo el mundo y, a finales de 2005, unas 2.100.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México, 12.
España, 9.
Argentina, 3.
Colombia, 2.
Perú, 1.
Uruguay, 1.

Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.


El próximo 17 de mayo de 2007 tendrá lugar en el Reina Sofia de Madrid la I Jornada Internacional de ISMS Forum Spain con el siguiente programa:

9:00h. Acreditación y recogida de documentación.
9:30h. Inauguración de la jornada.

10:00h. Artemi Rallo, Director de la Agencia Española de Protección de Datos.
“Balance y retos de la protección de datos en España: próximas actuaciones previstas?.

10:30h. Fabrizio Cirilli, Presidente, ISMS International User Group Italia.
“La experiencia de la organización internacional ISMS IUG. La situación de los distintos países con respecto a la implantación de SGSI y la certificación en ISO 27000. Colaboración y posibles sinergias entre España e Italia?.

11:00 - 11:30h: Coffee-Break en el hall del Auditorio 200.

11:30h. Elaine Farmer, Data Protection Manager, BT GS.
“Organización Estratégica de la Seguridad de la Información y la protección de datos en una multinacional?.

12:00h. Simon Feary, Director de IRCA (International Register of Certificated Auditors, United Kingdom).
“Tendencias globales de la certificación. La experiencia y posicionamiento de IRCA en SGSI?.

12:45h. Gianluca D?Antonio, Presidente de ISMS Forum Spain.
Director de Seguridad de la Información y Gestión de Riesgos del Grupo FCC.
“Los retos de la seguridad de la información en España?.

13:00h. Carlos Alberto Sáiz, Secretario de ISMS Forum Spain. Socio responsable de IT Compliance, Écija.
“Próximos proyectos y actividades de ISMS Forum Spain?.

13:15 - 13:45h: Coloquio.

13:45 ? 15:30h: ALMUERZO (Cóctel en las terrazas del edificio Jean Nouvel)

15:30h. Pablo Juantegui, Consejero Delegado de Sanitas.
“La seguridad de la información en el marco del Buen Gobierno corporativo?.

16:00h. Panel de expertos y coloquio:
“ La experiencia española: análisis de riesgos y exposición de casos reales?.
Javier Valdés, Director de Seguridad de Sistemas de Bankinter.
“ La certificación ISO 27000 como elemento facilitador de negocio?.
José Luis Checa, Responsable de Seguridad de la Información de Gas Natural.
“ Política de Seguridad de la Información: claves y estrategia para obtener el apoyo
y el compromiso de la Dirección?.

17:00 - 17:30h: Coloquio.

17:30h. Conclusiones y cierre de la jornada por el presidente de ISMS Forum Spain. Asociación Española para el Fomento de la Seguridad de la Información

La asistencia será gratuita para los socios de ISMS Forum Spain

Programa disponible en Programa en PDF

Inscripción de nuevos socios en ismsforum.es

Ultimas plazas para patrocinadores en info@ismsforum.es


Atos Origin ha obtenido la certificación ISO 27001:2005 para sus actividades en Brasil. Esta certificación ha sido acreditada por la BSI, organismo independiente y miembro fundador de la Organización Internacional para la Estandarización (ISO).

"Estamos muy orgullosos de haber alcanzado este estándar. Esta certificación atestigua formalmente la rigurosa implantación de los elementos de seguridad tecnológica -confidencialidad, fiabilidad, integridad y disponibilidad de la información- en los servicios y soluciones que ofrecemos a nuestros clientes. Esta certificación garantiza a nuestros clientes que ofrecemos servicios de alta calidad, conforme a sus exigencias, mediante procedimientos controlados, reglas y buenas prácticas. Esta nueva certificación también confirma al mercado nuestra capacidad para garantizar la fiabilidad, la integridad y la disponibilidad de nuestros datos para una amplia gama de proyectos de software, consultoría, integración de sistemas y outsourcing", afirma Sergio Bartoletti, CEO de Atos Origin para Latinoamérica."

"Las compañías dependen en gran medida de sus sistemas de información, por lo que se han convertido en activos altamente estratégicos, especialmente en el proceso de toma de decisiones. La información es un activo de gran valor para las empresas, y es esencial generar una cultura de seguridad en este sentido. Atos Origin, consciente de dichos factores, invierte continuamente en su programa de mejoras, consecuencia directa de la obtención de las certificaciones internacionales ISO 9001 y ISO 27001", comenta Ellie Borges, auditor jefe de BSI.

Atos Origin emplea en Brasil a 2.000 personas, y en 2006 celebró su 15 aniversario en este país. Desde Brasil, Atos Origin proporciona soporte offshore para algunos clientes internacionales del grupo, y constituye una parte importante de su estrategia de Global Sourcing.

Noticia completa en Atos Origin


Securmatica
24/April/2007
Securmática 2007, XVIII edición del Congreso español de Seguridad de la Información, organizado por la revista SIC, tendrá lugar los días 24, 25 y 26 de abril del presente en su tradicional sede del Campo de las Naciones de Madrid.

Securmática 2007 ofrecerá una visión orientada a los profesionales que conforman el sector de protección TIC (usuarios, consultores, desarrolladores, integradores, proveedores de servicios externalizados gestionados, auditores y profesores) mediante la impartición de conferencias a cargo de responsables de seguridad de empresas y organismos sobre sus experiencias y logros en distintas áreas de protección, la presentación de proyectos de valor y el debate de dos asuntos del máximo interés, uno centrado en "La incidencia del 'cumplimiento normativo' en la función del responsable de seguridad de la información", y otro vinculado con "La necesidad de crear herramientas de ayuda a la toma de decisiones en seguridad de la información".

Programa e informaciones en Securmatica.com


Según Recovery Labs, más del 60% de los casos para los que se solicita el servicio de peritaje informático están relacionados con el sabotaje, la competencia desleal o por mala fe de algún empleado de la empresa. Es que la marcha a la competencia de un empleado clave para una compañía puede suponer un problema en la seguridad de la misma.

Al sabotaje informático le siguen, en porcentaje de demanda, los casos referidos al uso indebido de Internet, con un 31,6% y ya, a mucha distancia, el abuso de material informático con un 6,1%.

“El crecimiento e implementación del uso de sistemas informáticos tiene asociado un constante incremento del número de litigios relacionados con delitos informáticos que requieren peritajes informáticos como medio de prueba?, afirma Juan Martos, Responsable del Departamento de Informática Forense de Recovery Labs.

Noticia completa en financialtech-mag.com


Segundo número de la revista Análisis de Amenazas Globales de McAfee®

Sage examina el futuro de corto plazo del negocio de la seguridad: las amenazas, defensas y problemas que enfrentarán los profesionales en seguridad durante los próximos cinco años.

1. El futuro del crimen cibernético.
2. Cómo asegurar las aplicaciones.
3. El futuro de la seguridad, Vista Edition.
4. Los programas espía han madurado.
5. La plaga de correos electrónicos spam persiste.
6. El crimen en línea migra a los teléfonos móviles.
7. Cómo cerrar la llave de la fuga de datos.
8. Cómo administrar el riesgo.

Descarga en español: Sage.


En relación a preguntas recientes que iso27000.es ha recibido y por el especial interés que suscita este tema, recordamos uno de los artículos traducidos y publicado originalmente en el número 2 de 2005 de la revista "Information Systems Control Journal" que lleva por título "¿Cómo puede medirse la seguridad?".

En él, David A. Chapin y Steven Akridge hacen un recorrido introductorio por las métricas de seguridad tradicionales y los modelos de madurez de seguridad existentes (a los que hacen la crítica de que suelen mezclar existencia con calidad), pasando a continuación a proponer un nuevo modelo de madurez, basado en ISO 17799, que evalúa de forma separada el nivel de madurez y la calidad de los elementos de seguridad implantados.

Descarga desde nuestra sección de artículos o desde la propia Web de ISACA.


El viernes 27 de abril a partir de las 18:00, y gracias al patrocinio de S21sec se celebrará una nueva edición de las conferencias F.I.S.T. en Barcelona; es un evento gratuito y abierto al público en el que voluntarios realizan una serie de presentaciones y coloquios sobre diversos aspectos relacionados con los Test de Intrusión y la Seguridad de la Información.

Las charlas de esta edición se enmarcan dentro de los eventos de Fiberparty, que este año está dedicada a la seguridad informática. De todos modos, continúa siendo un evento totalmente gratuito y abierto a todos.

Presentaciones:

-pf + CARP: Construyendo un cortafuegos en alta disponibilidad, Carlos Fragoso (CESCA/JSS)
-Introducción a la seguridad en SCADA, Xavier Panadero (Neutralbit)
-All your data are belong to us, Christian Martorella y Vicente Díaz (Edge-security)
Cabe destacar que el evento tendrá lugar en la UPC, pero en el Aula Máster del edificio A3, en lugar del edificio B6.
Patrocina: S21sec www.s21sec.com
Colabora: Fiberparty www.fiberparty.org


Noticia completa en Fist conference


Como parte del programa para la seguridad del Software, Build Security In es un proyecto que recoge las iniciativas estratégicas del National Cyber Security Division (NCSD) del Department of Homeland Security (DHS) estadounidentes.

Entre el diverso material disponible pone a disposición artículos relacionados con el proceso SDLC de desarrollo seguro de aplicaciones.

Enlace a artículos: Build Security IN.

Enlace general de artículos: Build Security IN.


Durante el mes de abril y mayo de 2007 se desarrollará la Gira de Seguridad 2007. Desde hace ya varios años esta gira de seguridad viene siendo realizada al amparo del programa de difusión de tecnología de Microsoft conocido como Technet.

Este año contará con la presencia de cuatro empresas que aportarán conocimientos y tecnologías en materia de seguridad: GFI Hispana, Informática64, Microsoft Technet y la propia Hispasec Sistemas. En los eventos participarán ponentes como José Parada (Microsoft IT Evangelist), Victor M. de Diego (Consultor de Seguridad de la empresa GFI), Sergio de los Santos de Hispasec Sistemas y Chema Alonso, (Microsoft MVP Windows Security) de Informática64.

El calendario de los eventos será el siguiente:

* 25 de abril de 2007 en Valladolid
* 26 de abril de 2007 en Bilbao
* 07 de mayo de 2007 en Zaragoza
* 08 de mayo de 2007 en Pamplona
* 10 de mayo de 2007 en Valencia
* 11 de mayo de 2007 en Murcia
* 17 de mayo de 2007 en León

Registro de asistencia: Informatica64.

Noticia completa: Hispasec.


La pérdida de los datos como resultado de las brechas en seguridad y hurto de la identidad se ha convertido en un suceso frecuente. A pesar que el número de registros involucrados puede variar mucho y depende de cada caso, un estudio reciente del instituto de Ponemon encontró que la media era a grosso modo de 99.000.

Darwin creó la calculadora del coste por la pérdida de datos "Tech//404" como una herramienta para demostrar el alcance del impacto financiero negativo al que una organización debe hacer frente como resultado de un caso de pérdida de datos por hurto de la identidad o brecha de seguridad.

La calculadora genera automáticamente un coste medio con un margen de +/- 20% en relación a los costes asociados a la investigación interna, gestión de la notification/crisis y las acciones legales/regulatorias si el incidente diera lugar a posibles demandas.

Tras introducir el número de expedientes afectados y activar/desactivar clicando sobre los nueve parámetros se genera un informe de costes que puede ser representado en un gráfico clicando sobre el icono del gráfico.

La calculadora utiliza algoritmos propietarios desarrollados en base a informes y casos de pérdidas reales entre los que se incluyen 31 casos de compañías analizadas por el Ponemon Institute.

Calculadora disponible en Tech 404.


El documento de Microsoft tiene un tamaño de 120 MB (inglés) y cubre aspectos relacionados con el entranamiento del personal de la organización ya sea en la toma de decisiones por parte del personal estratégico o en las operaciones diarias.

El contenido general del descargable es:

1 - Program Development Guidance
2 - Sample Awareness Materials
3 - Sample Training Materials
4 - Sample Templates


Descarga disponible desde Microsoft.


USUARIA (Asociación Argentina de Usuarios de la Informática y las Comunicaciones) organiza el curso que se celebrará el 26 y 27 de Abril dirigido a Profesionales, Administradores y Responsables de Seguridad de la Información, Profesionales de Sistemas, Consultores de Tecnología y Auditores Internos y Externos de IT

Información completa y temario en Cursos USUARIA.


Interesante artículo de Domingo F. Donadello, Coordinador de Certificación de Sistemas IT IRAM - Argentina en el que se comparan los documentos normativos de ambos estándares.

Publicado en Infosecurityonline.org.


Un asalto informático contra una conocida página dedicada a las apuestas online, lanzado según la Policía desde los ordenadores de un competidor, causó daños por valor de 18.400 euros.

Una empresa de apuestas a través de Internet ha llevado la batalla contra su más directo competidor más allá de la legalidad, según la Policía, que hoy informa sobre la detención del presidente y el director tecnológico de una empresa del sector.

Se les acusa de sustraer información de una base de datos y de destruir parte de la información que albergaban, causando daños por valor de 18.400 euros.

El sector de las apuestas online es uno de los más lucrativos de Internet, incluso tras las normativas aprobadas en EE UU para evitar que empresas que se dedican a estas actividades operen en su territorio sin permiso.

Algunas han sido víctimas en los últimos años de ataques informáticos y chantajes, en los que un asaltante provoca la saturación de su página lanzando contra ella millones de visitas y consultas que las webs no son capaces de asimilar. Después, el atacante exige el pago de un rescate, a cambio del cual permite que la web bloqueada pueda volver a ser visitada y, con ello, seguir ofreciendo sus servicios y ganando dinero.

Noticia completa en ElPais.com.


Las Pymes europeas contraen un grave riesgo por el hecho de no ser conscientes de la amenaza que el software sin licencia supone para su negocio, como demuestra un estudio independiente promovido por la Business Software Alliance y realizado por la consultora Gfk, que abarca y compara nueve países europeos: Alemania, España, Francia, Holanda, Hungría, Italia, Polonia, Reino Unido y Rusia.

Preguntados los directivos de empresas europeas acerca de los potenciales riesgos de negocio vinculados a las tecnologías, la pérdida de datos resultó ser la más significativa, seguida de la entrada de virus, trojanos y spyware, que resulta ser la que más preocupa a las empresas españolas en particular. La violación del copyright del software aparece como la última en la lista de preocupaciones en todos los países, incluso a pesar de que el uso de programas fraudulentos provoca que el negocio sea más vulnerable a los riesgos antes mencionados.

“El uso de software sin licencia supone serios riesgos para las empresas, incluidos riesgos operacionales y de índole técnica que no tienen nada que ver con el hecho de ser perseguido legalmente o sufrir procesos que conlleven multas económicas?, ha declarado Luis Frutos, presidente del Comité Español de BSA, quien añade que “el software fraudulento ha dado pruebas de conllevar un muy alto riesgo de recibir virus y código malicioso; carece del soporte que los fabricantes ofrecen, lo que puede repercutir en el negocio cuando ocurran problemas, aparte de que no recibirán actualizaciones, en tanto que las empresas de su competencia que actúen de forma legal van a disponer siempre de la última versión de cada producto, lo que supondrá para ellas una ventaja competitiva muy importante?.

Noticia completa en Cibersur.com.


Los datos de una tarjeta de crédito se pueden comprar en internet por 1,50 euros si se compran en grandes cantidades, mientras que el precio por los datos de acceso a una cuenta bancaria en línea asciende a unos 225 euros.

Los criminales también venden los datos de acceso a ordenadores personales por unos cinco euros, mientras que los datos completos de una identidad robada, con el número de la seguridad social y de la tarjeta de crédito incluidos, cuesta menos de 15 euros.

Una de las técnicas utilizadas por los delincuentes para robar este tipo de información es por medio de la venta de productos a precios irrisorios en páginas web falsas, usadas sólo para recopilar los datos confidenciales.

Un ejemplo de ciberladrón es el del británico David Levy, que vendió artículos inexistentes por valor de unos 300.000 euros con las identidades falsas de usuarios de eBay con buenos historiales de ventas por internet, condición importante para vender productos en esa plataforma de subastas.

Levy, de 29 años, fue condenado a tres años de cárcel en noviembre del 2005.

El estudio realizado por Symantec también advierte del crecimiento del "phishing" para captar información confidencial de bancos y cajas de ahorros de los usuarios.

Fuente EFE


Como consecuencia de la infección provocada por estos programas “espía?, un 26% de las empresas confiesan haber expuesto información confidencial a los ciberdelincuentes.

Así se desprende del informe “El Estado de la Seguridad en Internet? elaborado por Webroot Software, que también desvela que los ataques más frecuentes son el correo basura (85%), la publicidad no deseada (67%), los virus (61%), las estafas mediante webs o correos falsos (51%) y los troyanos (39%).

Webroot recuerda que, a pesar de esta creciente amenaza y de las medidas legales y reguladoras llevadas a cabo, el último informe del Small Business Technology Institute (http://www.sbtechnologyinstitute.org) ha descubierto que el 20% de las empresas ni siquiera tienen la protección anti-virus adecuada, dos tercios no cuentan con ningún plan de protección de la información, y muchos sólo adoptan medidas de seguridad después de sufrir pérdidas en sus datos por un accidente informático.

Informe Small Business Technology Institute

Noticia completa en Noticias.com.

Noticia original e informe Webroot.


En la sección de Podcasts está disponible el extracto de la edición 115 del programa de radio "El Guardián" de hace unas semanas, con la entrevista de Iñaki Lázaro a los promotores de www.iso27000.es, Agustín López y Javier Ruiz.

