La empresa consultora Aidcon Consulting, con tres años de experiencia en implantación de SGSI y 24 empresas implantadas y certificadas, anuncia la disponibilidad de dos plazas, para empresas PYME del sector TIC, en un proyecto agrupado, con subvención ya aprobada por el Plan Avanza, que se inicia en enero 2011. En el coste del proyecto se incluye software de análisis y gestión de riesgos y apoyo a la implantación y mantenimiento del SGSI.

Para más información contactar con la empresa en el email contacto@aidcon.com.

Disponible para consulta en pdf desde la propia página gubernamental

Este texto servirá como prueba de uso de la norma ISO 27799 y la viabilidad de su aplicación para la gestión de la asistencia sanitaria en una organización de ámbito nacional junto con los detalles correspondientes del SGSI.

La clasificación de la información es un proceso iterativo y un proceso en curso.

La política de una empresa debe indicar cual es la clasificación de datos que espera para la seguridad de la información.

Se deben aplicar normas y procedimientos para garantizar que la introducción de cada nueva fuente de información desencadena el proceso de clasificación de la información y que se retiran aquellas fuentes de información y/o clasificaciones pertinentes relacionadas.

Si esto suena a demasiado trabajo, considere que sin la clasificación de datos, las decisiones para la protección de la información se están haciendo todos los días de manera discreccional a los administradores de seguridad, sistemas y de bases de datos. Un sistema de clasificación de la información ayuda a garantizar que las decisiones que debe satisfacer la empresa prevalecen a la protección de la información individual.

Fuente: Documento de SANS

"Aquí se engloban las herramientas que ayudarán a asegurar la validez del producto software durante cualquiera de las etapas del desarrollo. Entre las actividades más importantes a automatizar están: el control de versiones, el control de cambios y el mantenimiento de históricos. "


Fuente de la información: Fábricas de software

"Bienvenido a snopes.com, la fuente de Internet de referencia definitiva para las leyendas urbanas, el folklore, los mitos, rumores y desinformación.

Utilice el cuadro de búsqueda arriba para encontrar su punto de interés, o haga clic en uno de los iconos de abajo para navegar por el sitio por categoría."

"Me gustaría argumentar que esta ecuación, cuando se toma literalmente como una fórmula matemática no tiene sentido y debe ser desechada."

Artículo de Jeff Lowder.

"The Classical Risk Equation" es otro artículo de Anton Aylward en el que se advierte del extraordinario esfuerzo al que condenan aquellos que utilizan ecuaciones similares en los análisis de riesgos y su escasa efectivdad.

El "Security Awareness Special Interest Group" (SASIG) es un foro de libre suscripción trimestral de redes organizadas por "The Security Company" (International) Limited para profesionales de la seguridad.

SASIG se ha establecido como una voz líder y reputada en el sector empresarial por la fiabilidad de la información y el debate en la concienciación en Seguridad. Su objetivo es estudiar la manera de comunicar a los empleados aquellos riesgos inherentes a la sociedad de la información moderna y comparte de modo abierto las mejores prácticas en el asesoramiento sobre todos los aspectos de seguridad de la información.

Hay tres iniciativas clave de una organización debe realizar en cualquier programa de mediciones: la garantía de que los datos de medición se encuentran disponibles, la recogida de los datos de medición y la automatización de las mediciones presentación de informes.

Veremos varios niveles de madurez de cumplimiento y discutir cómo cada uno de estos niveles afecta al programa de cumplimiento de las métricas.

Interesante información y enlace para aquellos que utilizan habitualmente los modelos de madurez en implantación y medición del SGSI o de los controles asociados a los planes de tratamiento del riesgo.

Citicus MoCA permite completar una evaluación de la criticidad en cuestión de minutos para valorar el impacto desde iPhones, iPads o iPods en las organizaciones, en cualquier lugar y en cualquier momento.

En esencia, la evaluación pone de manifiesto la pérdida máxima que supone a la credibilidad de su organización si suceden causas mayores a los activos importantes (por ejemplo, robo, incendio, inundación, fallo de funcionamiento).

Recomendamos tener en cuenta los escenarios de pérdida desde diferentes perspectivas y su altamente innovadores "spinners" que le permiten evaluar el impacto en el negocio de cada escenario en cuestión de segundos.

La gestión de los datos personales se ha convertido en una preocupación fundamental para la mayoría de las organizaciones en el último par de años.

La estructura de un PIMS (personal information management system según BS 10012) será familiar para cualquiera que haya puesto en marcha otras normas de gestión tales como ISO 27001 (Seguridad de la Información), ISO 9001 (calidad), ISO 14001 (gestión medioambiental) e ISO 20000 (Gestión de Servicios TI). Está estructurado de la misma manera como las demás normas y se basa en el ampliamente adoptado modelo "Plan-Do-Check-Act".

Al igual que la ISO 27001, la selección de controles apropiados se basa en una evaluación del riesgo de "el nivel de riesgo para los individuos asociados con el tratamiento de sus datos personales." Si bien la norma no es prescriptiva en cuanto al método de evaluación de riesgo que se utilizará, que apunta a las directrices emitidas por el ICO (Information Commissioner's Office ) el ICO ha publicado el Manual de Evaluación de Impacto a la Privacidad (Piah) en su página web.

El impacto en la plantilla para la evaluación de la privacidad es una guía completa no sólo con las evaluaciones de impacto en la privacidad (PIAH), sino también a los controles de privacidad para el cumplimiento de la ley (PLCC), el cumplimiento de los controles DPA (DPACC) y las pruebas de conformidad sobre la intimidad y comunicaciones electrónicas.

Consulta al artículo fuente de la información.

El Grupo de Prácticas de Auditoría (Auditing Practices Group) analiza todo lo que debe saber cuando revisa y cierra no conformidades

Los auditores de sistemas de gestión son responsables por revisar las respuestas que las organizaciones propongan ante cada no conformidad, y por verificar la eficacia de las acciones tomadas. La respuesta podría tener tres partes, dependiendo del tipo de producto y de la situación en la que se detectó la no conformidad. Por ejemplo, en temas de software, puede no ser aconsejable implementar una corrección si no se conoce la causa. Alternativamente, si se enciende la señal de ?zapatas de frenos bajas? en un vehículo y Ud. corrige el problema cambiando las zapatas antes de revisar si el sensor estaba funcionando en forma adecuada, puede llegar a no resolver el problema.

Hay métodos y herramientas disponibles para que las organizaciones puedan determinar la causa de no conformidades, desde una simple tormenta de ideas hasta técnicas de solución de problemas más complejas. El alcance y eficacia de las acciones correctivas dependen de una identificación correcta de las causas. En algunos casos, esto ayudará a las empresas a identificar y minimizar no conformidades similares en oras áreas.

Artículo completo en español desde IRCA
 

Las organizaciones están ansiosas por comparar la ISO 22301 con la BS 25999, especialmente aquéllos que ya están certificados BS 25999 o están analizando certificarse con esta norma. La ISO 22301 contiene todos los principios y procesos incluidos en la BS 25999 y parece difícil que se incluyan requisitos adicionales en la versión final de la norma. Estas son buenas noticias para muchos, pero seguramente habrá algún cambio en el periodo de discusión pública.

Como es el caso de la BS 25999, la norma ISO será publicada en 2 partes. La ISO 22301 es una norma de especificaciones y se espera que esté disponible en Octubre 2011. Y una norma, sin nombre todavía, será una norma con lineamientos a ser publicada a fines del 2012.

David Adamson analiza en detalle las normas de gestión de la continuidad de los negocios actualmente en desarrollo, y examina la influencia de la BS 25999

"Lo último que ha saltado a la palestra ha sido la supuesta redirección de tráfico de organismos militares y gubernamentales de EEUU hacia (sorpresa!) China.

Evidentemente este tipo de ataques son complejos de mitigar y evaluar, más desde el punto de vista de un usuario/cliente que necesariamente en algún punto tiene que 'entregar' su tráfico a un router y cruzar los dedos para que haga el camino correctamente.

Lo que si se puede hacer es monitorizar las rutas que un paquete toma y averiguar si hay cambios significativos.

Con esta premisa, hemos desarrollado otro 'juguetito' más, disponible en el repo de SbD en Google. Su nombre: route-ids."

Información completa en: Security by default

El Cisco CCENT Mind Share Game es un juego de PC multimedia que ayuda a los usuarios adquirir los conocimientos necesarios para pasar con éxito los exámenes de los programas CCENT y CCNA.

Con más de 75 etapas, el juego de aprendizaje está diseñado para poner a prueba los conocimientos de los usuarios técnicos, así como su capacidad para concentrarse y gestionar la presión que suponen los 15 temas fundamentales del examen.

Fuente de la información: net-security.org

Nessus en la nube
10/December/2010
Tenable ofrece la tecnología de Nessus en SaaS o modelo alojado para un desarrollo más rápido y fácil de las auditorías de tercera parte de las infraestructuras en Internet.

Fuente de la información: net-security.org

Como en cualquier otra tecnología, existen riesgos asociados a la virtualización y que pueden ser tratados en tres grupos distintos:

- Ataques en la infraestructura de virtualización

- Ataques en caracterísiticas propias de virtualización

- El cumplimiento y gestión de los retos

Descarga del documento desde ISACA

Publicacion de Asociación Chicos.net como parte del programa "Internet Segura".

Los contenidos presentes en la segunda edición de este manual plasman una concepción integral y amplia de lo que significa el Uso Seguro y Responsable de las Tecnologías de Información y Comunicación (TIC), conforme a un enfoque de los derechos del niño.

En este sentido se incluyen las consideraciones con las que deben contar tanto los docentes como los niños y las niñas, para que al interactuar a través de ellas puedan prevenir situaciones de riesgo, reconociendo un rol activo de los niños y niñas en lo que hace a su protección personal y en el ejercicio del cuidado y respeto por las demás personas con quienes interactúan.

Fuente de la noticia: Cryptex

Privacidad en IE9
10/December/2010
A través de su sitio oficial Microsoft presentó una nueva herramienta con la cual el usuario podrá tener control sobre el rastreo en línea por parte de las empresas al navegar por internet.

La herramienta desarrollada por la compañía de Redmond estará disponible en Internet Explorer 9 y, de acuerdo con la empresa, surge como respuesta a los requerimiento hechos hace una semana por la Comisión Federal de Comercio (FTC, por sus siglas en inglés), quien recomendó brindar a los usuarios este mecanismo de protección.

Fuente de la noticia: b:Secure

Este seminario pretende dar a conocer a los usuarios los principales aspectos de la Seguridad de la Información, incidiendo en su importancia y sus principales repercusiones para las empresas

Además Víctor Izquierdo, director general de INTECO, presenta el primero de una serie de monográficos o fascículos del Catálogo de Empresas y Soluciones de Seguridad TIC que versa sobre Seguridad Perimetral. El objetivo de estos monográficos es incidir en aspectos clave de seguridad para que empresas y profesionales fortalezcan la protección de sus principales activos.

Celebrado el pasado 1 de diciembre, ya que es un tema de máxima importancia para cualquier empresa que quiera velar por la integridad y continuidad de su negocio, INTECO desea hacer extensivo este seminario a todas aquellas personas que no puedan estar presentes en su celebración. Por este motivo, pone a disposición de todos los interesados la emisión en directo de esta jornada en la página web http://seguridadpyme.webcastlive.es.

INTECO, en su afán por desarrollar la Sociedad del Conocimiento a través de proyectos en el marco de la innovación y la tecnología, publica el Estudio sobre el nivel de preparación de las PYME ante los riesgos y adopción de Planes de Continuidad de Negocio.

Este estudio pone de manifiesto un concepto, el de Continuidad de Negocio, que la evolución de los negocios y los acontecimientos nacionales e internacionales hacen que paulatinamente esté más presente en la gestión estratégica de las organizaciones, hasta el punto de convertirse en una necesidad o, al menos, un aspecto a considerar.

Por segundo año consecutivo Áudea Seguridad de la Información en colaboración con Audema, Vasco y Netasq, llevarán a cabo el desayuno tecnológico Seguridad en la Red + Autenticación con el objetivo principal de resaltar las tecnologías para el Cumplimiento Normativo de la Ley Orgánica de Protección de Datos, ISO 27001, ENS, PCI DSS. Temas como gestión de vulnerabilidad y análisis de riesgo, entre otros, serán tratados en dicho evento que se llevara a cabo el próximo 14 de diciembre a las 10 de la mañana en las oficinas de Audema ubicadas en  Calle Felipe campos 3.

Para más información, contacte en el 917451157 o mediante correo electrónico a marketing@audea.com.

Fuente de información: Audea

El proyecto AMPARO es una iniciativa de LACNIC, el Registro de Direcciones de Internet para América Latina y el Caribe, que cuenta con el apoyo del Centro Internacional de Investigaciones para el Desarrollo (International Development Research Center ? IDRC) de Canadá

El material que se ha desarrollado consta del presente Manual, varios Talleres de simulación de casos, Presentaciones y otros documentos, los que serán sometidos de ahora en más a un proceso de mejora continua, en el cual esperamos una alta participación e involucramiento de los excelentes técnicos de seguridad que la Región dispone.

Con la finalidad de unificar los estándares en la creación de nubes públicas y privadas la Alianza de Seguridad en la Nube (CSA, por sus siglas en inglés) anunció el lanzamiento de un conjunto de herramientas de seguridad que facilitará el cumplimiento de mejores prácticas.

La plataforma, bautizada como Gobierno IT, Manejo de Riesgos y Cumplimiento (GRC, por sus siglas en inglés), está descargable de manera gratuita desde el sitio de la CSA y permitirá que las empresas cumplan estándares de la industria para gobierno IT, administración del riesgo y cumplimiento normativo.

El altercado más reciente entre China y Estados Unidos no es comercial, ni diplomático, sino informático. El 8 de abril de 2010 un 15% del tráfico de la red fue desviado por una empresa estatal china hacia su territorio en un evento que ha puesto bajo la lupa la seguridad de internet.

Pero más allá de las declaraciones públicas, el hecho ocurrido hace más de seis meses lleva a cuestionarse sobre sí es posible secuestrar la información que viaja por la red o hacer ?desaparecer? del mapa a sitios web.

La respuesta es sí y vamos a explicarle por qué.

Las organizaciones requieren hoy día garantizar la integridad, confidencialidad, disponibilidad y privacidad de la información que manejan y procesan así como una operación con un nivel de riesgo aceptable derivada del uso de las tecnologías de información, asegurando la tranquilidad de accionistas, directivos, funcionarios, clientes y socios de negocio.

La gran incógnita es ¿cómo se puede  lograr esto?  ¿Por dónde empezar? ¿Qué se necesita realmente? ¿Cuánto presupuesto se necesita?, ¿Quién es el responsable de implementarlo? La respuesta es difícil y compleja ya que hoy día las organizaciones resuelven los problemas de seguridad de una manera puntual, reactiva, correctiva y no desde un punto de vista estructurado.

Artículo disponible en bSecure de Noviembre

La ley está basada en principios internacionalmente reconocidos desde hace muchos años en el ámbito de la privacidad y la protección de datos personales.

Los responsables en el tratamiento de datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley.

Dentro del ?catálogo? de obligaciones que marca esta ley, sin duda una de las más importantes es la que establece el artículo 19: ?Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.?

Artículo completo disponible en bSecure

Nos gusta Internet
19/November/2010
"Nos gusta Internet, por un Internet seguro? es una campaña que INTECO (Instituto Nacional de Tecnologías de la Comunicación) a través de la OSI (Oficina de Seguridad del Internauta) lanza a partir del mes de noviembre de 2010, con motivo de la ?semana de la seguridad?.

Tiene como momento álgido el ?Día Internacional de la Seguridad de la Información?, 30 de noviembre, para concienciar y apoyar a los internautas sobre cómo navegar de forma segura por la Red.

Es un esfuerzo conjunto que quiere recabar el mayor número de colaboradores posible para hacer que el uso de Internet en España sea un entorno confiable en todos los aspectos: personal y social, profesional y económico.

Enlace página de la iniciativa OSI

Los internautas, que utilizan los servicios de grandes corporaciones como Google o sitios de redes sociales como Facebook tienen que aceptar necesariamente las condiciones legales que no siempre cumplen con los requisitos y el espíritu de la legislación europea.

Con el fin de solventar estas controversias, la Comisión Europea está preparando una modificación de la directiva sobre protección de datos personales que pretende responder a las cuestiones relevantes.

Noticia completa en Audea

Enlace a la traducción disponible desde OWASP

AppSec's Team SHATTER shares the top 10 database vulnerabilities it sees most commonly plaguing organizations over and over again.

Información completa disponible en Darkreading

Este manual publicado por ISO e IEC aclara la seguridad de la información en las PYMES mediante la presentación práctica y paso a paso de las claves para la implementación de un sistema de gestión de seguridad de la información (SGSI) basado en ISO / IEC 27001.

Disponible por 50 francos suizos (inglés/francés) y en formato libro desde webstore

Noticia completa en iso.org

Proyecto promovido por la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain y creado para ayudar a mejorar el nivel de seguridad en el uso de las tecnologías de la información y las telecomunicaciones, aportando formación, información y orientación, con pautas concretas de aplicación directa.

Contenidos disponibles desde el propio portal

INTECO y Deloitte presentan conjuntamente la guía, y la distribuyen en el seno del ENISE en los stands que ambas instituciones tienen en el Encuentro Internacional de la Seguridad de la Información (León, 26 a 28 de octubre de 2010).