La entrevista se configuró como una pequeña introducción a los SGSI y la ISO 27001 para los oyentes que desconocen totalmente esta materia.

El Guardián nació en el año 2004 como programa radiofónico que, una vez a la semana, difunde las principales novedades y noticias del mundo de la seguridad tecnológica.

El programa y PodCast de seguridad ya ha superado las 100 ediciones y en su tercera temporada de radio sigue tratando diferentes cuestiones de importancia en el mundo de la seguridad, siempre resumidas en una hora de radio semanal.

Las principales secciones de el programa El Guardián son:

- Noticias seguras, con un resumen de la actualidad resumidas en las diez principales noticias de la semana.
- Seguridad a fondo, cada semana, una cuestión importante tratada con mayor detalle.
- Seguridad práctica, con los contenidos más prácticos para estar protegidos.
- Alertas de seguridad, con la información sobre los principales tipos de malware que han aparecido en los últimos días.
- Seguridad en software libre, para conocer como proteger sistemas Linux, Firefox y otros desarrollos en este entorno. Una sección en la que interviene un experto en este ámbito como es Mikel Carmona.
- Y otras secciones que alternan su presencia en el programa como los concursos de seguridad, la historia de la seguridad, web seguras, etc.

Como complemento al programa de radio, en la web de El Guardián, hay noticias y un resumen de los contenidos ofrecidos en el programa.

La emisión de El Guardián en la radio se realiza los domingos de 9 a 10 de la noche y los lunes de 7 a 8 de la tarde (hora peninsular española) en Euskadi Digital (FM 100.4 Bilbao). A partir del martes, ya está disponible el PodCast desde la web de Euskadi Digital, donde se dan todas las facilidades para suscribirse al programa y escucharlo automáticamente en cuanto está disponible.

El presentador del programa es Iñaki Lázaro, profesional informático que lleva años en el mundo tecnológico y la seguridad. Durante cinco años trabajó en el Dpto. de Producto de Panda Software y es precisamente esta empresa uno de los principales colaboradores del programa. Actualmente, Iñaki participa en otros espacios radiofónicos como EnRedAndo, también en Euskadi Digital, y desarrolla diferentes funciones en el mundo de la comunicación y el software online a través de B-kin Software."


CobiT 4.0 en español
14/April/2007
ISACA, a través del IT Governance Institute, ha publicado recientemente la versión en español de CobiT 4.0 (5 MB).

CobiT (Control OBjectives for Information and related Technology) es un marco y un conjunto de herramientas de gobierno de las tecnologías de la información que permite a la gerencia de las organizaciones gestionar de manera unificada requisitos de control, aspectos técnicos y riesgos de negocio. Permite un desarrollo claro y metodológico de políticas y buenas prácticas de control TI.

Luis Vargas ofrece aquí una introducción a CobiT.


Martin McKeay ofrece en su blog un video que el mismo grabó en Shmoocon 2007 donde se demuestra cómo abrir un candado de combinación numérica en menos de 30 segundos con un simple trozo de metal obtenido de una lata de cerveza. Su conclusión es que un candado de este tipo puede ser bueno para la taquilla del vestuario del gimnasio pero no para guardar, por ejemplo, soportes de información de cierto valor.


Michele Hope escribe un artículo en Network World titulado "El bello arte de la destrucción de datos", en el que acerca al lector, a través de algunos casos prácticos, a técnicas de destrucción de soportes físicos de datos (discos duros, cintas, CDs, etc.).

En el mismo marco, ofrece también 13 consejos sobre cómo evaluar una empresa de destrucción de datos si queremos contratar los servicios de una.

En un tono más humorístico, una serie de viñetas nos muestran los métodos de destrucción en el formato "hágalo usted mismo" (DIY).


El jueves 19 de abril, a las 19.30, tendrá lugar el Segundo Seminario de Seguridad de la Información organizado por Segu-Info, en el Partido de Pilar, Provincia de Buenos Aires (Argentina).

Ezequiel Sallis y Cristian Borghello desarrollarán y tratarán los siguientes temas:

* Importancia de la información
* Ingeniería social
* El malware (virus, troyanos, spyware, etc)
* Ejemplos de ataques
* Uso seguro del e-banking y de transacciones comerciales
* Herramientas y consejos para el uso seguro de los sistemas

Más información en Segu-Info.


Según informa Legal Protect, la Agencia Española de Protección de Datos (AEPD) ha sancionado a una entidad por la difusión en Internet de más de 20.000 registros con datos personales relativos a trabajadores mediante el programa de intercambio de ficheros P2P eMULE.

Tras las investigaciones realizadas por la AEPD, ésta ha podido acreditar que la instalación en un equipo informático de la entidad sancionada del software eMULE, por parte de un trabajador, permitió el acceso a otros usuarios de este sistema a dos bases de datos en las que aparecían más de 20.000 registros con datos personales relativos a trabajadores (DNI, nombre, apellidos, dirección, teléfono domicilio, puesto y lugar de trabajo).

Este hecho ha dado lugar a que la AEPD haya declarado que la entidad sancionada cometió una infracción grave de la Ley Orgánica de Protección de Datos, al incumplir la obligación, establecida en el artículo 9 de la misma, de adoptar medidas de seguridad dirigidas a impedir el acceso a los datos personales contenidos en ficheros por parte de terceros no autorizados.


La Comisión para la Seguridad y la Confianza para las Tecnologías de la Información de ASIMELEC está desarrollando una campaña informativa y demostrativa para las empresas españolas, y en especial para las PYMES, sobre los mecanismos de seguridad existentes en el ámbito de las Tecnologías de la Información.

Bajo el lema "Seguridad y Confianza en la Red", se recorren 8 localidades españolas para informar a los empresarios españoles sobre los métodos de seguridad aplicables a las Tecnologías de la Información, en las que se contará con la colaboración del Ministerio de Ciencia y Tecnología, a través del programa ARTEPYME.

Fechas y ciudades:

19-Abril, VIGO
16-Mayo, FUERTEVENTURA
18-Mayo, GOMERA
14-Junio, CIUDAD REAL

Ya se ha celebrado en Valladolid, Salamanca, Reus y Málaga.

Más información en ASIMELEC.


ASIMELEC, con la colaboración de la Fundación CTIC, ha iniciado una campaña informativa y demostrativa para las empresas asturianas sobre los mecanismos de seguridad existentes en el ámbito de las Tecnologías de la Información.

Dentro del Programa ASTURSEC "Seguridad y Oportunidades de Negocio", y con el objetivo de informar a los empresarios asturianos sobre los métodos de Seguridad aplicables a las Tecnologías de la Información, tendrá lugar el día 3 de Mayo, en Oviedo (España), el seminario "Seguridad y Confianza en la Red".

Más información en ASIMELEC.


Las Conferencias FIST, que tienen como misión promover mediante eventos gratuitos y de acceso libre la difusión del conocimiento sobre seguridad de la información, son impartidas por profesionales del sector de la seguridad y miembros de la comunidad académica. Están organizadas por el Comité de las Conferencias FIST, que alterna su celebración entre Madrid y Barcelona.

Actualmente, está abierta la petición de ponentes. Aquellos especialistas en seguridad de la información que estén interesados en participar como ponentes en las próximas ediciones de las conferencias pueden ponerse en contacto con el Comité en la dirección de e-mail "bienvenido arroba fistconference.org".


Marzo se cerró con 3.350 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo.

En ISO 27001 son concretamente 1.014, cifra que incluye 474 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 540 nuevas certificaciones.

Encabeza la lista, como desde hace años, Japón, con 1.910 certificaciones, y le siguen el Reino Unido, con 326, y la India, con 279.

Una idea del rápido crecimiento que está experimentando la certificación es que, a finales de 2004, eran unas 1000 empresas las que estaban certificadas en todo el mundo y, a finales de 2005, unas 2.100.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México, 12.
España, 8.
Argentina, 3.
Colombia, 2.
Perú, 1.
Uruguay, 1.

Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.


El próximo 17 de mayo de 2007 tendrá lugar en el Reina Sofia de Madrid la presentación y I Jornada Internacional de ISMS Forum Spain con el título:

"BALANCE MUNDIAL Y RETOS DE LA GESTIÓN PROFESIONAL DE LA SEGURIDAD DE LA INFORMACIÓN EN ESPAÑA"

Reserve ya en su agenda el próximo 17 de mayo. Ese día se presentará en Madrid la Asociación para el Fomento de la Seguridad de la Información, ISMS Forum Spain, en el contexto de una jornada internacional que contará con las intervenciones de autoridades de la Administración pública; de expertos del sector que expondrán casos reales y analizarán la situación de la gestión de la seguridad de la información en Expaña, y de algunas de las máximas autoridades mundiales en la materia.

Muy pronto estará disponible en esta sección el programa completo de la Jornada, así como el formulario de inscripción en la misma. La asistencia será gratuita para los socios de ISMS Forum Spain. Las inscripciones se aceptarán por orden de llegada hasta completar el aforo.

Incripción de socios así como de patrocinadores interesados en este evento en ismsforum.es


El International Register of Certificated Auditors (IRCA) anuncia el lanzamiento de su nuevo programa de certificación de auditor de sistemas de gestión de servicios de tecnología de la información (SGSTI), desarrollado para responder a la publicación de la norma internacional ISO/IEC 20000, la primera norma en el mundo que tiene como objetivo específico la gestión de los servicios de TI.

Comentando sobre el prograna de SGSTI, el director del IRCA, Simon Feary, dijo que "la competencia del auditor es fundamental para cualquier esquema de certificación; este programa proporcionará confianza a las organizaciones en todo el mundo de que los auditores de SGSTI tienen el conocimiento, habilidades y atributos necesarios".

El IRCA ofrece la certificación en seis grados para auditores, consultores y profesionales de los SGSTI. Los organismos de formación se beneficiarán con esta oportunidad de solicitar la certificación IRCA de cursos para sus cursos de SGSTI en cuatro diferentes tipos: Curso de Conceptos Básicos, de Auditor Interno, de Auditor Líder y de Conversión de Auditor.

Masayo Hachii, el gerente de IRCA Japón, dijo que “el programa IRCA de auditor de SGSTI ha sido desarrollado en conjunto con la Corporación del Desarrollo de Procesamiento de la Información del Japón (Japan Informstion Processing Development Corporation, JIPDEC), nosotros agradecemos su cooperación y contribución al proceso del desarrollo de este programa.

Noticia completa en IRCA.


El centro de datos del Banco de la India ha logrado el prestigioso certificado ISO 27001:2005. El certificado fue presentado al presidente y director del Banco de la India, Sr. M Balchandran por el director ejecutivo de SGS India, Sr. Arun Deshpande en la oficina central del banco en Bandra Kurla.

El certitcado representa el reconocimiento formal del sistema de gestión de la seguridad de la información del banco en conformidad con el estándar internacional para la seguridad de la información. El alcance cubre el centro de datos así como el centro para la recuperación de desastres del banco. BOI es uno de los primeros entre los principales bancos del sector público en la India en haber alcanzado la certificación.

Noticia completa en Navhindtimes.


En la edición On-Line para el mes de Marzo quedan disponibles los siguientes contenidos:

EDITORIAL: ABULIA VERSUS IGNORANCIA
OPINIÓN: CONTROL Y SEGURIDAD
ESPECIALES: LA GESTIÓN DE LOGS, COMO ELEMENTO CLAVE EN EL PROCESO DE NEGOCIO.
ESPECIALES: DETECCIÓN Y REGISTROS DE SEGURIDAD
ESPECIALES: LOS REGISTROS DE EVIDENCIAS Y SUS HERRAMIENTAS
ENTREVISTAS: FEDERICO MANRIQUE, DIRECTOR GENERAL DE INNOVACCION
ENTREVISTAS: CHRISTOPHER BOYD, RESPONSABLE DE FACETIME SECURITY LABS
OPINIÓN: INTELIGENCIA COLECTIVA, LA COMUNIDAD CONTRA EL ?MALWARE'
OPINIÓN: LA SOCIEDAD DE LA INFORMACIÓN Y LA SEGURIDAD
ACTOS: INFOSECURITY COGE FUERZA EN SU TERCERA EDICIÓN.
USUARIO: TUBOS REUNIDOS VOTA LIMPIO CON NETVOTO

Enlace directo RedSeguridad.


Nipuna Services Ltd., subsiaria BPO de Satyam anunció el logro de la certificación ISO 27001:2005 para sus centros de Hyderabad y Bangalore en la India.

Hablando de la certificación, Venkatesh Roddam, CEO de Nipuna declaró, "el logro de este certificado demuestra nuestro compromiso con la eficaz puesta en práctica de la seguridad de la información en toda la organización."

"Nipuna ha estado trabajando en el proceso de certificación desde septiembre de 2006. Todos nuestros centros han mantenido siempre los estándares de la calidad más alta tanto en infraestructura como en servicios. Esta certificación es una validación adicional a nuestros estándares" agregó Debashis Singh, vice presidente, Red y Sistemas.

"Determinamos los centros de Nipuna en Hyderabad y Bangalore para la certificación de la ISO 27001. Nos impresiona el nivel de cumplimiento demostrado por Nipuna y estamos satisfechos con la eficacia de los controles de la seguridad de la información implantados en todos los procesos bajo el alcance de ISO 27001:2005. BSI está orgulloso de tener Nipuna como cliente,"dijo Sr. Venkataram Arabolu, el director de gestión de BSI India, que ha sido la entidad de certificación.

Noticia coimpleta en Moneycontrol.


En esta dirección se puede encontrar un listado de políticas organizadas por capítulos, y para cada una un pequeño índice del contenido que se debe regular en cada una de ellas. Como cualquiera puede comprobar, la estructura no sigue la misma organización que los controles de la norma ISO 27001, pero creo que este es uno de los puntos fuertes de esta lista, ya que están organizadas de una forma más práctica y con la que probablemente muchas organizaciones se sentirán más cómodas, debido a que se asemeje más a su organización y funcionamiento interno.

En resumen, esta puede ser una guía de trabajo para todo aquél que quiera adentrarse en el desarrollo de políticas de seguridad y no sepa por dónde empezar. Y si se quiere que la documentación desarrollada sea compatible con ISO 27001, no hay más (ni menos) que identificar la correspondencia entre ellas y los apartados y controles de la norma. Y que conste que no es algo tan trivial como parece...

Comentario en blog de Joseba Enjuto.

Listado de las políticas por capítulos 27001-online.com.


Ante la creciente proliferación del cibercrimen, favorecido en parte por los fallos de programación, SANS Institute ha decidido introducir una serie de cuatro exámenes para que los desarrolladores autoevalúen su capacidad para escribir código seguro.

Los exámenes cubrirán los sistemas C/C++, Java/J2SE, Perl/PHP y .NET/ASP, según SANS. La organización, cuyos servicios incluyen formación en seguridad informática, iniciará un programa de examen piloto en Agosto, que después será extendido a nivel mundial hacia finales de 2007.

Las pruebas servirán para identificar carencias en la formación de los programadores, a los que se ofrecerá finalmente la posibilidad de conseguir el grado GIAC Secure Software Programmer Status de SANS a través del programa Global Information Assurance Certification (GIAC).

Artículo completo en IDG

Información adicional en SANS y GIAC


Excelente artículo el de SecurityMonkey sobre por qué la mayoría de las presentaciones sobre seguridad siguen siendo tan malas y aburridas.

Aborda el tema con un tono muy “jocoso? y como se suele decir, expone “verdades como puños? ;) . Las recomendaciones que hace son obvias, pero todas ellas ciertas.

Comentario en blog de Infosecman.

Artículo y enlaces a presentaciones en SecurityMonkey.


El curso organizado por Bureau Veritas está cualificado por el IRCA y está programado del 14 al 18 de Mayo en Bogotá.

Información sobre el curso y contacto:

olga-judith.alvarado@co.bureauveritas.com
BUREAU VERITAS COLOMBIA LTDA.
Telefono: 57 - 1 - 312 9191 x 126
Bogotá D.C. - Colombia


Valorando amenazas
11/April/2007
Muchas veces, a la hora de llevar a cabo análisis de riesgos de forma artesanal (sin el soporte de una herramienta), una de las principales dificultades suele aparecer a la hora de dar valores a las amenazas y las vulnerabilidades. Evidentemente, un análisis de riesgos no tiene por qué ser realizado por un experto en seguridad, pero probablemente todo el mundo desee llegar a un resultado tan válido como el que pueda obtener uno.

Existen multitud de técnicas aplicables para simplificar esta tarea, pero una que puede resultar bastante útil puede ser la utilización de la metodología DREAD. Esta técnica, desarrollada para valorar amenazas dentro de un proceso de desarrollo de aplicaciones y sistemas seguros, puede ser utilizada para realizar una priorización de amenazas sencilla y objetiva. En base a cinco parámetros, la metodología sirve para realizar un rápido análisis de la "importancia" de la amenaza, obteniendo un valor que nos permita identificar el factor de riesgo asociado a la misma.

En lugar de explicar la metodología, creo que es más conveniente recurrir a algunas referencias que lo hagan por mí. En primer lugar, una referencia a la metodología realizada por la propia OWASP, y en segundo un artículo en el que aparece explicada. Es suficiente? En caso contrario, siempre queda google...

Fuente de la Noticia seguinfo.

Enlace a metodología OWASP.

Enlace articulo en PDF metal.hacktimes.


Los errores humanos son la causa del 75% de los incidentes cuyo resultado es la pérdida de datos sensibles, según un nuevo informe de IT Policy Compliance Group.