Noticia completa y descarga desde INTECO 

Con el creciente interés por la norma BS 25999 en España, BSI ha autorizado a AENOR a publicarla como norma española.

La norma UNE 71599, Gestión de la Continuidad de Negocio, acaba de ser publicada en dos partes, idénticas a la BS 25999:

* UNE 71599-1 (BS 25999-1): Código de práctica

* UNE 71599-2 (BS 25999-2): Especificaciones

Desde que BSI publicó la norma BS 25999-1 en el año 2006 y su correspondiente traducción al español en el 2007, ha liderado la promoción, formación y certificación de la Continuidad de Negocio en España y en todo el mundo.

Con esta autorización y licencia a AENOR, BSI espera que la Continuidad de Negocio se difunda aún más en España y en otros países de habla hispana.

Información completa desde la web de BSI

Publicación de EXIN sobre seguridad de la informacion con diversos ejemplos ilustrativos de cómo implantar controles y la importancia de la confidencialidad, integridad y disponibilidad de la información en las organizaciones.

Enlace a la descarga libre del documento desde EXIN Agradecemos la aportación de Javier García para la difusión de este documento.

ISO Survey del año 2009 destaca entre los principales aspectos del pasado año la norma ISO 9001 como el punto de referencia mundial para la gestión de la calidad y que ha superado el millón certificaciones, así como, las certificaciones bajo la norma ISO 22000:2005 para los sistemas de gestión de seguridad alimentaria y la norma ISO / IEC 27001 para los sistemas de información de gestión de seguridad que se han disparado.

El incremento de la importancia que tiene para las organizaciones la seguridad de la información ha sido en el último año de un 40 % en el número de las certificaciones en ISO/IEC 27001 alcanzando una cantidad total de 12.934 en 117 países.

La publicación está disponible desde el 25 de Octubre en ISO

Los primeros cursos tendrán lugar en Madrid en los días 3-5 de Noviembre y en Barcelona del 29 de Noviembre al 1 de Diciembre y el número de plazas es reducido.

La formación proporciona a los profesionales una mejor comprensión de los distintos temas relacionados con el diseño de los centros de datos, incluyendo la selección de la ubicación, la protección contra amenazas ambientales y de gestión, la fiabilidad eléctrica, mecánica, estructural y el diseño arquitectónico, además de dotarlos de los conocimientos necesarios para tomar decisiones en cuanto a un diseño apropiado que garantice la disponibilidad, confidencialidad e integridad de los datos. 

Este curso está estrechamente vinculado con la recién publicada BICSI 002 Data Center Design Standard, que estará plenamente acreditado dentro del conjunto ANSI de normas reconocidas internacionalmente, y los asistentes recibirán una copia gratuita del documento (de un valor de 435?).

Los interesados a unirse a los cursos y al programa de certificación profesional pueden consultar la página de DataCenter Dynamics y/o ponerse en contacto con Jose Luis Friebel en el teléfono 0034 911331762 o en su correo electrónico jose@datacenterdynamics.com.

El ABC de la GCR
14/October/2010
El GCR (Gobierno, Riesgo y Cumplimiento), es uno de tantos acrónimos de tres letras que se utiliza cada vez más en el mundo de los negocios, cuyo objetivo principal es ayudar a las empresas a poner en práctica las políticas y los controles para dirigir   todas sus obligaciones de cumplimiento mientras que, al mismo tiempo, ayuda a recopilar información que ayuda a gestionar el negocio de forma proactiva.

Artículo completo desde Audea

El próximo miércoles 20 de octubre, a las 9:00 horas, tendrá lugar la inauguración de la 3ª Sesión anual abierta de la AEPD, en la Facultad de Medicina de la Universidad Complutense de Madrid.

En concreto, será en el Gran Anfiteatro Ramón y Cajal (2ª planta) del edificio donde a las 10:00 en punto Artemi Rallo, Director de la Agencia Española de Protección de Datos, abrirá el acto.

La Sesión contará como ponentes con miembros de la AEPD como Jesús Rubí (adjunto al Director), Ricard Martínez (coordinador del Área de estudios), Agustín Puente (Abogado del Estado-Jefe del Gabinete Jurídico), José López Calvo (Subdirector de Inspección), Rafael García Gozalo (coordinador del área internacional).

Información del evento desde la AEPD

El próximo 3 de noviembre, se celebra en Madrid el III Foro del Data Privacy Institute: "Problemas actuales de la Privacidad y la Seguridad de la Información".

Los temas clave de esta jornada serán:

- El impacto del Cloud Computing en la Privacidad;

- la Seguridad de la Información en el sector sanitario;

- el uso privado de los medios informáticos por parte de los trabajadores en las organizaciones.

Destaca la participación de la profesora Carolina San Martín Mazzucconi de la Universidad Rey Juan Carlos, de representantes de CATSALUT, el CGCOM y el SERMAS, así como de expertos del capítulo español de Cloud Security Alliance (CSA-ES) y de los equipos jurídicos de empresas como Google y Microsoft.

En el marco de este evento, algunos de los primeros Certified Data Privacy Professionals debatirán sobre los retos a los que se enfrentan los profesionales de la privacidad y los Data Privacy Officers (DPO´s) dentro de las organizaciones.

Enlace directo al evento desde ISMS Forum

?The Future of Information Security ? Nuevos Retos y Soluciones para un Futuro + Seguro" se celebrará el próximo 30 de noviembre de 2010 en la Torre Agbar de Barcelona.

Entre la programación se encuentran temas:

- How will Cloud Computing change enterprise IT?

- Security as a business: Where is the future?

- Cross border cooperation in the protection of critical infrastructures.

- ISMS-Forrester CISO Survey 2010: Results and Analysis.

- Real Decreto para proteger las infraestruturas críticas ¿Cómo afectará a las organizaciones?

- La reforma del Código Penal y su impacto en el Gobierno de la Seguridad en las organizaciones.

Entre los ponentes destacados: Jim Reavis (Cloud Security Alliance), Steve Purser (ENISA), José Manuel Maza Martín (Tribunal Supremo) además de altos representantes de instituciones y empresas como el CNI, CNPIC, CTTI, Écija, HP, IBM, Kaspersky Lab, McAfee y Symantec.

Jinan Budge, Analista senior de Forrester Research, presentará y analizará los resultados de la Encuesta sobre la Carrera del CISO que ISMS Forum está realizando actualmente entre los CISOs del IBEX35.

La inscripción para los socios de ISMS es GRATUITA y existen condiciones preferentes para el eventual viaje y alojamiento de los asistentes.

Programa completo de la jornada desde ISMS Forum SpainAdicionalmente, "Governance Risk and Compliance en la Nube" será el tema del primer encuentro del capítulo español de Cloud Security Alliance, que se celebrará el día 29 de noviembre en la Torre Agbar en Barcelona, como antesala de la VIII Jornada Internacional.

El Consejo Nacional Consultivo de Cyberseguridad (CNCCS) apoya la iniciativa por parte de las Administraciones Públicas de desarrollar una legislación coherente con los tiempos, para poder responder en un futuro a ciberataques como los ocurridos la pasada semana a SGAE, al Ministerio de Cultura y a la entidad Promusicae.

Se han incluido dos párrafos sobre este tipo de actividades ilegales en la reforma del código penal que entrará en vigor el próximo 22 de diciembre:

- El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.

- El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años

(Artículo 264 del Código Penal)

Articulo completo en Boletín Dintel

PD 25111 proporciona orientación sobre la planificación y desarrollo de estrategias en recursos humanos y políticas de las fases clave después de una interrupción:

? Hacer frente a los efectos inmediatos del incidente

? La gestión de personas durante el período de interrupción (la etapa de continuidad)

? Apoyar al personal después de la recuperación de las operaciones normales.

Este documento apoya la continuidad del negocio, como se explica en la norma BS 25999, poniendo de relieve las necesidades de las personas que podrían estar involucrados en, o afectados por una interrupción.

Enlace a la web de BSI para más información.

chaRMe es una herramienta de gestión de riesgos que ayuda en la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) ISO / IEC 27001. Paso a paso sirve de guía para la implantación y a partir de la definición del alcance de su SGSI para la generación automática de la documentación necesaria.

Documentación disponible en inglés

Acceso a la demo online y descarga de la herramienta desde chaRME online demo 

Este trabajo aborda la implementación de un SGSI - ISO 27001 utilizando la Guía PMBOK publicada por el Proyecto Management Institute, Inc.

Este artículo explora el proceso de implementación de un Seguridad de la Información de Gestión capaz de ser certificado según la norma ISO del sistema 27001.

También proporciona ejemplos concretos del mundo real de los 44 procesos en la Guía PMBOK en su aplicación a un proyecto de seguridad de la información para un satélite de un ISP de banda ancha.

Descarga en formato pdf desde SANS

La hoja de cálculo "de verificación de control cruzada" clasifica a los controles recomendados por la norma ISO / IEC 27002 de acuerdo a los tipos y objetivos.

En esta clasificación, los controles son:

- Disuasión: el control reduce la amenaza (disuade a los piratas informáticos a un sistema dado, por ejemplo).

- Prevención: el control reduce el impacto, o evita la situación que presentan un riesgo.

- Prevención: el control reduce la vulnerabilidad: la mayoría de los controles de seguridad actúan de esta manera.

- Detección: el control ayuda a identificar un evento o incidente tan pronto como sea posible, en general, provocando medidas reactivas.

- Reacción: el control ayuda a minimizar el impacto de los incidentes por la reacción del sistema.

- Recuperación: el control ayuda a minimizar el impacto de los incidentes por ayudar al restablecimiento de la normalidad, o por lo menos un servicio de reserva.

Los objetivos indicados son principalmente para garantizar la confidencialidad, integridad o disponibilidad de los activos de información (a menudo más de uno simultáneamente).

Otras clasificaciones son posibles, sin embargo, creemos que este es un punto de partida válido y útil para modificar esta lista a modo particular como se requiera.

Una forma de utilizar la hoja de cálculo de verificación consiste en identificar los controles que están excluidos de la Declaración de Aplicabilidad, es decir, aquellos que han decidido no son apropiados a sus circunstancias, en la hoja de cálculo.

Luego comprueba bajo las columnas que todavía tienes una mezcla razonable de los tipos de control en el sistema de control restante.

 También se puede utilizar esta hoja de cálculo al momento de decidir cómo tratar a los riesgos identificados, la elección de un conjunto equilibrado de los controles para proporcionar una defensa en mayor profundidad.

Descarga disponible desde el foro iso27001security.com

Una de las dificultades de un SGSI es la medición de su eficiencia.

NIST dispone de un recurso útil en su guía "NISTIR 7564 - Directions in Security Metrics Research" donde el cuerpo principal abarca la base para las prácticas de un sistema de medición útil.

Aquellos interesados en obtener más información disponen de la descarga libre en formato pdf desde NIST.

Stuxnet, así se llama un virus del que ya se conocía su existencia en junio pero que ha desatado la alarma de los expertos a medida que han analizado su potencial destructivo.

La mayor novedad que presenta es que, según Financial Times, no busca infectar un ordenador doméstico si no atacar los equipos de una industria hasta su destrucción. El virus se expande sin necesidad de Internet. A través de un simple USB, cuando se conecta al ordenador busca un determinado programa de la empresa Siemens, una herramienta clave en el control de oleoductos, centrales eléctricas e instalaciones industriales.

Noticia completa en artículo El País

DatacenterTrainingServices en colaboración con BICSI presenta como novedad internacional los cursos de diseño de centros de datos "Mejores Prácticas en DataCenters".

Los cursos de BICSI están íntimamente ligados con el recién publicado documento BICSI 002 sobre el Diseño y mejores prácticas de los centros de datos, plenamente acreditado dentro del conjunto ANSI de normas reconocidas internacionalmente.

"Mejores Prácticas en DataCenters" tiene una duración de 3 días y se celebrará por primera vez en España del 03 al 05 de Noviembre en Madrid y del 29 de Noviembre al 01 de Diciembre en Barcelona.

"Mejores Prácticas en DataCenters" forma parte de un programa de desarrollo profesional reconocido y acreditado internacionalmente y se complementará con módulos específicos adicionales sobre la Energía, la Refrigeración, la Eficiencia Energética y las buenas prácticas de Gestión de Datacenters.

Información completa en formato pdf.

Reserva de plazas en España y contacto Jose Luis Friebel en el +34 911 331 762


Es oficial: las organizaciones europeas pierden 17.000 millones de Euros por fallos en la protecciòn de sus sistemas críticos de negocio.

España se situa como el tercer país con un total de 2.900 millones de Euros anuales en pérdidas estimadas por los impactos producidos y encabeza, con casi dos tercios (64%), en la caida del potencial de generación de ingresos durante el tiempo de inactividad respecto al resto de los 11 paises considerados en la encuesta.

Ya está disponible el Informe con la metodología utilizada y resultados


En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:

- 10. 9. 3. Seguridad en información pública.

- 6.1.6. Contacto con las autoridades

- 6.1.7. Contacto con grupos de especial interés

- 15.1.1. Indentificación de la legislación aplicable

El alta de usuario está abierta a todos los interesados así como la aportación de propuestas en la zona de comentarios para cada control. Cada usuario puede habilitar su página personal de contacto y recibir via RSS las novedades y actualizaciones en las páginas, entre otras herramientas.

Colección de prediciones sobre el futuro de la seguridad y aspectos a tener en cuenta para estar preparado.

Noticia leida en Recursos SANS

En este primer informe sobre el estado del software de seguridad, Veracode ofrece acciones concretas información destinadas a proteger a las organizaciones de los efectos muy reales y costosos del software inseguro.

Este informe semestral comprende inteligencia de seguridad obtenida de miles de millones de líneas de código analizado desde una plataforma única de servicios de gestión de riesgos de aplicaciones. Es nuestra esperanza que este informe ayude a ejecutivos, encargados de formular políticas, grupos de compras, profesionales de la seguridad y de desarrollo de software que participan en la cadena de suministro global de software para desarrollar y comprar un software más seguro.

Noticia leida en Criptex

Empresas como Comcast, Disney y Procter & Gamble, dependencias de gobierno como la NASA o el Departamento de Transporte de Florida y miles de usuarios web alrededor del mundo han caído víctimas de ?Here you have? (Aquí tienes el?), un ciberataque con un método de ataque simple y antiguo, pero que concentra toda su efectividad en la ingenuidad, curiosidad y torpeza humana.

Algunos expertos de seguridad comparan la propagación del gusano con la del popular virus ?I love you?, que en mayo de 2000 contagió más de 50 millones de computadoras en todo el planeta.

Noticia completa desde b-secure

INTECO y la AEPD advierten sobre el impacto para la privacidad de la creciente implantación de las etiquetas ?RFID? en objetos de uso cotidiano.

La información se recoge en una guía elaborada por ambas instituciones sobre seguridad y privacidad de la tecnología RFID (etiquetas de identificación por radio frecuencia).

Noticia completa y descarga desde INTECO

Medir el cumplimiento de objetivos del SGSI y la adecuada implantación de los controles sigue siendo una de las dificultades para las empresas que implantan el estándar ISO 27001.

Aunque este Whitepaper de Steve Wright sea del 2006 sigue estando de total vigencia y aporta orientaciones muy oportunas y que pueden servir de ayuda a resposables de implantación.

Disponible para descarga en pdf desde iwar

Hilo de discursión abierto por el grupo ISO-27001 con interesantes comentarios y referencias a artículos y estudios.

Disponible para consulta desde Linkedin

Las plantillas están diseñadas en el marco de la aplicación Norma Técnica Peruana ?NTP-ISO/ IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición? en todas las entidades integrantes del Sistema Nacional de Informática.

El uso de estas plantillas no tiene costo alguno y son alimentadas con el aporte de la comunidad de especialistas en seguridad de la información.

Disponibles para descarga desde la Oficina Nacional de Gobierno Electrónico e Informática

El documento GAP ha sido creado por subcomites independientes formados por profesionales dedicados a la continuidad de negocio de organizaciones colaboradoras y de sectores públicos y privados.

Con un enfoque eminentemente práctico está disponible desde DRJ

La publicación Disaster Recovery Journal presenta este especial sobre los Planes de Continuidad de Negocio con información útil sobre las necesidades de un PCN, desarrollo, metodologías y cómo realizar pruebas.

Información completa en DRJ

Nuevos retos para un futuro + seguro tendrá lugar el próximo 30 de Noviembre.

Las jornadas en otoño del ISMS Forum tienen lugar fuera de Madrid y en esta ocasión de nuevo en Barcelona gracias a la colaboración de Agbar. Esta VIII Jornada se celebrará en su emblemática Torre en el centro de la ciudad.

El evento contará como siempre con expertos internacionales de primer nivel. La antesala del evento estará compuesta por dos eventos que tendrán lugar el día 29 de Nov: uno del Data Privacy Institute, y otro del capítulo español de Cloud Security Alliance.

Información completa en ISMS Forum

La Cámara Oficial de Comercio e Industria de Segovia organiza esta jornada para el próximo 7 de octubre de 2010 en horario de 18:30 a 19:30 horas en sus instalaciones de la Calle San Francisco, 32, 40001 Segovia (Spain).

Teléfono de contacto: +34 921 43 23 00 Ext 16

Se ha publicado el estándar "PD ISO/IEC TR 20000-5:2010 Information technology. Service management. Exemplar implementation plan for ISO/IEC 20000-1 " como guía útil sobre la implantación de un Sistema de Gestión de Servicios TI según la norma internacional ISO/IEC 20000-1 y que incorpora procesos relevantes con la seguridad de la información dentro de su cláusula 6.6 o de continuidad y disponibilidad del servicio (cláusula 6.3).