El estudio revela que una quinta parte de las empresas padecen 22 o más perdidas de datos sensibles anualmente. En estos incidentes, se pierde información financiera, corporativa, sobre clientes o empleados y sobre seguridad TI. Los motivos son de diversa índole, incluidos robos, deterioros y fugas. El error humano es el responsable de la mitad de las pérdidas de datos sensibles, mientras que otro 25% es consecuencia de violaciones de políticas, ya se trate de violaciones deliberadas o accidentales.

Los principales canales a través de los cuales se pierden los datos ?por orden de riesgo- son los PCs, los laptops y los dispositivos móviles, el correo electrónico, la mensajería instantánea, las aplicaciones y las bases de datos. Además, el informe indica que estos problemas ocasionan a los negocios una pérdida de ingresos del 8% y que pierden un porcentaje similar de clientes una vez éstos conocen que se han producido brechas de datos.

IT Policy Compliance Group sugiere que las empresas deberían identificar sus datos de negocio más sensibles, formar a su plantilla e implementar las herramientas tecnológicas para mitigar los errores humanos, las violaciones de políticas y los ataques internos. También aconseja la introducción de controles basados en monitorización y procedimientos que garanticen la conformidad de la organización con las políticas internas y legislativas, así como incrementar la frecuencia de auditorias.

IT Policy Compliance Group es una organización cuya actividad persigue promover el desarrollo y la difusión de información para ayudar a los responsables de seguridad TI empresariales a cumplir con las políticas corporativas y gubernamentales.

Fuente de la Noticia IDG.es.


ENISA (European Network and Information Security Agency) crea múltiples grupos de trabajo internacionales que utiliza en apoyo de su actividad. Estos grupos de trabajo se configuran con expertos europeos de diferentes áreas de la seguridad de la información que desean colaborar en el desarrollo de las iniciativas de ENISA.

El grupo de mayor nivel, y que está recogido en los estatutos que rigen la Agencia, es el "Permanent Stakeholders? Group (PSG)", que se forma con expertos de relevancia y que tiene por misión asesorar directamente al Director Ejecutivo de la Agencia en el diseño del programa de trabajo anual de la misma y en la visión estratégica de las actividades a largo plazo.

Actualmente, y hasta el 15 de Mayo, está abierto el plazo para la renovación de este grupo, por lo que ENISA acepta la presentación de candidaturas para formar parte del mismo.

Más información en: enisa.europa.eu.


Del 9 al 13 de Abril, ETEK imparte un curso de auditor líder de ISO 27001en Bogotá (Colombia).

Más información: ETEK.


Del 24 al 26 de Abril, se celebrará en el Centro Banamex de Ciudad de México, la quinta edición de la Feria Expo Seguridad México.

La feria reúne a los principales fabricantes internacionales, distribuidores y usuarios finales de equipos y soluciones de seguridad y ofrece a los visitantes un extenso contenido de seminarios y conferencias.

Más información: exposeguridadmexico.com


El CERT, prestigiosa institución del Software Engineering Institute (SEI) en la Carnegie Mellon University de EEUU, mantiene una iniciativa que llama "Governing for Enterprise Security (GES)", dedicada a ayudar a la Dirección de las organizaciones a diseñar e implantar un programa global de gobierno de la seguridad de la información.

Para ello, desarrolla la llamada "GES Implementation Guide", en forma de artículos que se van incorporando a la misma, ofrece el documento de 81 páginas "Governing for Enterprise Security", mantiene una sección de podcasts, etc.

Todo esto está disponible en la web www.cert.org/governance/


Applus+ imparte el 18 de Abril en Barcelona (España) el curso "Gestión de la Continuidad del Negocio y Planes de Contingencia para la Seguridad de los Sistemas de Información".

Más información e inscripciones en: applusformacion.com


Applus+ imparte el 17 de Abril en Barcelona (España) el curso "Métricas e Indicadores en un Sistema de Gestión de la Seguridad de la Información".

Más información e inscripciones en: applusformacion.com


RSA, la divisón de seguridad de EMC, tiene en marcha una iniciativa llamada "10 días contra el fraude online".

En la página web correspondiente, mantiene informaciones sobre el fraude online, consejos para usuarios, consejos para bancos, qué hacer si se ha sido víctima de fraude online, noticias de actualidad sobre fraude, enlaces y un foro.

Colaboran en la iniciativa el Grupo de Delitos Telemáticos de la Guardia Civil, la Brigada de Investigación Tecnológica de la Policía Nacional, la Asociación de Usuarios de Internet y Mundo Internet.


AENOR imparte en Bilbao (España), el 23 de Abril un curso de fundamentos de seguridad de la información según ISO 17799 y, del 24 al 25 de Abril, uno de implantación de SGSI.

Más información e inscripciones en: Fundamentos y SGSI


El 4 y 5 de Mayo, CLAPAM ( Comisión Latinoamericana de Productividad y Medio Ambiente) organiza en Guayaquil (Ecuador) un curso de gestión de seguridad de la información.

La materia versará fundamentalmente sobre la implantación de un SGSI según ISO 27001.

El curso será impartido por el consultor y auditor Alberto G. Alexander.

Más información e inscripciones en: CLAPAM


La empresa Audisis ofrece del 25 al 27 de Abril un seminario-taller sobre auditoría de sistemas, con énfasis en la preparación del examen CISA (Certified Information Systems Auditor de ISACA).

Más información e inscripciones en: Audisis.com


En nuestra sección de Herramientas, tenemos incluida hace tiempo la referencia al Modelo de Política de Seguridad de la Información para la Administración de Argentina que publica la ONTI.

La misma web de ARCERT donde se publica, tiene también una sección dedicada a enumerar los 10 prejuicios más habituales al implantar una política de seguridad en una organización y la respuesta que deben recibir. Seguramente que a muchos profesionales de la materia les son familiares estos argumentos.


Hace unas semanas anunciábamos la creación del ISMS Forum Spain. Se trata de una asociación sin ánimo de lucro, cuyo principal objetivo es fomentar la seguridad de la información en España.

Se constituye como foro especializado para que todas las empresas, organismos públicos y privados y profesionales del sector colaboren, intercambien experiencias y conozcan los últimos avances y desarrollos en materia de seguridad de la información.

Desde hace unos días, está habilitada en su página web la sección que permite hacerse socio online.

Para asociarse, las instituciones, empresas u organizaciones deben abonar una cuota anual de 300 euros, que les dará derecho a nombrar a un máximo de 8 socios individuales de pleno derecho de entre los trabajadores de su empresa u organización.

Los profesionales particulares deben abonar una cuota anual de 60 euros.

Las ventajas de asociarse, según indica la propia web, son las siguientes:

- Formar parte de una gran comunidad de profesionales y empresas implicados, directa o indirectamente, en el desarrollo e implantación de sistemas de gestión de la seguridad de la información a nivel internacional.
- Intercambiar experiencias y puntos de vista con profesionales de SGSI que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y empresas de todos los sectores.
- Acceso gratuito a los actos públicos y eventos organizados por ISMS Forum Spain, siempre que el socio confirme previamente su asistencia por las vías indicadas y el aforo lo permita.
- Condiciones especiales para matricularse en las actividades formativas (cursos, seminarios, etc) organizadas por ISMS Forum Spain (preferencia a la hora de adjudicar las plazas, descuentos en las tasas).
- Los profesionales que posean una o varias certificaciones (CIMS, CISA, CISSP, L.A. ISO 27001, etc.) podrán darse de alta en el Registro de Profesionales Certificados en España y poner a disposición del mercado, si lo desean, sus datos de contacto.
- Recibir el boletín informativo de la Asociación, así como información de todos los estudios e informes fruto de la labor de los Grupos de Trabajo de ISMS Forum Spain.

(ISMS Forum Spain no permite a sus socios que utilicen la Asociación con fines comerciales para beneficio propio o de cualquier empresa, salvo que otros socios les demanden expresamente sus servicios o su información comercial.)


IT Security ha publicado su lista de 2007 de las 59 personas y organizaciones más influyentes en seguridad de las tecnologías de la información.

Puede consultarse en: IT Security


La música que abre y cierra los podcasts de ISO27000.es lleva por título "Inmenso" y su autor es Oncoming Way.

Oncoming Way es un compositor solista que ha producido una gran cantidad de temas rozando el estilo chill out experimental. Desde la creación del proyecto musical de Oncoming Way, el compositor ha trabajado para realizar varios tipos de proyectos, tales como temas de relajación, música clásica, bandas sonoras para cortos y varios temas que actualmente pueden ser escuchados en diversas páginas web.

La web personal de Oncoming Way es www.myspace.com/oncomingway.

Tanto el tema "Inmenso" como otras canciones de Oncoming Way pueden escucharse y descargarse en musicalibre.es.


Ya están disponibles online los archivos correspondientes a las ponencias de la última conferencia FIST en Madrid.

Los temas tratados fueron:

Después de un fallo de seguridad, por Daniel Cabrera, Global 4 Ing.
Políticas de Seguridad IT, por Rafel San Miguel, Grupo Santander
Seguridad en AJAX, por Gonzalo Álvarez Marañon, CSIC

Pueden descargarse en: fistconference.org


Joseba Enjuto comenta un interesante y largo artículo de Bruce Schneier, traducido al español por Seguridad Digital y que lleva por título "La psicología de la seguridad".

El artículo estudia los problemas, causas y ejemplos que pueden ocasionar las divergencias entre la seguridad real y la sensación de seguridad, que pueden llevar a valorar de forma errónea riesgos y contramedidas hasta el punto de sentirnos inseguros en una situación segura, y viceversa. Todo ello desde el punto de vista psicológico e, incluso, de evolución del ser humano como especie.


Del 19 de Abril al 7 de Junio (todos los jueves de 9:00 a 14:00), tendrá lugar en Santander (España) un curso de 40 horas organizado por la Cámara de Comercio de Cantabria, dedicado a los sistemas de gestión de seguridad de la información según normas UNE 71502 / ISO 27001.

El curso está limitado a 15 alumnos, tiene un coste de 480 euros (subvencionables a través de la Fundación Tripartita) y el plazo de inscripción es hasta el 16 de Abril.

Más información e inscripciones en camaracantabria.com


Se ha publicado el número 9 de la revista a+ (Auditoría y Seguridad), correspondiente al mes de Abril.

Entre otros muchos contenidos, se encuentran los siguientes:

- "Encuentro con..." D. José Mª. Salinas Leandro, Director General de Innovación Tecnológica y Sociedad de la Información de la Región de Murcia.

- Entrevista, en la sección "Directivos +" a Dª. Nerea Torres Egüén, Directora Corporativa de Calidad Total y Desarrollo Sostenible de Siemens S.A.

- Artículos como:
. . auditoría de protección de datos;
. . biometría facial;
. . hardware criptográfico en las PKI;

- Escritos monográficos sobre SOA, a cuyo tema de la "Arquitectura Orientada al Servicio" está dedicado el "Hoy Hablamos de...".

Parte de la revista está disponible online: www.revista-ays.com.


ENISA (European Network and Information Security Agency) presentó el pasado día 14 un interesante documento en inglés de 84 páginas que pretende ayudar a las Pymes en la aplicación de la evaluación y gestión del riesgo a sus activos de redes e información.

Lo hace en base a dos conceptos:
1. Basándose en indicadores de coste y rendimiento, ayudar a elegir qué enfoque evaluación de riesgos es el más apropiado para un organización..
2. Si se selecciona la auto-evaluación, proporcionar las herramientas necesarias para llevarla a cabo sin necesidad de experiencia previa.

El documento está disponible en: http://www.enisa.europa.eu/rmra.


ENISA (European Network and Information Security Agency) presentó el pasado día 19 su estudio sobre los riesgos emergentes en el área de TI.

El estudio predice riesgos emergentes antes de 2010 en las áreas de dispositivos móviles, privacidad de datos personales e interacción de Internet con otras infraestructuras.

Los distintos documentos del informe y sus análisis pueden descargarse de: http://www.enisa.europa.eu/rmra/er_downloads.html.


Del 24 al 26 de Abril, tendrá lugar en el Hotel Novotel del Campo de las Naciones en Madrid (España), el evento Securmática 2007, organizado por la revista SIC.

Las ponencias y debates que tendrán lugar son:

24 de Abril:
Mapfre: Plan de concienciación y sensibilización de seguridad de la información
Desarrollo de una herramienta de auditoría informática a distancia para el Banco Popular
Debate: La incidencia del cumplimiento normativo en la función del responsable de seguridad de la información
Basilea II: una aplicación de seguridad informática
Gestión de seguridad operacional en Telefónica Móviles España
Consolidación y simplificación de la arquitectura de comunicaciones y seguridad de la IGAE

25 de Abril:
¿Cómo abordar la seguridad en una Universidad? La experiencia de desarrollar un Plan Director de Seguridad
Banco Sabadell: del Plan Director de Seguridad 2002-2006 al nuevo Plan 2007-2009
SGSI 27001: el alcance es lo que importa
Departamento de Salud de la Generalitat de Cataluña: Plan Director de Seguridad
Grupo FCC: desarrollo del modelo de clasificación de la información
Alternativas tecnológicas para el desarrollo de servicios de seguridad gestionados desde la red
EJIE: solución integral de seguridad gestionada
Servicio de Monitorización y Alerta Temprana de RBC-Dexia
Cena de la XVIII edición de Securmática y entrega de los IV Premios SIC

26 de Abril:
Continuidad de negocio: el "negocio" se pone las pilas
El Plan de Continuidad de Negocio en el Grupo BBVA
De la seguridad de la información a la información de seguridad
El Centro de Respuesta a Incidentes del INTECO
Debate: La necesidad de herramientas de ayuda a la toma de decisiones en seguridad de la información
Servicios de respuesta a incidentes de seguridad para las Administraciones Públicas
El descubrimiento de activos enfocado al análisis de riesgos de los sistemas de información
Errores de hoy, amenazas del mañana

Más información e inscripciones en: www.securmatica.com/.


El 28 y 29 de Marzo tendrá lugar en el Hotel Nikko de Ciudad de México la cuarta edición de b:Secure Conference.

A lo largo de los dos días, se sucederán un gran número de ponencias relacionadas con la llamada Corporate Security Intelligence.

Más información en bsecure.com.mx.


Del 23 al 27 de Abril tendrá lugar por tercer año consecutivo la feria InfoSecurity en Caracas (Venezuela).

Más información en: infosecurityonline.org.


BSI Americas imparte en México próximamente los siguientes cursos:

Ciudad de México:
12-13 Abril: Curso de interpretación de ISO 27001
16-18 Abril: Curso de implementación de ISO 27001

Guadalajara:
16-20 Abril: Curso de auditor líder de ISO 27001

Más información e inscripciones en: bsiamericas.com.


La XIV edición de SITI/asLAN, que tendrá lugar los días 27, 28 y 29 de Marzo en la Feria de Madrid, es un evento especializado para profesionales interesados en tecnologías relacionadas con las redes.

La Feria se estructura en cinco áreas principales: convergencia IP, banda ancha, seguridad, movilidad y servicios gestionados.

Continuando con la tendencia de crecimiento, la Feria se traslada al Pabellón 6 de la Feria de Madrid, con 10.800 metros cuadrados de superficie. Este año se darán cita más de 100 empresas expositoras, con 600 marcas y productos de la más avanzada tecnología, con una asistencia que se prevé superior a los 14.000 visitantes.

Más información e inscripciones en: SITI/asLAN 2007.


BSI (British Standards Institution) España mantiene abierto el plazo de inscripción a dos cursos de auditor líder de ISO 27001 que se celebrarán en Madrid en las siguientes fechas:

Del 16 al 20 de Abril de 2007.

Del 11 al 15 de Junio de 2007.

Se trata de cursos oficiales BSI, que combinan teoría y práctica, e incluyen un examen al final de los mismos. En caso de superación de dicho examen, el alumno recibe un certificado oficial por parte de BSI.

El precio de cada uno de los cursos es de 1.200 euros más IVA.

Para más información e inscripciones:

Telf: + 34 91 4008 620
Email: marketing.spain@bsi-global.com


Iñaqui Lázaro, conductor de "El Guardián", programa semanal de radio de Euskadi Digital, entrevistó esta semana a los promotores de www.iso27000.es, Agustín López y Javier Ruiz.

La entrevista se configuró como una pequeña introducción a los SGSI y la ISO 27001 para los oyentes que desconocen totalmente esta materia.

La entrevista puede escucharse dentro del archivo correspondiente a la edición 115 de "El Guardián" (del minuto 29 al 49).


ESTEC Systems Corp. (Canadá), First Legion Consulting (India), Seltika (Colombia), Global 4 Ingeniería (España) y M3 Security (EEUU) han creado el ISM3 Consortium, que tiene como objetivo mejorar las prácticas y estándares de sistemas de gestión de seguridad de la información mediante el uso de ISM3, tanto solo como combinado con ISO27001, ITIL o Cobit.

Coincidiendo con la creación del consorcio, se ha publicado la versión 2.00 de ISM3, modelo de madurez de gestión de seguridad de la información -pronunciado ISM Cubo-.

El autor principal de ISM3 es el español Vicente Aceituno. Con él mantuvo ISO27000.es una entrevista hace algunos meses que se puede escuchar en nuestra sección de podcasts.


El próximo 26 de Marzo, la Fundación Dintel celebra su primer Foro FAST del año 2007 (los demás están previstos para el 30 de Mayo, 10 de Octubre y 28 de Noviembre), dedicado en esta ocasión a "Protección de Datos en la Práctica".

Las ponencias correrán a cargo del Director Adjunto de la Agencia Española de Protección de Datos y los directores de las Agencias de Protección de Datos de Madrid, Cataluña y País Vasco.