La guía puede ser previsualizada en sus primeras páginas y adquirida desde webstore

PD 25666 proporciona la orientación necesaria para realizar programas de ejercicios, incluyendo actividades de prueba, para la continuidad y contingencia en todas las organizaciones. También entran dentro de esta orientación general las disposiciones relacionadas con las tecnologías de la información (TI).

Esta guía está destinada a ser leída y usada en conjunción con las normas BS 25999, BS 25777, ISO/PAS 22399 y BS ISO/IEC 27001, entre otros documentos y normativas pertinentes.

La guía puede ser adquirida desde shop BSI

Otras guías relacionadas de interés:

PD 25111: Human aspects of business continuity
PD 25888: Guidance on business recovery

Durante el pasado Junio se llevó a cabo en las instalaciones de Florida Universitaria el Curso de Auditor Jefe de ISO 27001 organizado por ISACA Valencia, impartido por SGS y reconocido por el IRCA (Registro Internacional de Auditores Certificados).

El curso ha constado de un total de 40 horas lectivas repartidas en cinco jornadas, de lunes a viernes, a las que han asistido los candidatos que consiguieron una de las 10 plazas de este curso de "Auditor Jefe en Sistemas de Gestion de Seguridad de la Información" que fue convocado públicamente durante el mes de mayo y cuyo éxito desbordó las expectativas de los organizadores.

Este curso está reconocido por el IRCA (Registro Internacional de Auditores Certificados) y las certificaciones conseguidas por los profesionales son reconocidas para el desarrollo de la actividad de Auditoria en SGSI según ISO 27001 en cualquier parte del mundo.

El compromiso de la Directiva de la Asociación Auditoría y Control de los Sistemas de Información de la Comunidad Valenciana con la especialización de sus asociados hace que, constantemente se celebren eventos, encuentros, jornadas y charlas así como que se propongan acciones formativas que le aporten valor y lo diferencien en un mercado tan exigente como el que nos encontramos.

Descargable desde VMWare

Con motivo del creciente número de implantaciones de SGSI a nivel internacional hemos recibido por parte de los dos autores de iso27000.es frecuentes preguntas sobre cómo se debe abordar eficazmente un proceso de implantación y certificación de estos sistemas.

Entre las dudas más habituales nos encontramos con aspectos relacionados con el momento y el uso correcto de desarrollo de la Declaración de Aplicabilidad y su relación con los planes de tratamiento del riesgo, así como, algunos desordenes en la secuencia lógica de implantación del sistema que llevan finalmente a tener que abordar algunos aspectos dos (o incluso más) veces por falta de un orden claro en la secuencia.

Como ayuda para el proceso completo recordamos una posible ayuda disponible (en formato pdf) desde iso27001security además de las referencias al estandar ISO/IEC 27003:2010 como guía útil de implantación a un coste que se verá compensado rápidamente por el tiempo, recursos y esfuerzo ahorrados.

También es muy recomendable (además de obligado por requisito de la cláusula 5.2.2 del estándar ISO/IEC 27001) la formación adecuada de los responsables internos/externos en tareas de implantación, mantenimiento del SGSI así como de auditoría interna.

David Green normalmente sólo accede a la cuenta del banco de su compañía desde su seguro ordenador portátil de trabajo (Mac) pero un día de Abril durante una baja por enfermedad se encontró en su casa con la necesidad de autorizar una transferencia.

Como el ordenador Mac se había quedado en el puesto de trabajo decidió entonces realizar la operación de autorización on-line desde el ordenador de su esposa (Windows PC) y que es el mismo que sus hijos utilizaban para navegar por internet, chatear y jugar on-line.

Acceso completo a la noticia con los detalles de como accedieron posteriormente a la cuenta corporativa para desviar 100.000 dolares y las disputas con el banco sobre quién debe pagar ahora los daños en Krebsonsecurity, web dedicada a noticias de seguridad relacionadas con Pymes.

ESET presenta dos Informes Regionales de Seguridad Informática que demuestran cuáles son las opiniones que tienen los gerentes y encargados de sistemas sobre la Seguridad de la Información en empresas y organismos públicos.

Acceso completo a la noticia con los enlaces correspondientes en Criptex.


Iniciativa del gobierno Galés para la protección personal y de las empresas de las amenazas relacionadas con internet.

e-Crime actualmente supone a las empresas galesas cerca de £373 millones cada año por el impacto de robos directos financieros o de propiedad intelectual, corte de las comunicaciones o daños a los datos críticos corporativos.

Acceso a la web oficial e-crime Wales.


Tercer artículo de la serie "Popular Risk management". El objetivo de esta serie es describir los principales puntos de la gestión de riesgos en un lenguaje simple, claro y conciso.

Acceso completo a la serie en Globalrisk Community.


La aplicación SecuriaSGSI cubre de forma automática el proceso de implantación, puesta en funcionamiento, control y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI).

SecuriaSGSI está formado por una aplicación de administración en la que se configuran todos los parámetros necesarios para implantar y mantener un SGSI. También se añaden los usuarios que intervienen en el sistema y sus respectivos roles de usuario. Este programa de administración conecta contra una base de datos en la que se almacena toda la información relativa al sistema.

El paquete de instalación para sistemas GNU/Linux y Windows, está accesible desde los sitios web:
Securia
Ceeisec


Frecuentemente se localizan dificultades por parte del personal de las empresas para diferenciar entre incidentes TI e incidentes de seguridad de la información.

Interesante ejemplo de material de concienciación para evitar confusiones en esta materia y accesible gratuitamente en ISQ.

Otros videos de concienciación sobre el uso de sistemas del mismo autor en ISQ.


Gabriel Díaz ha detectado que los jóvenes que tienen conocimientos de ISO 20000 o ISO 27001, una vez contratados, se mantienen durante más tiempo en su puesto de trabajo.

Noticia completa en UNED.


Desde iso27000.es animamos a todos los interesados a enviar enlaces e información de interés relacionada específicamente con la concienciación de la seguridad, además de las habituales con noticias sobre la norma ISO 27001.

Dentro del marco de actividades ENISA y de los dos autores de este portal como colaboradores reconocidos dentro de su Comunidad (más de 300 miembros de 46 países) para la concienciación nuestro objetivo es servir de medio para facilitar las aportaciones de los lectores del portal iso27000.es al organo consultivo de la UE.

Esperamos que las contribuciones ayuden al desarrollo de actividades y documentación relevante y de interés en materias específicas de seguridad relacionadas con países, industrias o áreas de actividad.

Recordamos que tanto nuestras actividades dentro de ENISA, así como, las que realizamos para mantener los contenidos de este portal no tienen ánimo de lucro y con el objetivo permanente del beneficio para la comunicación y desarrollo profesional de la comunidad y profesionales.

Información de contacto en iso27000.es.


El objetivo de la jornada es que los agentes interesados conozcan la líneas de actuación que pueden seguir para desarrollar proyectos de I+D+i en Seguridad TIC, dentro de las oportunidades que ofrece el VII Programa Marco.



Información completa en INTECO.




Debido a la novedad en la combinación de estos dos esquemas destacamos el caso de estudio de una certificación en los dos esquemas en la empresa Audatex del sector de automoción en Reino Unido.



Enlace al documento de Utimate Risk.




"Tackling ISO 27001: A Project to Build an ISMS" es un documento publicado por SANS y que trata de aportar la visión de una implantación de un SGSI en pocas páginas.



Enlace al documento de David Henning.




Nos llega el enlace desde Colombia a la traducción al español de la norma para la gestión de riesgos ISO/IEC 27005.



El título es "NTC-ISO-IEC 27005. TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN." y tiene un coste de COL $68.000.



Enlace en ICONTEC.




CBS News broadcaster Armen Keteyian nos deja este gráfico informe en formato video sobre posibles brechas de seguridad en la retirada de los dispositivos para focopiar documentos, partiendo de información olvidada en las bandejas hasta los sistemas de almacenamiento interno.



Enlace en threatpost.




Boletin NASCIO
28/June/2010
NASCIO es una publicación semanal gratuita con noticias de interés relacionadas con la seguridad.



Enlace en NASCIO.



Enlace a otros boletines y publicaciones de interés en nuestra sección Boletines.


El centro de análisis y de comunicación de la información multiestatal de los EEUU pone a disposición recursos para asegurar medidas relacionadas con la ciberseguridad en abierto para todos los interesados.



Recursos disponibles para estrategias de concienciación en MS-ISAC.


Presentación por parte de la Oficina Nacional de Gobierno Electrónico e Informáticas con información interesante sobre estrategias en seguridad de la información, la norma ISO 27001 y legislación relevante.



Documento disponible en pdf desde ONGEI.


En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:



- 10. 9. 3. Seguridad en información pública.



- 13.2.3. Recogida de pruebas



El alta de usuario está abierta a todos los interesados así como la aportación de propuestas en la zona de comentarios para cada control. Cada usuario puede habilitar su página personal de contacto y recibir via RSS las novedades y actualizaciones en las páginas, entre otras herramientas.

Sucede todos los días: un empleado que está fuera de la oficina quiere acceder en sus elementos del trabajo. En lugar de utilizar un método más seguro, decide enviar algunos archivos a su máquina de casa, o subir un archivo a Facebook, o utilizar una popular herramienta de intercambio de archivos para PC. Y lo siguiente ya lo sabe usted, su organización queda comprometida y expuesta a una pérdida de datos importantes.



Las empresas que estudian el comportamiento señalan que muchos empleados rompen las reglas con el fin de realizar su trabajo a tiempo.



Interesante artículo en DarkReading.


La agencia para la “ciberseguridad" de la UE ENISA- The European Network and Information Security Agency - ha lanzado un nuevo informe en el que se concluye que la UE debería centrar su investigación en seguridad TI en cinco áreas. El informe señala la dirección para las futuras peticiones del Framework Programme de hacer florecer la economía de la UE.



Este informe se centra en el tema de la resistencia, de la disponibilidad, y la investigación en las tecnologías que mejoran la disponibilidad de los servicios en línea, es decir, la resistencia de las redes de datos, que dispone la base para la estrategia EU2020 y la Agenda Digital para Europa.



El director ejecutivo de ENISA, el doctor Udo Helmbrecht, comentó: "Este informe nos da la primera directriz de cuáles deberían ser las prioridades en la investigación de seguridad TI del futuro para la UE en nuestra opinión".



Nota de prensa completa en español - ENISA.



Descarga del documento en inglés - ENISA.


En la mayoría de las empresas existe un gran distanciamiento entre aquellos que evalúan a los proveedores de servicios en la nube y los directores de TI y de seguridad, los cuales deberían, en última instancia, asumir toda la responsabilidad.



Las empresas evalúan los servicios en la nube por referencia verbal del boca a boca (el 65%), por acuerdos contractuales y por garantías por parte del proveedor (el 55 y el 53% respectivamente).



Sólo el 23% solicita pruebas de conformidad con la normativa, el 18% confía en el asesoramiento de seguridad realizado internamente, y tan solo el 6% basa su decisión de acuerdo a evaluaciones de expertos de seguridad o auditores.



Artículo completo en Financial Tech Magazine.


El Curso de Verano sobre Seguridad Informática cumple su tercera edición. Tras realizar las dos ediciones anteriores en la bella ciudad de Salamanca, este año, de la mano de la Universidad Europea de Madrid, y merced a la colaboración con el Máster Oficial en Seguridad de las Tecnologías de la Información y las Comunicaciones, tendrá lugar en Valencia durante los días 6, 7 y 8 de Julio.



Información completa y registro en .


Este trabajo describe las tareas que requiere el establecimiento de este sistema de gestión adoptando como referencia el enfoque propuesto por el estándar ISO/IEC 27001.



Finalmente, se incluye un breve análisis de las diferencias que este enfoque presenta en relación con el Esquema Nacional de Seguridad.



Descarga en pdf desde Technimap 2010.


Inicialmente promovido desde Colombia por profesionales e interesados en la seguridad de la información y técnicas forenses Offl1n3 está abierto a todos los interesados en compartir información y técnicas de protección de interés.


En la sesión del día 13 de abril de 2010 el Congreso de los Diputados ha aprobado por unanimidad la Proposición no de Ley relativa a la difusión y promoción de la iniciativa de estándares internacionales de privacidad.



Enlace con noticia completa y enlace al Boletín Oficial en Audea.



Esta proposición estuvo dentro del foro europeo EURODIG en relación a las necesidades dentro de la EU de un marco de regulación conjunta y de protección de los datos personales..


Se acaba de publicar un libro de interés para entender las claves de implantación de ISO/IEC 27005 (Information Security: Risk Management) de la mano de Edward Humphreys (Chartered Fellow del BCS - FBCS CITP, CISM), Director de XiSEC Consultants Ltd y considerado el "padre" de ISO/IEC 27001.



Este libro se presenta como un manual práctico para la aplicación de ISO/IEC 27005 con consejos para la implantación de los requisitos definidos en ISO/IEC 27001 en relación a los procesos de gestión del riesgo y actividades asociadas.



Los contenidos comprenden:

* Introduction

* Nature of the information security risk landscape

* Risk management framework

* Risk assessment

* Risk treatment

* System of risk controls

* Risk monitoring and reviews

* Risk control improvements

* Documentation system

* Audits and reviews

* Standards

* Definitions

* Examples of legal and regulatory compliance

* Examples of assets, threats, vulnerabilities and risk assessment methods.





Enlace con información adicional y adquisición BSI Shop.

Descarga de un capítulo de muestra (previo registro) en BSI Shop.


Ha sido publicada la traducción española de la norma UNE-EN ISO 27799:2010 "Informática sanitaria. Gestión de la seguridad de la información en sanidad utilizando la norma ISO/IEC 27002". Esta norma contribuirá a asegurar la protección de la información de los pacientes utilizada por las entidades sanitarias.



La UNE-EN ISO 27799 especifica una serie de controles detallados para la gestión de la seguridad de la información y aporta recomendaciones relativas a las buenas prácticas que hay que seguir al respecto para poder garantizar un nivel de seguridad mínimo.



Información recibida por iso27000.es mediante el Boletín 89 de la Asociación Española para la Calidad (AEC).


Organizadas por INTECO y Red.es cada una de las jornadas tendrá una duración de 7 horas en horario de 9h a 17:30h, y con un aforo máximo de 150 asistentes.



Las tres jornadas programadas cubrirán la misma temática y la primera tendrá lugar en Madrid el día 6 de Mayo, la segunda en Barcelona el día 27 de Mayo y la tercera en Sevilla el día 17 de Junio. Las inscripciones se harán por orden de llegada de solicitudes.



Más información en en la página web de inteco.


Organizadas por Grupo Estudios Técnicos y con sede en el Hospital de la Santa Creu i Sant Pau, esta edición tiene como objetivo debatir sobre los procedimientos de la Gestión de Riesgos en los Hospitales, desarrollar la Seguridad Integral e Integrada y promover herramientas y soluciones de seguridad específicas para el ámbito sanitario.



Organizadas por Grupo Estudios Técnicos y con sede en el Hospital de la Santa Creu i Sant Pau, esta edición tiene como objetivo debatir sobre los procedimientos de la Gestión de Riesgos en los Hospitales, desarrollar la Seguridad Integral e Integrada y promover herramientas y soluciones de seguridad específicas para el ámbito sanitario.



Desde ISO27000.es recordamos la publicación del estandar ISO 27799 como adaptación específica de la norma ISO 27002 a este sector sanitario.



Más información en seguridadenhospitales.es.


Publicado en la página web del ISMS Forum ya está disponible el temario de la certificación Certified Data Privacy Professional (CDPP). Puedes descargar el documento completo aquí para prepararte para el examen de la primera certificación española para los profesionales de la Privacidad de Datos y la Protección de Datos.



El primer examen se celebrará el próximo 19 de junio en Madrid, Barcelona y Valencia y la inscripción ya está abierta en la página web de ISMS hasta el 31 de mayo. El precio del examen para los socios de ISMS es de 300 euros.



Más información en dossier CDPP.


El curso de hacking ético proporciona una visión técnica de la seguridad de la información a través del Hawking ético, utilizando técnicas usuales como la recopilación de información y detección de vulnerabilidad tanto dentro como fuera de una red empresarial, de modo que mediante la prevención como herramienta, resulte beneficioso para la seguridad de las compañías.



Los cursos de seguridad de la información y de LOPD introducen el mundo de la seguridad de la información aplicada a las empresas y entidades públicas y profundiza en torno a los Sistemas de Gestión de Seguridad de la Información (Norma ISO 27001) y la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).



Más información en programas del curso.


Organizadas por BSI y con la colaboración del BCI entre otras empresas tendrán lugar el próximo 12 de mayo en el Hotel Palace de Madrid y el 13 de Mayo en el Hotel Princesa Sofía en Barcelona.

Bajo el título de "¿Cómo innovar en tiempos de crisis?", el ISMS Forum Spain celebra en Madrid (España) el próximo 25 de Mayo su VII Jornada Internacional de Seguridad de la Información. Tendrá lugar en el Palacio de Congresos del Paseo de la Castellana, de 9:00 a 18:00, y contará, como sus ediciones anteriores, con la participación de ponentes de primera fila, tanto a nivel nacional como internacional.

Edward Humphreys presenta los últimos desarrollos en la familia de normas ISO/IEC 27000.