Para más información e inscripciones: Fundación Dintel.


BuildSecurityIn ha publicado un excelente menú de navegación a través de lo que llama Process Agnostic View, que es la incorporación de la seguridad en cada una de las fases básicas del desarrollo de software.

Este menú de navegación facilita el acceso ordenado a multitud de documentos de buenas prácticas, métodos y recursos que BuildSecurityIn pone a disposición de los desarrolladores de software que quieren incluir la seguridad desde el primer momento en sus diseños, lo cual está demostrado que es del orden de hasta 10 veces más barato que hacerlo a posteriori.


Dentro de los planes de continuidad de negocio de las organizaciones (especialmente de aquellas que tienen una importante presencia en el mercado o una marca conocida) debería contemplarse hoy en día siempre la posiblidad de un ataque contra la imagen de la empresa en Internet. La conocida como Web 2.0, con sus blogs, sitios de compartición de videos, entornos colaborativos tipo wiki, etc., ofrece una plataforma idónea para que, con pocos recursos, alguien pueda conseguir una repercusión mediática importante en sus ataques a la imagen de una empresa.

Xavier Ribas ha puesto en marcha una interesante iniciativa creando un wiki llamado Crisis 2.0 que hace una introducción a la materia, describe los tipos de ataques, su posible origen, las estrategias de investigación, las estrategias preventivas, la defensa pasiva, la defensa activa, un resumen de casos (reales) y una comparativa de estrategias.

Naturalmente, por la filosofía wiki del sitio, el visitante está invitado a hacer sus aportaciones al mismo: Crisis 2.0


IT Security resume en un artículo los conceptos básicos relativos a la detección de intrusiones, métodos empleados, herramientas existentes en el mercado y referencias para profundizar en la materia.


Moustafa Kamal publica en InfosecWriters un documento de 70 páginas dedicado a resumir, desde un punto de vista bastante técnico, los distintos métodos que se emplean hoy en día en biometría (cara, iris, oreja, voz, huella digital, geometría de la mano, huella de la palma, firma, etc.) así como las vulnerabilidades en cuanto a seguridad que presentan estas tecnologías.

Puede descargarse en InfosecWriters.


El Gobierno australiano es consciente de que el tejido empresarial de las Pymes es la base de su economía. Ayudar a estas empresas a estar preparadas frente a desastres que afecten a su continuidad significa afianzar la solidez de la economía nacional.

En ese sentido, ha editado un pequeño manual de 30 páginas con las directrices básicas de cómo puede una Pyme diseñar un plan de continuidad de negocio.

El documento, en inglés, y algunas informaciones adicionales pueden descargarse de tisn.gov.au.


Gary Hinson hace referencia a la larga serie de interesantes whitepapers sobre seguridad en el desarrollo de software que publica la empresa SPI Dynamics. Los títulos de los documentos son:

Hybrid Analysis - An Approach to Testing Web Application Security
Buffer Overflows in Ten Easy Steps
Securing Oracle Application Server
Complete Web Application Security: Phase 1 - Building Web Application Security into Your Development Process?
Achieving Regulatory Compliance - Health Insurance Portability and Accountability Act (HIPAA)
Achieving Regulatory Compliance - Gramm-Leach-Bliley Act (GLBA)
Achieving Regulatory Compliance - Sarbanes-Oxley (SOX)
The Pillars of Application Quality: Security, Functionality and Performance Testing
Layer Seven: The Future of Vulnerabilities (CSO White Paper Series), Security at the Next Level - Are Your Web Applications Vulnerable?
Blind SQL Injection: Are Your Web Applications Vulnerable?
LDAP Injection: Are Your Web Applications Vulnerable?
Cross-Site Scripting: Are Your Web Applications Vulnerable?
SQL Injection: Are Your Web Applications Vulnerable?
Writing Custom Agents in WebInspect
Web Application Testing with SPI Fuzzer
Automated Cookie Analysis
SOAP Web Services Attack? - Part 1
Top 6 Developer Mistakes


En InformaWorld.com han liberado el acceso a la revista oficial de (ISC)2, de manera que pueden descargarse gratuitamente la mayor parte de los números publicados desde 1998.

Este acceso libre es probablemente temporal, por lo que es recomendable su visita y descarga mientras sea posible.

Igualmente, está liberado actualmente el acceso a EDPACS, newsletter sobre auditoría, control y seguridad.


En BankInfoSecurity.com entrevistan en un podcast a Wyatt Starnes, experto en sistemas de detección de intrusión.

En la entrevista habla, entre otros temas, de la seguridad de la información en el sector de servicios financieros, amenazas emergentes, formas de protección de perímetros y su actividades en NIST.

La entrevista está disponible en: BankInfoSecurity.com


El índice de phishing -obtener de modo fraudulento los datos bancarios a través de internet- creció en 2006 un 290% y entre enero y febrero de 2007 un 400%, explicó el jueves el presidente de la Asociación de Internautas, Víctor Domingo, en la presentación de una campaña de seguridad en la red.

La II "Campaña contra el fraude online y por la seguridad en la red", organizada por el Instituto Nacional de Tecnologías de la Información (INTECO), la Asociación de Internautas, Panda Software, Telefónica y ONO, comenzaba el jueves y acaba el 9 de mayo.

En la rueda de prensa, los promotores de la campaña coincidieron en que las empresas informáticas especializadas en la detección de amenazas de internet están desbordadas por el crecimiento exponencial de las mismas.

El vicepresidente de Expansión de Panda Software, José María Hernández, aseguró que la cantidad de virus que detectan mensualmente ha pasado de cien a decenas de miles en los últimos años, lo que impide a las empresas especializadas en su detección ofrecer productos completos para la protección de los usuarios.

Esto, prosiguió Hernández, obliga a las compañías de antivirus a repensar su actuación para abarcar más amenazas, lo que da paso a la "inteligencia colectiva", una forma de trabajar que automatiza los procesos manuales de detección de virus.

El subdirector de eConfianza de INTECO, Carlos Gómez, explicó que las amenazas existentes en el mundo físico han pasado al virtual y que el fraude está en "auge", por lo que es necesario informar y formar a los usuarios de internet para que no caigan en estas trampas, en especial a las PYME, "el eslabón más débil de la cadena".

Fuente: 20 minutos.


SGS ICS ha comenzado la divulgación del seminario de introducción a la norma ISO 20000 vía Web y en diferentes fechas para facilitar la asistencia de los interesados.

El seminario sirve como ayuda útil para entender los fundamentos de la norma ISO 20000 así como los puntos comunes que comparte con otras normas como ISO 27001 o ISO 9001. El acceso se logra mediante registro gratuito y únicamente se necesita para el seguimiento una conexión a Internet y unos altavoces conectados al ordenador.

Los eventos son en directo y permiten hacer preguntas directamente al ponente. El próximo evento se celebrará el

15 de Marzo

Otras fechas disponibles son:

Abril: días 10 y 12,

Mayo: días 22, 24, 29 y 31

Junio: días 5 y 7

Dado que serán realizadas integramente en español la relación horaria según la zona y para la hora de inicio:

16:30, Europa Hora estándar (GMT +01:00, Madrid)
12:30 Este de Sudamérica Hora estándar (GMT -03:00, Buenos Aires)
10:30 Sudamérica Pacífico Hora estándar (GMT -05:00, Bogotá)
09:30 México Hora estándar (GMT -06:00, Ciudad de México)

Información, fechas y registro gratuito ya disponibles en SGS ISO 20000 Seminarios de Introducción


Caixa Terrassa ha seleccionado a Grupo SIA, para la implementación del SGSI, Sistema de Gestión de Seguridad de la Información, enfocado, en este caso, al proceso de Gestión de la Información en la Explotación de Servicios Centrales.

La implantación del SGSI permite a Caixa Terrassa optimizar la gestión del riesgo operativo, tras la aplicación de metodologías de calidad. Con este sistema podrá conocer y actuar de manera eficiente, completa y continua, sobre los riesgos y los posibles impactos en el negocio.

En opinión de Antonio Tomás, Responsable de Seguridad de la entidad bancaria, “a pesar de disponer de un nivel de seguridad elevado éramos conscientes de la necesidad de contar con una herramienta que nos permitiera aumentar la penetración de la seguridad en la organización, incrementar la concienciación del personal en temas de seguridad, y determinar el nivel de cumplimiento de una norma estándar y reconocida internacionalmente. De esta forma, no sólo contaremos con los controles adecuados sino que garantizaremos su eficiencia y la posibilidad de medirlos?.

Noticia completa FinantialTech


BSI del Reino Unido indica en sus newsletters de Marzo los siguientes cursos y enlaces para pedir información sobre IT Governance y Seguridad de la Información. Destacamos los relativos a integración de las normas ISO 20000 e ISO 27001.

* Practical Guide to the Benefits of Integrating BS ISO/IEC 20000 & BS ISO/IEC 27001

* Advancing your BS ISO/IEC 20000 & BS ISO/IEC 27001 Integration Strategy

* Understanding the Requirements of BS ISO/IEC 17799 and the 27001 Series

* Best Practice in Information Security Risk Management using BS 7799-3

* Certificate in Software Asset Management Essentials (ISEB)

* Certificate in Information Security Management Principles (CiISMP) (ISEB)

* Practitioner Certificate in Information Risk Management (PCiIRM) (ISEB)

IT Service Management Courses

* Planning and Achieving BS ISO/IEC 20000

* BS ISO/IEC 20000 for Implementers and Consultants


La presión de los reguladores continúa marcando las prioridades de los departamentos de gestión de riesgos de las entidades financieras. Las nuevas normativas como Basilea II, Sarbanes Oxley, Solvencia II o MiFiD, están inundado la agenda de los responsables de riesgos y provocando que esta importante función no aporte el valor que le corresponde dentro de las entidades.

Así se desprende del informe sobre Gestión del Riesgo en el Sector Financiero, realizado por PricewaterhouseCoopers y The Economist a partir de encuestas con más de 400 altos directivos del sector en Europa, Asia y América.

Para José Luis López Rodríguez, socio responsable del sector financiero de la Consultoría de Negocio de PricewaterhouseCoopers, “las entidades financieras deberían identificar aquellos cambios que permitan una mayor aportación de valor de la función de gestión de riesgos a las unidades de negocio, y una mayor participación de los responsables de gestión de riesgos en decisiones estratégicas. Para ello, es necesario realizar cambios culturales, organizativos y de procesos, que permitan una mayor integración de la función de riesgos en las unidades de negocio, y que la Alta Dirección siga firmemente comprometida con la evolución hacia un enfoque más estratégico de esta función.?

Noticia completa FinantialTech

Para descargar el estudio (PDF, inglés, 1,1 Mb, 46 páginas) Pulse aquí


La compañía pretende que se tomen las medidas necesarias para poner freno a esta práctica tan extendida, cuyas víctimas fueron más de 25 millones de personas en los últimos 5 años.

En los últimos años se ha producido una explosión de los sistemas utilizados para coleccionar, almacenar, compartir y sustraer información acerca de usuarios y empresas. Los datos personales se han convertido en un gran negocio que puede llegar a ser sumamente valioso para un suplantador de identidad. Fellowes Ibérica ha elaborado un listado sobre los métodos que los ladrones de identidad emplean habitualmente para robar información personal. Con ello, la compañía pretende que se tomen las medidas necesarias para poner freno a esta práctica.

Vía blog de Jose Manuel Fernández, la noticia completa en Rynho Zeros Web


El sábado 24 de marzo se celebrará el Primer Seminario de Seguridad de la Información de Segu-Info

Segu-Info tiene el placer de invitarlo a este Seminario especialmente orientado a usuarios, administradores, personas relacionados con la Seguridad de la Información y público en general.

Por qué: La necesidad de asegurar la información surgió hace tiempo y esto se hace cada vez más evidente en el mundo altamente globalizado y conectado en el que vivimos. Por eso hemos decidido realizar este tipo de actividades.

Nos proponemos acercar a todos las formas de proteger la información, además de los principios de concientización necesarios para cuidar este activo, el más importante que tiene cualquier persona u organización.

Objetivo: Como es costumbre en Segu-Info, en este seminario hemos puesto énfasis en la profesionalidad de los disertantes y en la calidad de los contenidos, orientados a brindar capacitación.

Para quién: Este seminario está orientado a usuarios, administradores, personas relacionados con la Seguridad de la Información y público en general.

Información e inscripciones en Segu-Info.com.ar


Desde el 1 de marzo de 2007 puede descargarse del servidor de CriptoRed la versión 4.0.0 del Cuaderno de Prácticas de Seguridad Informática en html.

Desarrollado como tesis de grado de D. Juan Pedro Polvorinos Barrio y bajo la dirección del profesor Jorge Ramió del Departamento de Lenguajes, Proyectos y Sistemas Informáticos de la Universidad Politécnica de Madrid en España, este software sustituye la versión 3.1 de marzo de 2004 que tras tres años ha superado las 15.000 descargas desde Internet.

Al experimentar un cambio total en su formato y funcionalidades, esta edición lleva por nombre Asistente para las Prácticas de Seguridad Informática versión 4.0.0 y en ella se incluyen al momento de su lanzamiento 33 enunciados de prácticas sobre criptografía, que hacen uso de 11 programas desarrollados en la asignatura de Seguridad Informática que el profesor imparte en la Escuela Universitaria de Informática de la UPM.

Noticia completa en Hispasec

Descarga del Asistente

Descarga del Proyecto


Extracto de la noticia aparecida en el Blog de Javier Cao Avellaneda:

"En concreto el artículo a leer, previo a este post puede encontrarse en Arturo Perez Reverte:Reciclaje, ayuntamientos y ratas de basurero. Como no me mantengo al día respecto a la utilización de textos con propiedad intelectual, mejor leer el original.

En concreto, Arturo Perez Reverte desconoce que ha sido objeto de una técnica conocida como Trashing y que es una fuente de información notable cuando se investiga o recaban datos de un tercero.

En su caso, el objetivo de dicho trashing ha sido obtener objetos sin valor para Arturo pero que a terceros pudiera ser de interés. La motivación principal de estos carroñeros ha sido el ánimo de lucrarse aunque cuando se trata de incidentes de seguridad en organizaciones u empresas, el trashing suele ser la manera de obtener datos para posteriormente ir a mayores (robo, intrusión en los sistemas de información u otros incidentes)."



Artículo de Arturo Pérez Reverte en xlsemanal.com


La jornada gratuita organizada por ECA y AEFOL tiene como finalidad ofrecer a los asistentes información rigurosa y práctica sobre los aspectos específicos de la gestión de la seguridad de la información en los entornos web según la norma ISO 27001. Desde la implantación del sistema, hasta la certificación del mismo, pasando por la garantía legal que se pueden obtener.

La jornada se celebrará el próximo 22 de marzo de 2007, en horario de 10.00 a 13.00 en el Palacio de Congresos Fira de Barcelona (Sala 8) dentro de las actividades de "Expolearning 2007, Barcelona Capital mundial de E-Learning" que se celebrará los días 22, 23 y 24 de Marzo en la ciudad Condal.

La jornada va dirigida s profesionales en los diferentes ámbitos de la empresa (gerencia, informáticos, técnicos, etc.) que estén implicados en la gestión de la seguridad y en entornos web, así como configuración y diseño de páginas web.

Entre los ponentes estarán, entre otros, Sr. Miguel Ángel Fernández Barrera.(Red.es - Ministerio de Industria, Comercio y Turismo), Sr. Carles Martín (IQUA) o Sr. Toni Martín (IDT DOCUTECA).

Descarga del programa y registro en Díptico IQUA


La sección de nuestra web que lleva por título ISO 27000 ha sido revisada y actualizada. Además de mejoras en los gráficos y algunos detalles de contenido, se ha incluido un resumen de los puntos de la nueva ISO 27006.

Los links de la sección Enlaces han sido revisados y reagrupados en nuevas categorías.

En el apartado de Acreditación y Normalización se han añadido las entidades correspondientes de los distintos países de habla hispana.

Además, se ha incluido un apartado con Blogs destacados.

Visite nuestra sección de ISO27000

Visite nuestra sección de Enlaces


Alejandro Corletti publica esta semana en ISO27000.es su interesante artículo titulado "ISO-27001 e ISO-27004", donde adelanta la relación de la norma ISO 27004 y su relación con ISO 27001. Alejandro es un conocido articulista en Internet y ponente en eventos internacionales sobre temas de seguridad de la información. Visite nuestra sección de Artículos


ISMS Forum Spain International User Group nace como una asociación sin ánimo de lucro y su principal objetivo es fomentar la seguridad de la información en España.

Se constituye como foro especializado para que todas las empresas, organismos públicos y privados y profesionales del sector colaboren, intercambien experiencias y conozcan los últimos avances y desarrollos en materia de seguridad de la información.

ISMS Forum Spain nace respaldada por algunas de las más representativas empresas y organizaciones comprometidas con la seguridad de la información como son, por orden alfabético: Bankinter, BT, Ecija Abogados, Future Space, Gas Natural, Grupo Fomento Construcciones y Contratas, HP, S21Sec, Sanitas, SGS ICS, Universidad Complutense de Madrid).

Los socios fundadores ejercen su labor en muy diversos ámbitos que van desde la enseñanza superior y la I+D hasta la Consultoría, pasando por los sectores de Banca, Seguros, Construcción, Servicios Jurídicos, Telecomunicaciones, Certificación de servicios e inspección, entre otros.

La asociación invita a hacerse socio a cualquier institución, empresa u organización del sector público o privado que trabaje en Seguridad de la Información. También todas aquéllas que ya utilicen o estén pensando en implantar los estándares de la familia ISO 27000.