Novedades zona Wiki
14/April/2010
En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:

La entidad de certificación SGS ICS Ibérica se convierte en la primera entidad de certificación registrada por itSMF en España obteniendo el permiso para operar bajo el sistema de certificación de ISO/IEC 20000 de itSMF desde su sede en Madrid.

El Data Privacy Institute (DPI) ha publicado las bases de la nueva Certificación Certified Data Privacy Professional (CDPP). Asimismo se han abierto los plazos de inscripción para el programa de Grandfathering y el primer examen, que se celebrará el 19 de junio de 2010.

CONAN
14/April/2010
Nueva herramienta que INTECO-CERT ha diseñado bajo el nombre de CONAN (configuración y análisis) y que desde el pasado 6 de abril está disponible como útil gratuito al que se puede acceder desde CONAN .

"¿Temes más al auditor o al atacante?" se pregunta Peter Bassill, CISO de Gala Coral Group.

H4ck M3 v2.0
14/April/2010
Segunda entrada con referencias a herramientas donde practicar habilidades en seguridad.

Tipos de SAI
14/April/2010
Existe mucha confusión en el mercado sobre los diferentes tipos de sistemas SAI (UPS) y sus características. Para cada uno de estos tipos de SAI se definen las aplicaciones prácticas, se discuten las ventajas y las desventajas correspondientes.

Errata Security realizó una encuesta preguntando a personal de la comunidad de desarrollo de software sobre su experiencia con la integración de soluciones de seguridad en el ciclo de vida de desarrollo de software (SDLC).

Este informe contiene el resultado de un intenso esfuerzo de evaluación de riesgos de escenarios adecuados en los que se utilicen "IoT" (Internet of Things) y RFID en desplazamientos aereos.

En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:

Proporcionada por SANS.

Interesante artículo con información sobre Web Fraud Detection disponible en blog de Sergio Hernando.

Se ha puesto a disposición pública las guías oficiales de securización de todos los componentes de la plataforma.

Recopilación de enlaces de Yinal Ozkan en relación a soluciones de vendedores, futuros vendedores y proveedores de herramientas y software para la gestión del riesgo.

¿Cúal es la ventana de tiempo adecuada para aplicar parches a las nuevas vulnerabilidades conocidas?. El estudio de Qualys propociona referencias útiles para ajustar la políticas y procedimientos y según se indica en los controles del Anexo 12.5

MEHARI un método global de evaluación y gestión de riesgos relacionados con la información, sus tratamientos y medios utilizados. La versión de 2007 fue descargada más de 16 000 veces en más de 100 países. El uso del método es libre y su distribución se realiza conforme a las disposiciones del Código Libre (Open Source).

Experiencia de Adriano Dias Leite, fundador de My Infosec Job blog.

El recientemente publicado (2009) Build Security In Maturity Model (BSIMM) del Dr. Gary McGraw puede ayudar a las organizaciones en la evaluación, planificación y ejecución de iniciativas de seguridad en software.

"Orden ITC/712/2010, de 16 de marzo, por la que se regulan las bases, el régimen de ayudas y la gestión del plan avanza, en el marco de la acción estratégica de telecomunicaciones y sociedad de la información, dentro del plan nacional de investigación científica, desarrollo e innovación tecnológica, 2008-2011".

"De vez en cuando es bueno tomarse un descanso de todo el material ultra-bajo-nivel, como por ejemplo, chipset o hacking TXT, y hacer algo sencillo, aunque importante. Recientemente junto con Alex Tereshkin tuvimos algo de tiempo libre y hemos implementado el ataque Evil Maid contra el sistema de cifrado de disco TrueCrypt en base a una pequeña imagen de arranque USB que permite realizar el ataque en un sencillo modo "plug-and-play". El proceso de infección completo tarda aproximadamente 1 minuto, y es muy adecuado para ser utilizado por el servicio de limpieza de los Hoteles.".

Una vez más, regresan las conferencias Asegú@IT el próximo miércoles, 24 de marzo de 2010 para tratar temas relativos a la seguridad en la ciudad de Barcelona.

(IN)SECURE Magazine
20/March/2010
Entre los temas de la última publicación se encuentran los siguientes temas:

Lyndon Bird, director técnico internacional del Business Continuity Institute (BCI) analiza la presencia global de la organización y la importancia crucial que tiene la continuidad de los negocios.

Se celebrará en Otoño y además de las tradicionales experiencias y contactos con partes interesadas en la implantación de Sistemas de Gestión de la Continuidad del Negocio se tratarán aspectos interesantes relacionados con la próxima aparición del estándar internacional ISO 22301 en base al actual estándar británico BS 25999.

Los participantes en la Conferencia “Trust in the information Society" hacen públicas las “Conclusiones de León", un documento que se dirige a la Comisión Europea y a los Estados Miembros con el propósito de que puedan ser tenidas en cuenta en el desarrollo de la futura Agenda Digital Europea.

Gianluca D´Antonio, miembro fundador y actual presidente de ISMS Forum Spain y Chief Information Security Officer del Grupo FCC, ha sido nombrado miembro del comité de asesores de la Agencia Europea para la Seguridad de las Comunicaciones y de la Información, (ENISA). Este comité, que está formado por reputados especialistas europeos, asesora y marca la estrategia de la Agencia durante el mandato del director de la misma. El nuevo comité será nombrado para dos años y medio, y ha iniciado sus labores el pasado 17 de febrero. Hasta ahora, este Comité, solo había tenido entre sus miembros un profesional de nuestro país en el bienio 2005-2007.

La asociación internacional Jericho Forum ha anunciado el esquena de autoevaluación (Self-Assessment Scheme) SAS, una nueva herramienta que permitirá a los proveedores y sus clientes comprobar la efectividad de un producto de seguridad para satisfacer sus necesidades y garantizar la implantación segura y su despliegue. El esquema ofrece a los proveedores de seguridad con un alto valor y una herramienta gratuita para evaluar si la eficacia de una solución satisface los requisitos estipulados en las directrices del Foro Jericho (los once principios de diseño de seguridad bien establecido por el Foro en 2006).

En nuestra zona Wiki destacamos algunas de las novedades en posibles soluciones a los controles del apéndice A de la norma:

"A primera vista, es fácil ver que el Análisis de Impacto de Fallo de Componente (sus siglas en inglés son CFIA: Component Failure Impact Analysis) está relacionada de algún modo con los procesos de Gestión de Problemas y de Disponibilidad, pero sigue siendo un concepto algo difuso para la mayoría.

El estándar ISO 27001 en la cláusula 4.3.2 indica que los documentos exigidos por el SGSI deben estar protegidos y controlados según un procedimiento documentado.

Con fecha 01 de Febrero ha sido publicado el estándar ISO/IEC 27003 y ya está disponible para su adquisición y descarga en inglés en iso.org.

Articulos AUDEA
12/February/2010
Destacamos los siguientes artículos publicados por la empresa Audea:

Este proyecto fue desarrollado por la Oficina de Comercio Gubernamental (OGC) para actualizar la información muy popular para la gestión publicada por primera vez en 2005. La información se aplica en general a todas las mejores prácticas TI pero se centra en específicamente en tres prácticas y normas que están siendo ampliamente adoptadas en todo el mundo. La publicación se ha actualizado para reflejar las últimas versiones:

El pasado 09 de Diciembre fue publicada por la entidad de normalización AENOR la edición española del estándar ISO/IEC 27002 y que está disponible para su adquisición por un precio de 56,55 EUR y descarga en Sección "normas" de la entidad normalizadora AENOR.

Nueva propuesta de herramientas gratuitas para el control "14.1.2 Continuidad de negocio y análisis de impactos"

Empresa de consultoría dedicada a la búsqueda y selección de profesionales informáticos nos remite la siguiente oferta de empleo relacionada con la Seguridad Informática:

Publicados en BOE de 29 de Enero la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

SecureCloud 2010
11/February/2010
Junto con la Red Europea de Información y Seguridad (ENISA), el Cloud Security Alliance (CSA) y ISACA, tres de las principales organizaciones del sector, Barcelona Digital participa en la coordinación del programa y en la selección de los ponentes, entre los cuales destacan Dave Cullinane, delegado de Información y Seguridad de Ebay y presidente de la Junta del CSA, y el Dr. Udo Helmbrecht, director ejecutivo de ENISA.

El Centro Nacional de Protección de Infraestructuras Críticas, CNPIC, del Ministerio de Interior, en colaboración con la empresa TB·Security ha organizado el I Foro Internacional CIIP que tendrá lugar en Madrid los días 18 y 19 de febrero de 2010, y que servirá de base para generar un espacio de discusión en el que organizaciones tanto públicas como privadas de los ámbitos nacional e internacional puedan debatir sobre los distintos aspectos que afectan a la Protección de las Infraestructuras Críticas de la Información.

SGS Formación nos remite su calendario de formación para primer semestre de 2010 para su difusion entre los interesados.