Así mismo, a todos los profesionales que trabajen en el sector y/o tengan responsabilidades en la planificación, desarrollo, implementación, mantenimiento o auditoría de sistemas de gestión de seguridad de la información.

La Presentación y I Jornada Internacional de ISMS Forum Spain está programada en Madrid el próximo 17 de mayo de 2007 con el título:

"BALANCE MUNDIAL Y RETOS DE LA GESTIÓN PROFESIONAL DE LA SEGURIDAD DE LA INFORMACIÓN EN ESPAÑA"

y contará con las intervenciones de autoridades de la Administración pública y de expertos del sector que expondrán casos reales y analizarán la situación de la gestión de la seguridad de la información en Expaña.

Así mismo, acudirán algunas de las máximas autoridades mundiales en la materia como Edward Humphreys, fundador de ISMS International User Group y conocido internacionalmente como el "padre" del estándar británico BS 7799, norma que ha dado origen a la actual ISO 27001.

En próximas fechas estará disponible el programa completo de la Jornada, así como el formulario de inscripción en la misma. La asistencia será gratuita para los socios de ISMS Forum Spain. Las inscripciones se aceptarán por orden de llegada hasta completar el aforo.

La construcción de la página del capítulo estará completada y totalmente funcional a lo largo de las próximas semanas y permitirá gestionar las peticiones de los interesados en asociarse. La asistencia será gratuita para los socios de ISMS Forum Spain. Las inscripciones se aceptarán por orden de llegada hasta completar el aforo.

Para acceder a la página en construcción: ismsforum.es


Del 12 al 16 de Marzo, BSI ofrece en Ciudad de México un curso oficial de auditor de ISO 27001 con examen de certificación.

Para más detalles e inscripciones: bsiamericas.com


Del 16 al 20 de Abril, ISEC Auditors ofrece en Barcelona un curso en inglés de preparación a la certificación CISSP (Certified Information Systems Security Professional), con examen el 5 de Mayo.

También existe la posibilidad de inscribirse sólo al examen. El límite de inscripción al curso es el 30 de Marzo.

Más detalles en ISEC Auditors.


A finales de 2004, la Japan Information Processing Development Corporation publicó una guía en inglés de implantación de SGSIs en organizaciones médicas.

A lo largo de 79 páginas, el documento hace un recorrido relativamente detallado de todas las fases del ciclo PDCA y de las tareas que deberían llevarse a cabo en cada una de ellas. A pesar de estar pensado para organizaciones médicas, su contenido es aplicable en su mayor parte a cualquier tipo de empresa u organismo.

El documento puede descargarse de www.isms.jipdec.jp.


Paloma Llaneza hace referencia a la guía publicada por ENISA (European Network and Information Security Agency) sobre cómo elaborar programas de concienciación en seguridad de la información.

Se trata de una interesante guía que publicó ENISA en 2006 en inglés y que ahora ha traducido al francés, alemán y español.


Segu-Info, activo portal argentino dedicado a la seguridad de la información, organiza el 24 de Marzo en Salto (provincia de Buenos Aires - Argentina) su primer seminario de seguridad de la información.

Se desarrollarán y tratarán los siguientes temas:

* Importancia de la información
* Ingeniería social
* El malware (virus, troyanos, spyware, etc)
* Ejemplos de ataques
* Uso seguro del e-banking y de transacciones comerciales
* Herramientas y consejos para el uso seguro de los sistemas

Los ponentes serán Claudio Caracciolo y Cristian Borghello.

Más información e inscripciones en: Segu-Info


En el mes de Febrero, NIST (National Institute of Standards and Technology de EEUU) ha publicado o actualizado tres nuevas guías relativas a seguridad de la información. Son las siguientes:

SP800-94: Guía de Sistemas de Detección y Prevención de Intrusiones.
SP800-45: Guía de Seguridad de Correo Electrónico.
SP800-97: Guía de IEEE 802.11i (redes inalámbricas seguras).


IT Security publica un artículo, orientado a usuarios, en el que describe los 25 errores más comunes que se cometen en cuanto a la seguridad del correo electrónico y la forma evitarlos.

Son consejos que pueden servir de guía a la hora de redactar una política de uso de correo electrónico o impartir formación en el uso seguro del mismo.


CERT (Computer Emergency Response Team del Software Engineering Institute de Carnegie Mellon University) ha puesto a disposición del público recientemente un centro de recursos en Internet dedicado al gobierno de la seguridad corporativa.

Su objetivo es ofrecer a la gerencia de las empresas información sobre cómo abordar la seguridad de la información. Incluye guías, referencias de artículos, podcasts, informes, etc. El volumen de inforrmación no es aún muy grande, pero es previsible que vaya aumentando progresivamente.

Puede consultarse en: www.cert.org/governance


Bureau Veritas ofrece del 27 al 29 de Marzo en Bilbao (España) un curso de auditor interno de SGSI.

Más detalles en bureauveritas.es.


El 30 y 31 de Marzo tendrá lugar en Cartagena de Indias (Colombia) el Primer Congreso Internacional de Seguridad de la Información.

Las actividades, en forma de conferencias y talleres, versarán sobre:

* Seguridad de la Información desde el punto de vista Empresarial
* Seguridad Física
* Certificaciones Profesionales en Seguridad
* Auditando la Seguridad de la Información
* Taller: Seguridad en Wireless
* Computación Forense
* Saneamiento de Medios Magnéticos
* Plan de Continuidad de Negocio
* Taller: Implementación de un SGSI

Más información e inscripciones en: tecnoeventos.com.co


Gary Hinson hace referencia a un artículo de George Spafford que incide en el hecho de que distintos estudios certifican una y otra vez que un porcentaje muy alto de los incidentes de seguridad de la información que se producen en las empresas tienen su origen en errores humanos.

A pesar de esta realidad, el autor se pregunta por qué no se le dedica más atención a cómo gestionar este problema. Él se centra en el artículo en enumerar los factores que suponen un incremento del nivel potencial de error humano en el desarrollo y gestión de sistemas: la creciente complejidad de los mismos, plazos ajustados, cansancio del personal, constantes saltos en las tareas, planificación insuficiente, pruebas escasas, falta de gestión de cambios, desarrollo sobre sistemas productivos, silos funcionales, incapacidad para la crítica, falta de comunicación, falta de documentación, falta de estándares, pocos objetivos compartidos, poca formación, poca comprensión de la causalidad y falta de conocimiento de controles y procesos.


El Viernes 9 de Marzo de 2007 se celebrará en Madrid una nueva edición de las Conferencias de Seguridad FIST.

Gracias a la colaboración del Consejo Superior de Investigaciones Científicas y al patrocinio de Internet Security Auditors, el evento tendrá lugar en el edificio del Instituto de Física Aplicada del CSIC (c/Serrano 144).

Programa:

- 18:00 Presentación. Vicente Aceituno, Coordinador de las FIST
- 18:10 "After the security breach" - Daniel Cabrera (Global4)
- 19:10 "Politicas de Seguridad IT" - Rafel San Miguel (Grupo Santander)
- 20:00 Descanso
- 20:10 "Seguridad en AJAX" - Gonzalo Álvarez Marañon (CSIC)
- 21:00 Fin

Se recomienda inscribirse, dado que las plazas son limitadas: fistconference.org


ISACA ha presentado las fechas de cuatro "Sarbanes-Oxley Symposiums" en EEUU. Basándose en el whitepaper de ISACA sobre Controles TI para SOX, estos eventos presentan casos prácticos, experiencias y recomendaciones de cómo cumplir con Sarbanes-Oxley desde el punto de vista de los controles de tecnologías de la información. Las fechas previstas son:

26-27 Abril: Grapevine (Texas)
14-15 Junio: Anaheim (California)
23-24 Agosto: Rosemont (Illinois)
27-28 Septiembre: Washington, DC

Por otra parte, Bankinfosecurity ha programado un seminario web el día 6 de Marzo que versará sobre la implantación y prueba de controles clave en los sistemas de información para cumplir con Sarbanes-Oxley. Está basado también en los 26 controles que recomienda el IT Governance Institute. Más información e inscripciones en: bankinfosecurity.com


El capítulo de ISACA de Bogotá (Colombia) organiza los próximos 10 y 11 de Abril un evento educativo para usuarios de COBIT (Control Objectives for Information and related Technology).

Este evento permitirá mostrar a los asistentes cómo COBIT está siendo utilizado para identificar, cuantificar y mitigar los riesgos del negocio, utilizar mejores prácticas en el servicio de implementación de Tecnología Informática, satisfacer necesidades regulatorias y de control y establecer requerimientos de medición del rendimiento.

Para más información e inscripciones: isaca-bogota.net


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial persigue asegurar la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 64 páginas dedicado a la seguridad en servicios de mensajería y web. Los capítulos de que consta son los siguientes:

Article 1: Botnet Threats
Article 2: Combating Spam
Article 3: Content Filtering Technologies
Article 4: Messaging Security: Defense in Depth (and Breadth)
Article 5: Email Authentication
Article 6: Email Compliance and Regulations
Article 7: Essential Policies for Messaging Security
Article 8: FISMA and Messaging Security
Article 9: Host Intrusion Detection and Prevention
Article 10: Instant Messaging Worms and Other IM Threats
Article 11: IT Audits: What to Expect
Article 12: Physical and Digital Security Convergence
Article 13: Rootkit Challenges
Article 14: Vulnerability Scanning 101
Article 15: Web Application Testing
Article 16: Web Services Security
Article 17: When Patching Is Not Enough: Zero-Day Threats

El documento, previa inscripción gratuita, puede descargarse de Realtime Nexus


Paloma Llaneza comenta en su Blog el estado actual de la serie completa de las normas ISO/IEC de la familia 2700x:

"La 27002 que Renato nos comenta que ya viene, en realidad ya está aquí : es la 17799:2005 que cambia de nombre en abril. Su texto se mantiene ¡gracias a Dios! que la edición de esta norma es muy complicada.

La 27006, sobre acreditación de entidades de certificación del esquema 2700x se publicó ayer, 19 de febrero.

La mía, la 27004 de métricas, esta en CD. Me gustaría que saliera pronto pero depende del grupo de edición y de los intereses de los distintos países que la están siguiendo. Tal vez consigamos tenerla para la última votación a principios del año que viene, pero no me atrevo a asegurarlo.

La 27005, de análisis de riesgos, está más avanzada pero le queda a lo mejor este año, si todo va bien.

La 27000, de vocabulario, está en 1CD y le queda un poco aún. Esta norma se ha acordado que sea de distribución gratuita.

La 27003 sobre guías de implantación tiene 4 editores, 100 páginas y está en 3WD. Le queda bastante.

Lamento no poder ser más precisa. Aunque hay un calendario, la edición de normas internacionales no es una ciencia exacta.

En mayo tenemos reunión internacional. Ya os contaré."

Paloma Llaneza es abogado en ejercicio y socio de LLaneza y Asociados, Abogados. Auditora de Sistemas de Información (CISA) certifcada por ISACA, es Coordinadora del GT 1 del Subcomité 27 de AENOR (Comité espejo del internacional de ISO JTC 1/SC 27/WG 1 de gestión de la seguridad TI), donde se estudian y aprueban las normas UNE en esta materia. Es también Coordinadora del WG6 del SC37, sobre legislación en materia de biometría. Incorporada desde su consitución al WG25 sobre ITIL.

Desde 2004 es co-editora de la norma internacional ISO de Métricas de Seguridad de Gestión de Sistemas de la Información (ISO/IEC 27004).

Enlace directo a la bitácora en palomallaneza.com


Este año la seguridad será el destino principal de la inversión de las organizaciones en servicios gestionados, seguida en segunda posición por el almacenamiento, backup y la recuperación ante desastres, según los resultados de una encuesta realizada por Computing Technology Industry Association (CompTIA).

Una tercera parte de las 322 compañías entrevistadas por CompTIA para desarrollar este estudio - todas ellas ya usuarias de servicios gestionados- tienen intención de realizar nuevas inversiones o incrementar el gasto en servicios gestionados de seguridad.

En términos globales, las cinco principales áreas de inversión, siempre dentro del segmento de servicios gestionados, serán, en este mismo orden, la seguridad; el almacenamiento, backup y recuperación ante desastres; el hosting Web y de correo electrónico; la administración y monitorización de red; y la suscripción a aplicaciones (software como servicio o SaaS).

Noticia completa en CIO España


El 55% de los negocios online tienen su centro de datos en edificios de oficinas tradicionales sujetas diariamente a altos niveles de riesgo. Sólo un 57% considera prioritario dotar de los máximos niveles de seguridad física al interior y alrededores del entorno donde alojan su infraestructura TI de misión crítica. Éstas son algunas de las conclusiones de un reciente estudio llevado a cabo por la consultora Vanson Bourne.

El estudio de Vanson Bourne analiza las características de seguridad de las ubicaciones donde hospedan su infraestructura informática 250 empresas con más de 1.000 empleados en España, Alemania, Reino Unido, Francia y Holanda. De sus resultados se deduce el bajo nivel de sensibilidad de los negocios online sobre la importancia de la seguridad física de sus sistemas TI. Una situación que contrasta claramente con la actitud de las empresas que operan en el sector financiero.

Vanson Bourne señala que estas diferencias sectoriales están estrechamente relacionadas con la mentalidad de los directivos. Según el estudio, un 87% de los directivos del sector financiero han incrementado su nivel de preocupación por el cumplimiento de las normas de conformidad relacionadas con la seguridad de sus infraestructura de TI en el último año. Este porcentaje se reduce a un 53% en el caso de los negocios online.

Noticia completa en CIO España


La solución de problemas específicos no es la respuesta.

Muchas empresas han aplicado soluciones específicas capaces de hacer frente solamente de un único problema. Las soluciones antispam y antivirus que comprueban el correo pueden emplearse a nivel de usuario o como plug-in. Pero este tipo de enfoque rara vez forma parte de una estrategia general de seguridad, y suele provocar lagunas o superposiciones en la seguridad. Adicionalmente, la mayor parte de estas soluciones específicas tienen interfaces de gestión distintas, lo cual puede provocar un aumento del coste y el esfuerzo administrativo.

Con la evolución de la seguridad del correo electrónico, frecuentemente deja de valer la pena el estrato suplementario de gestión que requieren estas soluciones específicas, puesto que hacen frente a un único problema del correo, utilizando habitualmente un solo método de defensa. El spam, en particular, ha evolucionado más allá de lo que pueden abordar estas soluciones, lo cual hace básicamente ineficaces estos productos.

Documento completo en PDF disponible en CIO España


La reunión estará caracterizada por lecciones prácticas y experiencias de compañías que han alcanzado los “cinco nueves?, o 99,999% de disponibilidad de red, y de firmas de analistas como Forrester, IDC y otras.

La empresa reunirá a patir del 25 de Marzo a ponentes de usuarios finales, de firmas y agencias internacionales en sectores como fabricación, telecomunicaciones, banca, seguridad pública. Durante las sesiones del 26 y 27 de marzo en Orlando se hablará de temas como brechas de seguridad, construcción de infraestructuras sin un punto único de fallo; gestión del ciclo de vida de la información para conocer los requerimientos de las normativas y aproximaciones holísticas a la disponibilidad continua.

"No hace mucho tiempo que la tecnología estaba en la parte de atrás de las empresas haciendo números y tabulando resultados. Ahora está al frente del negocio, consiguiendo ventas e impulsando resultados", explicó Greg Enriquez, vicepresidente senior mundial de operaciones. "Las aplicaciones de cara al cliente son de misión crítica porque ellos esperan que los sistemas estén disponibles a su conveniencia. Para ofrecer ese grado de fiabilidad, la mayoría de las compañías necesitan más información y experiencia para conseguir unas infraestructuras contra fallos. La Cumbre sobre la Disponibilidad Continua 2007 será la fuente definitiva de las ideas y de las soluciones que los negocios necesitan para desarrollar y gestionar esas infraestructuras".

Noticia completa en Financialtech

Enlace al evento en Stratus Summit


Cuidado al mandar mensajes masivos: utiliza el campo CCO.

Da igual que sea un despiste, pero todo aquel que en una actividad que no sea doméstica o personal deje a la vista las direcciones de correo electrónico de sus destinatarios está cometiendo una infracción multada hasta con 60.101, 21 euros por la Ley Orgánica de Protección de Datos (LOPD).

Doña A.G. S. sabe bien que no se trata de una amenaza, pues ha tenido que pagar 601,01 euros por haber dejado a la vista 42 direcciones de email al enviar un mensaje promocional de telefonía móvil por encargo de una pequeña empresa conocida como La Cremallera, que estaba llevando a cabo una campaña para Vodafone.

Uno de los destinatarios de este mensaje sintió que se violaba su intimidad al exponer su dirección y no utilizar la opción de copia oculta (CCO), y presentó una denuncia ante la Agencia Española de Protección de Datos (AEPD), quien inició el proceso.

El correo electrónico se considera un dato personal desde 1999, según explica en su blog dedicado al derecho y las nuevas tecnologías Samuel Parra, y sólo se puede utilizar para los fines que su propietario ha autorizado. Este punto echó por tierra la defensa de la denunciada, quien alegaba que la dirección de correo de su denunciante se podía encontrar en Internet en diferentes páginas web.

Noticia completa en El País


Desde el pasado día 25 de febrero, ya se encuentra publicado el número 8 de Revista a+)) en el que destacan los siguientes contenidos:

· Entrevista "en el Diván" a *D. Francisco Belil Creixell*, /Vicepresidente y Consejero Delegado de Siemens/;//

· Entrevista en la sección "Directivos +" a *Dª. Rosa García*, /Presidenta de Microsoft Ibérica/;

· "Caso de Éxito", dedicado en esta ocasión a *Mantequerías ARIAS*



Acceso en Revista-ays

También disponible desde nuestro apartado de Boletines


Arquitecturas de seguridad eficaces ayudan a las organizaciones a mejorar la coordinación y esfuerzos empresariales en seguridad. Mediante el aprendizaje del modo en que las arquitecturas de la seguridad funcionan se puede ayudar a los auditores internos a maximizar los resultados de las auditorías de seguridad y a desempeñar un papel más proactivo en las actividades relacionas con la seguridad de su organización.

Antivirus, cortafuegos y los sistemas de detección de intrusiones desempeñan un papel clave en la protección de las organizaciones contra amenazas externas. Para maximizar estas herramientas de seguridad, así como políticas y procedimientos existentes, las compañías deben disponer de una arquitectura empresarial que integre todos estos diversos elementos.

Esta arquitectura debe ser una actividad estructurada y coordinada que tenga en cuenta a las presonas, procesos y las herramientas que funcionan en conjunto para securizar los recursos de una organización y debe estar ligada al flujo continuo de la información que recorre la organización entera para adaptarla a los cambios. Para maximizar los esfuerzos de la auditoría, los nuevos auditores TI necesitan entender los componentes principales de una arquitectura de seguridad, los diversos marcos para diseñar y evaluar una arquitectura eficaz y cómo determinar la eficacia de la arquitectura.

Artículo completo de Nelson E. Gibbs en ITAudit


Cáncer, enfisema, dientes amarillos y ahora ésto.

Donde hay humo, hay una puerta. Una compañía de seguridad británica está advirtiendo que los fumadores pueden minar las medidas de seguridad dejando puertas abiertas que podrían permitir a intrusos abusar de la red de una compañía.

Puede sonar algo exagerado pero un profesional que realiza pruebas de penetración para NTA Monitor Ltd., una compañía de Rochester (Inglaterra), accedía a una compañía de servicios profesionales de las afueras de Londres de este modo, según declaró el director técnico Roy Hills.

La compañía contrató a NTA para probar si era posible conseguir entrar en las instalaciones sin la identificación apropiada. El profesional que realizaba las pruebas de penetración esperó a que los fumadores acabaran la pausa para colarse por la puerta abierta, que no era la entrada principal pero sí accesible al público desde el exterior.

Noticia completa en Computerworld


Serie de vídeos tutoriales de seguridad que explica que son, cómo funcionan, cómo ejecutarlos y cómo detectarlos.

Tutorial 1 de 3 en ARP 1 de 3

Tutorial 2 de 3 en ARP 2 de 3

Tutorial 3 de 3 en ARP 3 de 3


El sistema informático de los 400 centros de salud y consultorios locales de la Consejería de Sanidad -que contiene los datos personales de seis millones de madrileños, sus enfermedades, los medicamentos que toman y los médicos que se los han recetado- estará bajo control hasta 2010 de una multinacional francesa especializada en almacenar, elaborar y vender este tipo de datos a la industria farmacéutica.

Una de las principales áreas de negocio de Cegedim, según su página web corporativa, es prestar servicios especializados a las empresas farmacéuticas para mejorar sus acciones de mercadotecnia y estrategias comerciales. "Para una empresa de este tipo, el sistema informático de un sistema sanitario público de seis millones de personas es oro puro", explica un técnico informático cercano a la adjudicación del contrato.

"Las multinacionales farmacéuticas gastan miles de millones de euros en campañas de promoción. Les interesa saber qué fármacos prescriben los médicos de la sanidad pública, en qué áreas son más fuertes sus productos y en cuáles deben reforzar sus fuerzas de ventas. Manejar el sistema informático público revaloriza a Cedegim de forma muy importante ante sus potenciales clientes", añade este técnico.

Noticia completa y comentarios en www.segu-info.com.ar


Nuevo número de la revista bimensual en inglés publicada por ISACA y dedicada a IT governance y auditoría, control y seguridad de sistemas de información.

Acceso a miembros en Information Systems Control Journal


Nuevo número ENISA
27/February/2007
Bruce Schneier abre la sección de artículos del primer número del año del boletín editado y publicado por la agencia europea ENISA (European Network and Information Security Agency).

Descarga en PDF ENISA Quartely

También disponible desde nuestro apartado de Boletines


"Me han pasado una dirección de una web que se dedica entre otras cosas a vender un listado de 5 millones de direcciones de email por 149$. Esa claro que los spammer no pierden el tiempo e intentan dar salida a los emails capturados por sus spambots.

Me resulta curioso ver que aseguran que el 100% de los emails de la lista funcionan y también es curioso que ofrecen recolectar emails según un target determinado (en ingles).

Las listas temáticas de emails las venden más caras, probablemente las personas que hay detrás de este tipo de webs asesoran y dan servicio a sus posibles clientes para enviar estos enormes listados y evitar, en la medida de lo posible, los filtros anti spam existentes."

Noticia completa en www.segu-info.com.ar


Nuevo número (IN)Secure
27/February/2007
Los contenidos de este nuevo número son:

* Microsoft Windows Vista: significant security improvement?
* Review: GFI Endpoint Security 3
* Interview with Edward Gibson, Chief Security Advisor at Microsoft UK
* Top 10 spyware of 2006
* The spam problem and open source filtering solutions
* Office 2007: new format and new protection/security policy
* Wardriving in Paris
* Interview with Joanna Rutkowska, security researcher
* Climbing the security career mountain: how to get more than just a job
* RSA Conference 2007 report
* ROT13 is used in Windows? You're joking!
* Data security beyond PCI compliance - protecting sensitive data in a distributed environment

Descarga en PDF (IN)Secure 10

También disponible desde nuestro apartado de Boletines


El National Institute of Standards and Technology ha publicado dos nuevos informes de ayuda a auditores, inspectores y a la gerencia mayor para una mejor comprensión y evaluación de los programas en seguridad de la información.

NISTIR 7359, titulado "Information Security Guide for Government Executives" es una descripción de los conceptos de la seguridad TI que la gerencia debería palpar. La guía contesta a cinco preguntas básicas sobre la seguridad de la información a nivel de gerentes Senior:

¿Por qué necesito invertir en seguridad de la información?

¿Dónde necesito enfocar mi atención para lograr metas críticas de la seguridad de la información?

¿Cuál son las actividades dominantes en el edificio una seguridad eficaz de la información programan?

¿Cuáles son los leyes, las regulaciones, los estándares y las pautas que necesito entender para construir un programa eficaz de la seguridad de la información?

¿Dónde puedo aprender más para ayudar a evaluar mi programa?

NISTIR 7358, titulado "Program Review for Information Security Management Assistance (PRISMA)" presenta a un acercamiento estandarizado para medir la madurez de un programa de la seguridad de la información. PRISMA es una metodología desarrollada por NIST para repasar los complejos requisitos de un programa federal de la seguridad de la información.

Descarga NISTIR 7359

Descarga NISTIR 7358


El CA 2007 Internet Threat Outlook, resume las principales amenazas del 2007 basadas en datos recolectados por el equipo de Consejeros de Seguridad de CA.

Computer Associates advierte de la existencia de nuevos "ciber-ladrones" más sofisticados con capacidad para acceder a propiedades intelectuales, identidades personales y contenidos de cuentas bancarias a través de fronteras internacionales y dentro de organizaciones sociales interconectadas.

CA distingue un aumento de programas anti-spyware como una de las alarmantes tendencias para 2007. Los criminales están "cazando" a los usuarios y a las pequeñas empresas a través de programas gratuitos anti-spyware que contienen los "virus" que proponen tratar. En vez de "limpiar" las computadoras, estos atacantes consiguen el dinero de usuarios por medio del engaño.

Articulo completo en DiarioTI

Descarga del documento en PDF CA 2007 Internet Threat Outlook


Ampliamos nuestra sección de podcasts con una entrevista a Silvia García, Responsable de Sistemas de Gestión en la empresa Belt Ibérica.

En esta entrevista, Silvia García habla sobre el proceso de implantación y certificación de ISO 27001 en su empresa.

Recordamos que dentro de esta serie de entrevistas, ya se han publicado:

Podcast Abel González, ESA Security. Implantación de ISO 27001 desde el punto de vista de la consultoría.
Podcast Iñigo Barreira, Izenpe. Implantación y certificación de ISO 27001.
Podcast Vicente Aceituno. Modelo ISM3.
Podcast Laura Prats, Applus+. Certificaciones ISO 27001 y UNE 71502, acreditación de entidades de certificación.
Podcast promotores CAMERSEC. Certificación SGSIs en pymes andaluzas.
Podcast Miguel Banegas, Telefónica Empresas. Implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid).
Podcast Miguel Ángel Thomas, Everis (DMR Consulting). Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002).
Podcast Alejandro García, BSI. Estado actual y evolución en la certificación ISO 27001.
Podcast Álvaro Rodríguez de Roa, SGS ICS. Proceso de certificación de un SGSI.
Podcast Agustín Lerma, Nextel. Gestión de riesgos.
Podcast José Manuel Fernández, Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández, Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001, www.ISO27000.es.


La entidad de certificación de SGS España tiene previsto celebrar los siguientes cursos en Madrid:

Curso de Fundamentos en ISO 27001. 05 de Marzo 2007.

Curso de Fundamentos en ISO 20000. 06 de Marzo 2007.

Más información en: Curso ISO 27001, Curso ISO 20000


El próximo 8 de Marzo, de 9:00 a 11:30, tendrá lugar en las oficinas de la entidad de certificación SGS un desayuno de trabajo organizado conjuntamente con la empresa consultora ESA Security, dedicado a introducir a los asistentes al proceso de implantación de un sistema de gestión de seguridad de la información conforme a ISO 27001.

Más información aquí


BSI (British Standards Institution) España ha abierto el plazo de inscripción a dos cursos de auditor líder de ISO 27001 que se celebrarán en Madrid en las siguientes fechas:

Del 16 al 20 de Abril de 2007.

Del 11 al 15 de Junio de 2007.

Se trata de cursos oficiales BSI, que combinan teoría y práctica, e incluyen un examen al final de los mismos. En caso de superación de dicho examen, el alumno recibe un certificado oficial por parte de BSI.

El precio de cada uno de los cursos es de 1.200 euros más IVA.

Para más información e inscripciones:

Telf: + 34 91 4008 620
Email: marketing.spain@bsi-global.com


La Cámara de Comercio de Málaga lanzó hace unos días el siguiente comunicado:

"El PTA, S. A. está colaborando con la Cámara de Comercio, Navegación e Industria de Málaga en un proyecto cuyo objetivo final es la implantación y certificación de un Sistema de Gestión de Seguridad de la Información basado en la norma de gestión de la seguridad ISO 27001. Dicho proyecto está siendo apoyado por la Consejería de Innovación, Ciencia y Empresa de Andalucía, que ha destinado una cuantía a modo de incentivos para las empresas participantes.

El proyecto, denominado CAMERSEC, nace al objeto de acercar la Gestión de la Seguridad de la Información a las empresas, habida cuenta del alto valor de los activos de información para las empresas hoy día. Mediante esta iniciativa, se pretende fomentar la Cultura de la Seguridad integrándola como un factor más a tener en cuenta en la organización, implantando los controles de seguridad oportunos para preservar dichos activos a la vez que se aportan técnicas de gestión en diversas materias.

El próximo día 23 de febrero, viernes, a las 9:00 h. tendrá lugar una reunión en el Centro de Ciencia y Tecnología del PTA, para tratar sobre el contenido del proyecto con aquellas empresas que puedan estar interesadas.

El acto es sumamente interesante para conocer el contenido de una normativa de seguridad de este tipo, así como conocer las condiciones del Proyecto CAMERSEC.

Para más información e inscripción, se puede contactar con: guillermo.hurtado@camaramalaga.com"


Desde hace más de dos años, viene emitiéndose un programa de radio dedicado a la seguridad de la información. Así es como se presenta este programa y podcast:

"El Guardián nació en el año 2004 como programa radiofónico que, una vez a la semana, difunde las principales novedades y noticias del mundo de la seguridad tecnológica.

El programa y PodCast de seguridad ya ha superado las 100 ediciones y en su tercera temporada de radio sigue tratando diferentes cuestiones de importancia en el mundo de la seguridad, siempre resumidas en una hora de radio semanal.

Las principales secciones de el programa El Guardián son:

- Noticias seguras, con un resumen de la actualidad resumidas en las diez principales noticias de la semana.
- Seguridad a fondo, cada semana, una cuestión importante tratada con mayor detalle.
- Seguridad práctica, con los contenidos más prácticos para estar protegidos.
- Alertas de seguridad, con la información sobre los principales tipos de malware que han aparecido en los últimos días.
- Seguridad en software libre, para conocer como proteger sistemas Linux, Firefox y otros desarrollos en este entorno. Una sección en la que interviene un experto en este ámbito como es Mikel Carmona.
- Y otras secciones que alternan su presencia en el programa como los concursos de seguridad, la historia de la seguridad, web seguras, etc.

Como complemento al programa de radio, en la web de El Guardián, hay noticias y un resumen de los contenidos ofrecidos en el programa.

La emisión de El Guardián en la radio se realiza los domingos de 9 a 10 de la noche y los lunes de 7 a 8 de la tarde (hora peninsular española) en Euskadi Digital (FM 100.4 Bilbao). A partir del martes, ya está disponible el PodCast desde la web de Euskadi Digital, donde se dan todas las facilidades para suscribirse al programa y escucharlo automáticamente en cuanto está disponible.

El presentador del programa es Iñaki Lázaro, profesional informático que lleva años en el mundo tecnológico y la seguridad. Durante cinco años trabajó en el Dpto. de Producto de Panda Software y es precisamente esta empresa uno de los principales colaboradores del programa. Actualmente, Iñaki participa en otros espacios radiofónicos como EnRedAndo, también en Euskadi Digital, y desarrolla diferentes funciones en el mundo de la comunicación y el software online a través de B-kin Software."


Publicada ISO 27006:2007
22/January/2007
A finales de Enero informábamos de la aprobación de ISO 27006 y ahora ya se puede anunciar la publicación oficial de esta norma. En concreto, ha sido publicada el pasado 13 de Febrero.

Con el nombre completo de "ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems", esta norma internacional recoge los requisitos para la acreditación de organismos que certifican sistemas de gestión de seguridad de la información.

Está disponible para su adquisición en ISO.org


Hace ya unos meses que Carlos Ormella Meyer, conocido experto argentino en seguridad de la información, publicó un en Criptored un documento dedicado al ROSI (Retorno sobre la Inversión en Seguridad).

En él hace una exposición sobre el concepto de Retorno de la Inversión (el ya clásico ROI) aplicado a la seguridad. Se trata de medir la relación porcentual entre el retorno (diferencia entre beneficio e inversión) de la inversión en seguridad y dicha inversión. Es un parámetro muy útil para los responsables de seguridad a la hora de justificar las inversiones.

El documento está disponible en Criptored


Hace ya varios meses, el SANS Institute publicó una actualización de su checklist de auditoría de controles del Anexo A de ISO 27001.

Está disponible aquí


Las siguientes charlas y conferencias están programadas para el 28 de Febrero y 1 de Marzo en la feria Infosecurity:


Sala ASIMELEC

Día 28 de febrero

Triángulo profesionales-empresas-administración
Factura Electrónica
Los servicios de confianza: hacia el "Enterprise Trust Integration - ETI -
Id corporativo y tarjetas criptográficas
Archivado de firmas electrónicas a largo plazo
Firma electrónica y Plataforma de Validación
Acceso seguro a la Banca Electrónica
Documentos electrónicos y el DNIe en banca y eAdministración
Aplicaciones prácticas del uso del DNI electrónico y otras tarjetas de Identificación
Gestión segura de visitantes

Día 1 de marzo

Presentación de las Jornadas Infosecurity de ASIMELEC
Herramientas SIM
Gestión de Sistemas y Continuidad de Negocio
Tecnología de Sistemas y "Firewall" de Intrusiones
Seguridad entorno movilidad y Gobernanza IT
Retos de seguridad de los grandes entornos de conectividad

ISO 27001
Barreras y Defensas. Identificación, Antivirus, antispyware, etc
Normativa comercio electrónico y LOPD
Tarjeta criptográfica y Gestión de Identidad
Conclusión de las Jornadas Infosecurity de ASIMELEC


Speaker's Corner

Día 28 de febrero

Archivado de ficheros
Workshop Anti-Haker
Seguridad en entornos financieros en la era digital
Medios de prevención del fraude

Día 1 de marzo
Next Generation Email Security
Cómo combatir las amenazas informáticas aplicando una política de seguridad gestionada.
Soluciones de almacenamiento
Consolidación y Gestión Centralizada de los ficheros en Entornos Distribuidos
New Generation Network Security System
Soluciones en seguirdad
Designing a Content Governance strategy
Últimas Innovaciones en Sistemas de Prevención de Intrusiones


Según el REAL DECRETO 1579/2006, de 22 de diciembre, por el que se establece el régimen de ayudas y el sistema de gestión del Programa de apoyo a la innovación de las pequeñas y medianas empresas 2007-2013 aparece publicado en el BOE y con fecha de 2 Febrero de 2007 el apoyo a la implantación y certificación de sistemas de gestión medioambiental (Norma UNE-EN-ISO 14001), de sistemas de gestión de Calidad (Norma UNEEN-ISO-9001) cuando acompañe a la anterior, excelencia empresarial EFQM así como los Sistemas de Gestión de la Seguridad de la Información (Norma ISO 27001 o eventuales desarrollos posteriores).

Consulta del BOE de 2 Febrero de 2007 disponible en: BOE


El IRCA ha lanzado un foro de discusión online por internet para auditores y profesionales especializados en sistemas de gestión. El foro es gratis y abierto a cualquier persona que desea participar; está diseñado como una plataforma para que todos aquéllos involucrados en la certificación acreditada puedan participar en debates, hacer preguntas o compartir las mejore prácticas. Hay una cierta cantidad de foros, y dentro de cada foro, una cantidad de temas. Los miembros, durante las discusiones, pueden agregar nuevos foros y nuevos temas.

Se le pedirá que elija un nombre de usuario y una clave. Si desea permanecer anónimo, repita su nombre de usuario en la casilla que le pide el nombre completo. Su dirección de correo electrónico será usada cuando otros miembros deseen contactarlo directamente y el mensaje electrónico será generado por el sistema.

Enlace para la suscripción: Foro IRCA


Se celebrará 01 y 02 de Marzo en Sala de Conferencias Recoletos.

Durante este Encuentro, D. Antonio Troncoso Reigada, Director de la Agencia de Protección de Datos de la Comunidad de Madrid, impartirá la ponencia "Cómo garantizar la confidencialidad y el acceso a la información en la historia clínica electrónica"

Organizado por: Recoletos Conferencias & Formación


Miles de peticiones de visado que contenían la información confidencial de individuos de 14 estados quedaron expuestos durante más de un mes en un centro de reciclaje de California después de haber sido descargado allí por el consulado indio en San Francisco.

Los documentos contenían los nombres, las fechas de nacimiento, las direcciones y otros detalles del pasaporte de la gente que había solicitado un visado indio entre 2002 y 2005.

Un funcionario del consulado indio declaró que el centro de San Francisco había dispuesto un espacio de almacenaje y había empleado a compañía para llevar las cajas que contenían el papeleo del visado y otros documentos a una planta de reciclaje local, donde se asumía que serían destruido.

Pero las cajas marcadas como "peticiones de visado" fueron únicamente descargados en una área de acceso público en el centro de reciclaje en donde permanecieron por más que un mes.

El hecho fue hecho público por el chronicle de San Francisco. Pratik Sircar, delegado del consúl no proporcionó detalles del incidente o el número de la gente cuya información pudo haber sido expuesta. Según el chronicle, varios gerentes de negocios y líderes políticos de California estaban entre los afectados por el incidente..

Artículo completo en: Computerworld


¿Cada 39 segundos?
13/February/2007
Durante el tiempo utilzado en leer esta entrada, un hacker ha intentado ganar acceso a tu ordenador. Este es el resultado de un fascinante estudio realizado por Michel Cukier de la Universidad de Maryland.

Estudio accesible en: Estudio


La utilización de sistemas de identificación digitales, tales como el DNI electrónico, especialmente a partir de la configuración legal que este instrumento ha recibido en la Ley 59/2003, de 19 de diciembre, de firma electrónica, ha generado una serie de implicaciones legales en relación con la protección de los datos personales y los servicios administrativos en línea, debido, entre otras razones, a que la interconexión entre bases de datos diversas y heterogéneas en cuanto a su contenido y finalidad podría convertirse en un auténtico peligro.

Artículo de Julián Valero Torrijos / Daniel Sánchez Martínez en: Datospersonales.org


Por su gran interés reproducimos la Instrucción número 1/2006 de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras publicado en el BOE con fecha 12 de diciembre de 2006.

Artículo completo en: Seguritecnia


Con un tejido empresarial copado mayoritariamente por pymes y autónomos en nuestro país, el outsourcing en el marco de la seguridad TIC se ha convertido en una herramienta básica y primordial para el desarrollo de esta clase de negocios.

El valor añadido que aporta la externalización de una materia tan crítica y fundamental como la seguridad de los sistemas informáticos resulta crucial en estos casos, ya que este tipo de clientes no requiere de la misma complejidad que las grandes corporaciones ni puede permitirse un desembolso desproporcionado para lo que son sus necesidades, y de igual forma, tampoco puede descuidar su correcto funcionamiento.

La externalización de la seguridad se va consolidando como alternativa de futuro para pymes, sucursales y profesionales autónomos que necesitan asegurar sus sistemas informáticos tanto como las grandes corporaciones, pero no cuentan con los recursos necesarios para adquirir las soluciones. A través de la Seguridad Gestionada las empresas con menos recursos pueden beneficiarse de servicios completos y actualizados de seguridad a través de una cuota mensual asequible, sin necesidad de tener ningún conocimiento en seguridad informática.

Artículo de Agustín Janer para: Red Seguridad


El contrato de outsourcing se configura como uno de los contratos informáticos de mayor complejidad debido a las contingencias, obligaciones y responsabilidades que pueden surgir, así como a la amplitud de servicios que pueden canalizarse a través del mismo.

Entre otros, el contrato puede servir de marco para la prestación de los siguientes: consultoría, provisión de aplicaciones (ASP, del inglés Application Service Provider), mantenimiento de hardware (HW) y software (SW), servicios de redes y servicios de seguridad.

Para lograr un resultado satisfactorio, en el proceso de negociación y redacción de un contrato de outsourcing, resulta imprescindible definir adecuadamente los siguientes aspectos.

Artículo de Juan Carrasco Linares para: Red Seguridad


Actualmente, el mercado ofrece un abanico impresionante de empresas proveedoras de servicios TIC, pero, en muchas ocasiones, la calidad de esta asistencia no es todo lo buena que debería ser.

El intrusismo profesional, la puja competitiva por los precios más bajos o el abuso por la falta de conocimientos que sufre quien necesita dichos servicios, hacen que sea necesaria una revisión cuidadosa de la oferta, así como el asesoramiento de especialistas técnicos y jurídicos a la hora de decantarse por la externalización, aún más, si se trata del área estratégica de la seguridad de la información.

Cuando una empresa decide externalizar un servicio TIC, generalmente en lo primero que repara es en el dinero que va a tener que desembolsar. En este primer acto reflejo, el empresario quizá se olvide de que sin calidad, normalmente se gasta el doble. En lo que respecta a la externalización de la seguridad de la información y las comunicaciones, el riesgo es aún mayor, puesto que lo que se pone en juego es el activo más importante de una organización.

Especial Outsourcing de seguridad en: Red Seguridad


Curso específico, incluido en el programa general y desarrollado por BELT IBÉRICA, S.A., para aquellas personas interesadas únicamente en la Seguridad en Informática. Por ello le ofrecemos la posibilidad de asistir a los módulos 7G, 8G y 9G del programa general, que forman el Curso de Seguridad en Informática, manteniendo una titulación independiente, avalada por la experiencia de BELT IBÉRICA, S.A.

El Curso está dirigido a Directivos de empresas e instituciones, con independencia del sector al que pertenezcan, responsables de los Sistemas de Seguridad de la Información y de las Comunicaciones. Técnicos que quieran adquirir nuevas capacidades para la Dirección, Gestión y Organización de la Seguridad de la Información.

Consulta del contenido completo del curso e incripciones en: Belt Ibérica


La navegación en horas de trabajo en búsqueda de pornografía parece ser un problema en todas las empresas.

Recientemente, PixAlert presentó material estadístico basado en análisis de 5.000 PCs en 60 empresas. Las cifras representan un sombrío panorama para todas las gerencias interesadas en una política de "cero pornografía".

"Hemos estado en este negocio desde 1999 y hemos encontrado pornografía en absolutamente todas las redes que hemos analizado", declaró Andy Churley, director de la compañía, a eWeek.

Los mayores usuarios de pornografía son los empleados varones, que representan el 70% de todo el material hallado en la investigación. Con todo, son las mujeres quienes envían el mayor número de mensajes de correo electrónico con contenido inapropiado. Siete de cada 10 mensajes de tales características son remitidos por mujeres.

Noticia e información completa en: DiarioTI


Ha llegado la hora de la verdad: la nueva circular de solvencia del Banco de España, tan largamente esperada, está al caer: ya tenemos una gran parte del documento borrador entre manos... y las entidades ya la pueden implantar.

Las entidades financieras han cambiado enormemente en estos años. Basilea II ha popularizado una terminología y unos métodos con que sólo las entidades más avanzadas ya venían trabajando. Las entidades han cambiado en organización, métodos, procesos, todo por ir incorporando modelos de medición del riesgo de crédito: scorings, ratings, pérdida esperada, stress testing, entre otros.

En definitiva, con la publicación del borrador de la nueva circular de solvencia del Banco de España todos -regulador, entidades, consultores- damos un paso más hacia esa nueva cultura del riesgo. Ya no hay marcha atrás.

Noticia e información completa en: Financialtech


De las 610 empresas consultadas, sólo el 27% dispone de una metodología para clasificar y almacenar los documentos con datos personales o con información confidencial. Los datos de la encuesta confirman que el soporte papel es el gran olvidado en la aplicación de las políticas de seguridad de la empresa española. Únicamente una tercera parte de las compañías trata los documentos en papel con datos personales como documentación confidencial.

Para Javier Ribas, socio de Landwell-PwC, “el Reglamento de la LOPD será una buena excusa para que las empresas inviertan en proteger sus activos inmateriales, especialmente la información confidencial que circula en los distintos documentos que se generan e imprimen en la práctica diaria. Desgraciadamente -añadió Ribas-, las empresas no han sabido compatibilizar la irrupción de las nuevas tecnologías con la gestión documental clásica. El miedo a las amenazas provenientes de Internet ha dejado la seguridad del papel en un segundo plano. El nuevo Reglamento hará que el papel recupere su importancia y rescatará procedimientos clásicos de clasificación de documentos que algunas empresas habían olvidado al suponer que la informática sustituiría al papel. La realidad es que la oficina sin papeles es un ideal prácticamente inalcanzable?.

Noticia e información completa en: Financialtech

Descarga del estudio realizado por Landwell - PricewaterhouseCoopers en PDF: Financialtech


Los próximos 14 y 15 de Marzo tendrá lugar en Barcelona el IT Security Forum, organizado por Global Benchmarking Group Europe.

Se pronunciarán conferencias sobre:

Implementar y gestionar el acceso de usuarios.
Evaluar la eficacia de las estrategias de riesgo TI.
Asegurar un sistema controlado de gestión de identidades.
Asegurar la conformidad con políticas y procedimientos de protección de datos y seguridad TI.
Maximizar la infraestructura de seguridad TI usando métricas.
De-perimetrización y los retos de seguridad TI.

Más información e inscripciones en: http://www.gbgeurope.com/


Jim Hietala plantea en un artículo recientemente publicado en ITAudit los beneficios y retos de implantar en una organización un sistema de automatización de conformidad.

Debido al incremento de marcos legales, normativas y estándares a los que están sometidas las organizaciones de unos años para acá, un software de conformidad (compliance) puede ayudar mucho a ordenar y hacer más eficiente el cumplimiento de los requisitos de todos ellos.


Japan Information Processing Development Corporation publicó hace algo más de dos años un interesante documento dedicado a la implantación de un SGSI en centros sanitarios.

A lo largo de 77 páginas, se plantea con gran rigor (como no podía ser menos viniendo del país líder indiscutible en implantación de SGSIs) y enfoque práctico cómo implantar un sistema de gestión de seguridad de la información en un centro sanitario, aunque la mayor parte de lo expuesto es válido para otros tipos de organizaciones.

La guía está disponible en www.isms.jipdec.jp


ITSecurity publicó a principios de Enero un artículo titulado "Diez pasos para crear su propia auditoría de seguridad TI"

Son una serie de consejos que pueden servir a una organización para un primer acercamiento a la seguridad de la información. Más que de auditoría, como sugiere su título, habla de implantación. Los puntos que se tratan son en el artículo son:

1. Defining the Scope of Your Audit: Creating Asset Lists and a Security Perimeter
2. Creating a 'Threats List'
3. Past Due Diligence & Predicting the Future
4. Prioritizing Your Assets & Vulnerabilities
5. Implementing Network Access Controls
6. Implementing Intrusion Prevention
7. Implementing Identity & Access Management
8. Creating Backups
9. Email Protection & Filtering
10. Preventing Physical Intrusions


Sergio Hernando comenta en su blog la guía gratuita de Microsoft "Fundamental Computer Investigation Guide For Windows"


BuildSecurityIn publica un artículo de Don O´Neill en el que diserta sobre el cálculo del ROI (Retorno de Inversión) en Seguridad -también llamado ROSI-.

Plantea una serie de métodos teóricos con sus correspondientes fórmulas y, a continuación, ofrece varios ejemplos basados en los mismos.

Disponible en BuildSecurityIn


Enero se cerró con 3.309 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo.

En ISO 27001 son concretamente 933, cifra que incluye 432 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 501 nuevas certificaciones.

Encabeza la lista, como desde hace años, Japón, con 1.907 certificaciones, y le siguen el Reino Unido, con 319, y la India con 269.

Una idea del rápido crecimiento que está experimentando la certificación es que, a finales de 2004, eran unas 1000 empresas las que estaban certificadas en todo el mundo y, a finales de 2005, unas 2.100.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México, 12.
España, 8.
Argentina, 3.
Colombia, 2.
Perú, 1.
Uruguay, 1.

Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.


Los responsables de los correspondientes comités en España han dado permiso a ISO27000.es para anunciar la próxima publicación de ISO/IEC 27006 tras completarse el proceso de aprobación con un 95,65% de votos afirmativos del texto FDIS ISO/IEC 27006.

Con el nombre completo de "ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems", esta norma internacional recoge los requisitos para la acreditación de organismos que certifican sistemas de gestión de seguridad de la información.

ISO/IEC 27006 especifica los requisitos y proporciona directrices a los organismos que ofrecen procesos de auditoría y certificación de Sistemas de Gestión de la Seguridad de la Información (SGSI), adicionalmente a los requisitos ya incluidos en la norma ISO/IEC 17021:2006 (Conformity assessment - Requirements for bodies providing audit and certification of management systems).


El pasado mes de Noviembre nació, con sede en Barcelona, la delegación para España y Portugal del BCI (Business Continuity Instiute).

BCI es una organización establecida en 1994 en el Reino Unido, que cuenta en la actualidad con más de 3.000 miembros en 75 países, cuyo objetivo es la promoción de las mejores prácticas en gestión de la continuidad de negocio. El BCI ha publicado sus propias guías de continuidad de negocio y ha participado en la redacción de estándares como BS 25999 o PAS 56.

La página web de BCI Iberia es: www.bcispain.com.


ASIA, el capítulo de ISACA en Madrid, ha convocado dos cursos de preparación para los exámenes de CISA (Certified Information Systems Auditor) del 9 de Junio.

El primero, de 56 horas, comienza el 16 de Febrero y se extiende hasta el 2 de Junio, en horario de viernes por la tarde y sábado por la mañana.

El segundo, de 32 horas, se impartirá del 26 al 30 de Marzo en horario de mañana y tarde.

Más información e inscripciones en: ASIA.


El Institute of Internal Auditors ha publicado en este mes de Enero una metodología de evaluación de controles TI llamada GAIT (Guide to the Assessment of IT General Controls Scope Based on Risk).

GAIT tiene por objetivo ayudar a hacer más eficientes las auditorías de controles generales de TI a que obliga la sección 404 de Sarbanes-Oxley, al incluir en el alcance de la auditoría sólo aquellos elementos o capas de la infraestructura TI y sus procesos de control generales que afectan directamente a los riesgos en los informes financieros. Es decir, ayudar a centrar la auditoría exclusivamente en aquellos controles TI clave para la publicación sin errores de los informes financieros, puesto que son los únicos que obligatoriamente han de incluirse en las actividades anuales de conformidad con la sección 404 de SOX.

La página de acceso general a GAIT, donde puede descargarse la metodología es: http://www.theiia.org/guidance/technology/gait/

Raquel Filipek hace un resumen introductorio muy completo de GAIT en un artículo de la revista del IIA.

El 7 de Febrero, tendrá lugar un webcast gratuito de introducción a GAIT. Inscripción en IIA


El IT Compliance Institute publicó recientemente en su sección de Preguntas y Respuestas un completo artículo dedicado a la gestión de continuidad de negocio. Es un resumen de introducción a la materia orientado a directivos y proporciona una buena lista de enlaces a estándares, guías y otros documentos.

Disponible en: IT Compliance Institute.


Los próximos días 28 de Febrero y 1 de Marzo de 2007 tendrá lugar en el Palacio Municipal de Congresos de Madrid la tercera edición de las ferias INFOSECURITY IBERIA & STORAGE EXPO.

Se trata de la edición española de esta conocida feria europea dedicada a la seguridad y el almacenamiento de la información para Pymes, Grandes Empresas y Administraciones Públicas.

Paralelamente a la exposición, tendrá lugar un ciclo de conferencias.

Más información e inscripción gratuita en infosecurity.com.es.


ENISA (European Network and Information Security Agency) ha publicado un plan de acción que persigue la unificación del lenguaje utilizado en la denominación y descripción de mecanismos de autenticación. El primer paso es la creación de un grupo de trabajo que acometa la tarea, para lo cual ENISA da la bienvenida a todos los expertos que deseen participar. La actividad de este grupo comenzará en Febrero.

Más información en Authentication Action Plan.


El informe de la Agencia Española de Protección de Datos (AEPD) del "Plan Sectorial de Oficio a la enseñanza reglada no universitaria", en el que se han inspeccionado 61 centros de enseñaza de todas las Comunidades Autónomas, muestra una gran cantidad de deficiencias en el cumplimiento de la LOPD por parte de dichos centros, tales como:

1 - Incumplimiento del deber de información.
2 - Datos excesivos y carencia de procedimientos de cancelación.
3 - Deficiente implantación de medidas de seguridad de los datos.
4 - Utilización de datos especialmente protegidos sin consentimiento expreso.
5 - Incumplimiento del deber de inscripción de ficheros.
6 - Cesiones de datos sin consentimiento.

Fuente, con mayor detalle de cada uno de los aspectos: Legal Protect


Joseba Enjuto lleva unos meses publicando un interesante blog que lleva por título "Seguridad y Gestión".

En una de sus últimas entradas, compara los estándares ISO 9001, ISO 27001, BS 25999 e ISO 20000 desde el punto de vista de su ámbito de aplicación, sobre todo en los parámetros de orientación externa-interna y enfoque estratégico-operativo.


Ya están disponibles las presentaciones de la conferencia FIST que tuvo lugar el pasado mes de Diciembre en Barcelona.

Las ponencias fueron las siguientes:

Escalada de privilegios mediante infección ELF
Bruteforcing web applications
Bypassing Unhide

Pueden descargarse aquí

La próxima conferencia tendrá lugar en Madrid, el 9 de Marzo.


Hispasec ha traducido una conversación publicada en la revista Computer Sweden en la que un delincuente ruso, supuesto responsable de la familia de troyanos bancarios Haxdoor, es contactado por un periodista de la revista que muestra interés por adquirir el mencionado troyano.


El examen "post-mortem" de proyectos de TI fallidos revela que, mucho antes de fracasar, ya había síntomas significativos o señales de aviso tempranas. En este artículo del ISM Journal se describen los 12 riesgos principales en proyectos TI, basados en los datos recogidos de un panel de 19 expertos y una encuesta a 55 responsables de proyectos TI.

Muchas de las conclusiones obtenidas son perfectamente trasladables a los proyectos de implantación de sistemas de gestión de seguridad de la información.


Markus Jakobsson es un catedrático de la Indiana University (EEUU) que está reconocido internacionalmente como experto en phising. Promotor y colaborador en diversas iniciativas anti-phising, investigador y autor e inventor de más de 50 patentes, Jakobsson ha publicado un interesante whitepaper titulado "The human factor in phising", en el que analiza componentes psicológicos del phising a partir de un estudio realizado con 2.500 personas, critica algunas de las soluciones tecnológicas implementadas hoy en día y propone alternativas a las mismas.

El documento destaca aspectos poco conocidos como que un simple texto de copyright al pie de un e-mail de phising aumenta la confianza del usuario, que las personas analizan mucho más de lo que se cree el aspecto de una URL, que demasiado énfasis en la seguridad puede ser contraproducente para los bancos o que la personalización de los e-mails crea confianza.


Hispasec comenta acertadamente la noticia del último troyano que se está extendiendo a gran velocidad por el mundo, llamado "Storm Worm".

Lo lamentable del caso es que, recurriendo a métodos utilizados hace ya muchos años (incitar al receptor del e-mail a ejecutar un archivo .exe con pretendidas imágenes de actualidad o morbosas), consiga propagarse a semejante velocidad. Falta mucho por hacer en concienciación de usuarios.

El troyano es una variante del conocido como Trojan.Peacomm, sobre el cual Symantec ha publicado un podcast.


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 180 páginas dedicado a la prevención del robo de información. Los capítulos de que consta son los siguientes:

Chapter 1: Evolving Threat of Information Theft
Chapter 2: Understanding Information Protection and Privacy Regulations
Chapter 3: Overview of Key Technologies for On-Demand Security to Prevent
Chapter 4: Protecting Information During Transmission
Chapter 5: Protecting Information Use on Unmanaged Devices
Chapter 6: Protecting Information Use on Managed Devices
Chapter 7: Risk Analysis and Incident Response
Chapter 8: Best Practices to Prevent Information Theft

El documento, previa inscripción gratuita, puede descargarse de Realtime Nexus.


La Agencia Española de Protección de Datos (AEPD), presentará, el próximo jueves 25 de enero, los resultados del "Plan Sectorial de Oficio a la enseñanza reglada no universitaria", en el que se han inspeccionado más de 60 centros de enseñanza públicos, concertados y privados de toda España, para conocer su nivel de cumplimiento de la normativa de protección de datos.

La presentación, que tendrá lugar en el marco de un desayuno informativo en la sede de la AEPD, c/ Jorge Juan Nº 6, a las 10:30 horas, correrá a cargo del director de la Agencia Española de Protección de Datos, José Luis Piñar, el subdirector de Inspección de la AEPD, Álvaro Canales, y el adjunto al director de la AEPD, Jesús Rubí.

En la presentación se expondrán las principales conclusiones sobre el nivel de cumplimiento de la LOPD de los centros escolares inspeccionados, y las principales recomendaciones realizadas por la AEPD a los mismos con el fin de subsanar deficiencias y adecuar la utilización de datos por parte de los centros al marco normativo de protección de datos.

Fuente: Legal Protect


ITSecurity publica un artículo en inglés donde da un repaso a las diez mayores amenazas de seguridad de red a las que se enfrentan, sobre todo, las pymes.

No deja de ser la habitual lista de conocidas amenazas, pero tiene interés para los no iniciados, por su lenguaje claro y los consejos sencillos que ofrece.


SANS Institute ha publicado un whitepaper en inglés dedicado a la gestión de riesgos de sistemas de información.

En él resume de una manera sencilla pero práctica los distintos conceptos relacionados con la gestión del riesgo (amenazas, vulnerabilidades...), la evaluación del riesgo cuantitativa y cualitativa, las formas de gestionar el riesgo (mitigarlo, transferirlo, evitarlo...) y algunas metodologías y herramientas empleadas.


SANS Institute ha publicado un whitepaper en inglés dedicado a la ingeniería social.

En él resume de una manera sencilla los métodos más comunes utilizados en ingeniería social así como los controles básicos que pueden implantarse en una organización para disminuir el riesgo de sufrir ataques de este tipo.


En alguna ocasión ya hemos mencionado la Build Security In Software Assurance Initiative (BSI), que es un proyecto de la National Cyber Security Division (NCSD) del Department of Homeland Security de EEUU.

Su objetivo principal es la reducción de vulnerabilidades en el software a través de la concienciación de la necesidad de implementar la seguridad en los desarrollos de software desde las fases iniciales de diseño.

En esta ocasión, hace referencia a dos excelentes documentos publicados hace algo más de un año por Cigital, que llevan por título Black Box Security Testing Tools y White Box Testing.

Como es sabido, la primera de estas técnicas de testeo implica el no hacer uso de ningún conocimiento que se tenga sobre la arquitectura o el código fuente del software a analizar (se analiza el comportamiento del software desde el exterior; input-output), mientras que la segunda ayuda a analizar el código, su funcionamiento y descubrir posibles vulnerabilidades (analiza internamente el flujo de datos, controles, gestión de excepciones, etc).


Anuncio de CobiT 4.1
22/January/2007
La semana pasada anunciábamos la publicación por parte de ISACA de nuevas guías de mapeo de CobiT 4.0 con distintos estándares.

Esta información se completa con el resumen que realiza Antonio Valle en su blog sobre la próxima publicación de CobiT 4.1.


Ampliamos nuestra sección de podcasts con una entrevista a Abel González Lanzarote, Director de Desarrollo de Negocio de la empresa consultora especializada en seguridad de la información ESA Security.

En esta entrevista, Abel González habla sobre el estado de la seguridad de la información en España y sobre distintos aspectos de la implantación de ISO 27001 desde el punto de vista de la consultoría.

Recordamos que dentro de esta serie de entrevistas, ya se han publicado:

Podcast Iñigo Barreira, Izenpe. Implantación y certificación de ISO 27001.
Podcast Vicente Aceituno. Modelo ISM3.
Podcast Laura Prats, Applus+. Certificaciones ISO 27001 y UNE 71502, acreditación de entidades de certificación.
Podcast promotores CAMERSEC. Certificación SGSIs en pymes andaluzas.
Podcast Miguel Banegas, Telefónica Empresas. Implantación de ISO 27001 en el Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid).
Podcast Miguel Ángel Thomas, Everis (DMR Consulting). Cláusula 11 de la guía de controles ISO 17799:2005 (futura ISO 27002).
Podcast Alejandro García, BSI. Estado actual y evolución en la certificación ISO 27001.
Podcast Álvaro Rodríguez de Roa, SGS ICS. Proceso de certificación de un SGSI.
Podcast Agustín Lerma, Nextel. Gestión de riesgos.
Podcast José Manuel Fernández, Nexus. Implantación de un SGSI.
Podcast Carlos Manuel Fernández, Aenor. SGSI, ISO 27001, UNE 71502 y certificación.
Podcast Historia de ISO 27001, www.ISO27000.es.


El 26 y 27 de Febrero tendrá lugar en Madrid un curso de ISM3.

ISM3 es un estándar de gestión de la seguridad de la información estructurado en modelos de madurez, que persigue la alineación con los objetivos de negocio de la organización y que es compatible con la implementación y uso de ITIL, ISO 9001, CobitT e ISO 27001.

El curso será impartido en inglés por Vicente Aceituno, autor del estándar. En nuestra sección de podcasts está disponible una entrevista con él acerca de ISM3.

La página oficial del estándar es www.ism3.com.

Más información sobre el curso e inscripciones en Global4.


Network Security Journal publica un artículo en el que ofrece una lista de 44 medidas de protección contra el phishing.

Buena parte de ellas son conocidas y más que nada relacionadas con el sentido común, pero no deja de ser interesante el disponer de ellas en forma de lista.


Recordamos que BSI (British Standards Institution) España tiene previsto celebrar los siguientes cursos en Madrid:

Curso de auditor líder de ISO 27001. Del 12 al 16 de Febrero 2007.

Curso de implantación de ISO 27001. Del 20 al 22 de Febrero 2007.

Curso de implantación de ISO 20000. 7 y 8 de Marzo 2007.

Para más información e inscripciones:

Telf: + 34 91 4008 620
Email: marketing.spain@bsi-global.com


Ante la cantidad de predicciones sobre seguridad para 2007 que se están publicando en estos días y la dificultad de acertar realmente, hay quien prefiere el camino más sencillo de predecir lo que no va a ocurrir en 2007.


El próximo 28 de Enero ha sido fijado por el Consejo de Europa por primera vez como Día de la Protección de Datos.

El objetivo que se persigue con la celebración de este Día es conseguir concienciar al ciudadano europeo de los derechos que le asisten en materia de protección de datos personales, dado el gran desconocimiento que existe sobre esta materia.

Más información en COE.int


En un interesante artículo publicado hace unas semanas en Law.com, el autor trata el importante apartado de los controles de seguridad de la información relativos a los recursos humanos.

El empleado de cualquier organización es, al mismo tiempo, la mayor amenaza para la seguridad de la información (no necasariamente por mala fe sino por simple ignorancia o por no atenerse a las políticas de la empresa) y la mejor defensa contra brechas de seguridad, si recibe la oportuna formación y concienciación. Además, es imprescindible su colaboración en cuanto a la conformidad legal con normas relacionadas con protección de datos personales o similares.

Esto es lo que hace que sea muy importante implantar controles relacionados específicamente con los recursos humanos. El artículo hace un repaso de los principales.


ENISA (European Network and Information Security Agency) ha publicado un nuevo número de su revista trimestral ENISA Quarterly.

En ella, diversos expertos, tanto internos como externos a la Agencia, tratan temas relacionados con la seguridad de la información.

Los artículos llevan en esta ocasión por títulos los siguientes:

Information Security and Externalities
Enabling User Confidence
Computer Viruses
Security and Dependability
What can we achieve with Information Security Certification?
ENISA?s Roadmap for Contemporary and Emerging Risks
ENISA Authentication Language Workshop and Interest Group
Strategy to Improve Internet Security in Sweden
e-discussion on e-security in Poland


BSI (British Standards Institution) ha publicado su programación de cursos previstos para 2007 en el Reino Unido en el área de continuidad de negocio.

Los cursos se imparten en distintas ciudades del Reino Unido y tienen los siguientes títulos:

* Implementing BS 25999 - A practical guide
* Implementing PAS 77
* The Business Continuity Foundation Course
* Business Continuity Basics
* Developing & Managing Business Continuity Exercises
* Writing the Business Continuity Plan

Más información en BSI-Global.com.


SearchSecurity publica un artículo en el que el CISO (Chief Information Security Officer) de Volkswagen AG, Hans-Ottmar Beckmann, comenta las dificultades de mantener una gestión de accesos segura a unos sistemas de información que manejan 1,5 millones de identificadores de usuario, con un incremento de 200.000 previsto para este año.

No sólo los 300.000 empleados, 80.000 proveedores y 200.000 usuarios de la red de concesionarios suponen un reto para la gestión de accesos sino que la complejidad aumenta cuando se tiene en cuenta que el acceso seguro afecta también a los vehículos fabricados, que tienen una media de 50 sistemas computerizados, con 100 MB de código y una red interna propia y que deben disponer de sistemas de autenticación para los equipos de diagnóstico que se conectan a ellos.


La empresa consultora especializada en seguridad de la información ESA-Security organiza regularmente en su sede de Las Rozas (Madrid) desayunos de trabajo, de asistencia gratuita, dedicados a distintos temas relacionados con ISO 27001 y los SGSI.

Los próximos a celebrar son:

ISO 27001, el 18 de Enero.
Análisis de riesgos, el 25 de Enero.
Hacking ético, el 1 de Febrero.

Más información e inscripciones en ESA-Security.


El año 2006 se cerró con 3.274 organizaciones certificadas en ISO 27001 y BS 7799-2 en el mundo.

En ISO 27001 son concretamente 669, cifra que incluye 267 actualizaciones -recertificaciones- desde BS 7799-2:2002 y 402 nuevas certificaciones.

Encabeza la lista, como desde hace años, Japón, con 1.850 certificaciones, y le siguen el Reino Unido, con 334, y la India con 290.

Una idea del rápido crecimiento que está experimentando la certificación es que, a finales de 2004, eran unas 1000 empresas las que estaban certificadas en todo el mundo y, a finales de 2005, unas 2.100.

Los países de habla hispana que aparecen en la lista, con su número de certificaciones, son:

México, 11.
España, 9.
Argentina, 3.
Colombia, 2.
Chile, 1.
Perú, 1.
Uruguay, 1.

Esta información puede obtenerse mes a mes de forma detallada por países y empresas en International Register of ISMS Certificates.


ISACA ha liberado para el público en general el Número 6 de 2005 de su revista Control (durante 12 meses, los contenidos de la revista sólo están disponibles online para miembros de ISACA).

Sus contenidos son:

Computer Forensics:
- Best Practices for Computer Usage
- Identity Theft and Cybercrime
- Cyberforensics
On a Mission to Merge (JOnline)
Creating and Enforcing an Effective Information Security Policy (JOnline)
Trazabilidad de las Operaciones Electrónicas. Un Reto para la Gerencia de Tecnologías de Información (JOnline)
Best Practices for Establishing an Effective Workplace Policy for Acceptable Computer Usage
COBIT 4.0: The New Face of COBIT
COBIT's Management Guidelines Revisited: The KGIs/KPIs Cascade
Enterprise Governance and the Role of IT
Identity Theft: A New Frontier for Hackers and Cybercrime
Internal Cyberforensics
Security and Ownership of Personal Electronic Devices


A lo largo de Diciembre y Enero, ISACA ha publicado tres de sus guías de mapeo de CobiT 4.0 con diversos estándares.

Los documentos sólo están disponibles para miembros de ISACA:

Mapping of ITIL With COBIT 4.0
Mapping of PRINCE2 With COBIT 4.0
Mapping of ISO/IEC 17799: 2005 With COBIT 4.0

Documentos anteriores que sí están disponibles para todo el público son:

COBIT Mapping Overview of International IT Guidance 2nd Edition
Aligning COBIT, ITIL and ISO 17799 for Business Benefit


Realtime Publishers publica regularmente excelentes guías gratuitas en inglés sobre distintos aspectos de seguridad de la información. El hecho de que cada guía esté patrocinada por una empresa del sector permite la distribución sin coste para el usuario, mientras que el control editorial asegura la independencia y objetividad de los documentos.

En esta ocasión, se trata de un documento de 163 páginas dedicado a la automatizción de data centers por medio de la aplicación del marco de ITIL.

Se tratan múltiples aspectos, como gestión de la configuración de redes, aprovisionamiento de servidores, cálculo del ROI, base de datos de gestión de configuraciones, auditoría, convergencia de redes y servidores, SLAs, continuidad de negocio, administración remota, gestión automática de configuraciones, tareas de mantenimiento, gestión de activos, implantación de políticas, monitorización, rastreo de cambios, virtualización, gestión de parches, gestión de seguridad, etc., tanto desde un punto de vista técnico como de gestión.

El documento, previa inscripción, puede descargarse de Realtime Nexus.


El 15 y 16 de Febrero tendrá lugar en La Habana, en el marco de la XII Convención y Feria Internacional INFORMATICA 2007, el VIII Seminario Iberoamericano de Seguridad en TIC.

Los temas a tratar serán: Seguridad en servidores y servicios de redes, software antivirus y de seguridad, seguridad en aplicaciones, informática forense, criptografía, ataques, auditoria a la seguridad informática, criterios de evaluación de la seguridad, mecanismos de control y autenticación, políticas y estándares de seguridad, planes de contingencia y recuperación de desastres, aspectos éticos y legales de la segu