BSI España nos remite su calendario de formación para 2010 para su difusion entre los interesados.

Cerca de cien profesionales de la Privacidad de Datos se reunieron el pasado día 21 en Madrid en el marco del I Foro organizado por el Data Privacy Institute, una iniciativa de la Asociación para el Fomento de la Seguridad de la Información, ISMS Forum Spain, y dirigida por el experto en Privacidad Antoni Bosch. El encuentro, titulado “Recetas para la Privacidad" se centró en el sector sanitario, cuya idiosincrasia conlleva delicadas e importantes connotaciones en materia de protección de la información y privacidad de los datos personales. Todo ello con el fin de contribuir a lograr una mejor asistencia al paciente que, coinciden todos los expertos que intervinieron en el foro, debe ser siempre el foco prioritario a la hora de afrontar esta materia.

El Observatorio de la Seguridad de la Información de INTECO hace públicos los resultados del Estudio sobre la seguridad y e-confianza en las pequeñas y microempresas españolas.

El Consorcio ISM3 ha alcanzado un acuerdo con The Open Group, por el cual The Open Group toma el relevo en la publicación de este estándar.

El pasado 10 de Diciembre fue aprobada y el 15 de Diciembre publicada la primera parte del estándar ISO/IEC 27033 y está disponible para su adquisición y descarga en inglés en iso.org.

El próximo 21 de enero de 2010 la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, celebrará el I Foro del Data Privacy Institute (DPI) titulado “Recetas para la Privacidad de Datos que tratará sobre la protección de datos en el sector sanitario.

En relación al control 10.6.2 añadimos dos referencias que pueden ser de utilidad para la gestión de la seguridad en los servicios de red.

Servicio de Métricas
10/January/2010
El "MetricsCenter" se dedica a proveer información para el diseño y la prestación de servicios relacionados con métricas de seguridad de manera accesible a los profesionales de Seguridad de la Información.

ISACA® tiene el gusto de anunciar la cuarta conferencia anual Latinoamericana de Seguridad de Información, diseñada para satisfacer una variedad de sesiones que atañen a la comunidad responsable de seguridad de la tecnología de información. El evento presentará dos pistas simultáneas de temas relacionados con el aspecto gerencial y aspectos prácticos de la seguridad de información.

Presentación desarrollada en las conferencias del pasado Netfocus de Bruselas con información de referencia acerca de todos los procesos y actividades de la metodología de riesgos para la seguridad de la información según ISO 27005 y que incluye un ejemplo de hojas de cálculo asociadas.

Con ello la ONP se ha configurado como la primera entidad estatal en el Perú en obtener este galardón y el segundo en Sudamérica en lograr este reconocimiento.

Plantillas Callio
10/January/2010
Como parte de sus productos Callio pone a disposición distintos documentos orientativos de apoyo a la implantación de controles relaciones con la seguridad de la información dentro de las empresas.

El Manual de Seguridad de la Información que pone a disposición el Gobierno de Australia ofrece un marco que permite abordar tanto los nuevos riesgos de seguridad como los ya existentes en los sistemas, mientras se desarrolla el negocio de manera eficaz.

El programa de certificación de NAID establece estándares para los procesos de destrucción segura en áreas como la seguridad, contratación del personal y procesos operacionales de destrucción y seguros.

INTECO pone a disposición un curso introductorio a los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma UNE-ISO/IEC 27001. Se darán a conocer los conceptos básicos necesarios para introducir al usuario en la gestión de la Seguridad de la Información, así como conocer la dimensión y alcance que suponen la implantación, certificación y mantenimiento de un Sistema de Gestión de Seguridad de la Información en una Organización, en base a la norma ISO/IEC 27001.

El pasado 11 de Noviembre fue aprobada para su publicación final el 15 de Noviembre de la segunda parte del estándar ISO/IEC 19770 disponible para su adquisición y descarga en inglés en iso.org.

La gira Up To Secure 2010 recoge temas de actualidad en la seguridad informática para poder ayudar en la tarea continua de mantener la infraestructura de la empresa al día, segura y mejorando constantemente.

Renovamos iso27000.es
15/December/2009
Recien cumplido el IV aniversario y en nuestra continuada labor de promover los Sistemas de Gestion de la Seguridad de la Información en base al estándar internacional ISO 27001 y la serie ISO 27000 nos hemos animado a renovar nuestra querida página y herramienta de trabajo iso27000.es

Como avanzaba la propia Paloma Llaneza en exclusiva el pasado mes de Octubre, ha sido publicado el estándar ISO/IEC 27004 y está disponible desde el 07 de Diciembre para su adquisición en iso.org.

El Consejo Superior de Informática acaba de hacer público el borrador de Real Decreto (http://www.csae.map.es/csi/pdf/20090715_Proyecto_RD_ENS_cn.pdf) del Esquema Nacional de Seguridad.

Los gremios empresariales piden al Ministerio de Hacienda que se garantice la confidencialidad de la información patrimonial declarada por los contribuyentes del Impuesto a la Renta Personal (IRP).

Keyloggers y spyware suponen el 19% de las brechas de seguridad en 2009 y herramientas de control remoto y ataques por inyecciones SQL estuvieron presentes en el 18% de incidentes.

Log análisis y gestión de logs pueden ayudar a la detección e investigación de brechas de seguridad.

La computación en nube además ha despertado un gran interés económico, por ejemplo, el IDC prevé un crecimiento de los servicios en nube en Europa de 971 millones de euros en 2008 a 6.005 millones de euros para 2013.

La entidad de certificación SGS comunica la impartición de los siguientes cursos en los próximos meses en Madrid, con descuentos especiales para matrículas realizadas durante Julio y Agosto:

Julian Fraser, director de "Data Eliminate Ltd" (compañía especializada en servicios de destrucción segura de datos) comenta en su blog algunos manuales de SGSI con su opinión sobre contenidos y organización.

Breve resumen de las novedades producidas durante el mes de junio de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

Free SIM Tools rescatan dinero - y quizás tus datos.

Talking Business Continuity pone a disposicón gratuita información acerca de diferentes aspectos de la Gestión de la Continuidad del Negocio y la forma en que se inscribe en la gestión de la organización.

El próximo martes 14 de julio en el Salón de Actos del Consejo General de Colegios de Médicos (Plaza de las Cortes, 11, 3ª planta. Madrid) y a partir de las 9:45 horas (acreditación previo registro) comenzará el acto puntualmente a las 10:00 horas.

"En Abril del presente año la SBS elaboró y distribuyó la circular G-140, la cual exige que las organizaciones que están sujetas a su mecanismo regulador, implanten un sistema orientado a controlar el riesgo operativo de las instituciones, a través de un Sistema de Gestión de Seguridad de Información (SGSI). Lo interesante es que se plantea en la Circular G-140, que el ISO 27001:2005 debiera tomarse como referencia. "

"En la vida cotidiana 'toda la culpa la tiene el Gobierno'. Pero estas líneas no pretenden ser un compendio de recriminaciones al partido político en el poder, sino reflexiones sobre la importancia de nuestras decisiones en materia de TI y los aspectos a considerar para gobernarlas adecuadamente. "

El Equipo M45 de Seguridad de la Información surgido dentro del Cluster TIC de Asturias acaba de publicar su nuevo espacio en Internet en el que, además de información comercial sobre sus servicios, capacitaciones o compañías integrantes, incluye también noticias relevantes sobre seguridad y un nuevo Blog colaborativo del equipo, en el que periódicamente escriben buena parte de sus integrantes sobre distintos temas dentro del área de la Seguridad de la Información.

La adaptación a la normativa europea que se lleva a cabo mediante la LOPD supone la introducción en el ordenamiento jurídico español una serie de novedades respecto de su predecesora la LORTAD.

BS 10012:2009 es una especificación de un sistema de gestión sobre la protección de datos recientemente publicada.

BSI España tiene programados próximamente los siguientes cursos de Auditor Jefe de ISO 27001 en España:

La Agencia Europea ENISA lanza dos informes, con tres recomendaciones sobre la aparición de nuevas tecnologías y su potencial para mejorar la resistencia de las redes de comunicación

El cuarto "Global Security Challenge Competition", la principal competición internacional en materia de innovación en seguridad se inició el pasado mes de Mayo y ofrece a los empresarios la oportunidad de exponer sus invenciones en seguridad y competir por un máximo de 500.000 dólares en subvenciones en efectivo.

El Centro para la Seguridad en Internet (Center for Internet Security) ha publicado una serie de parámetros para que las organizaciones puedan utilizar libremente en la medición de sus posiciones en seguridad.

Microsoft aportó a los desarrolladores recientemente otra herramienta libre para la adopción de su programa para el ciclo de vida para el desarrollo seguro (SDL).

"Tal y como cita Bruce Schneier unos investigadores pudieron hackear e interceptar una botnet durante varios días y aprender sobre cómo funciona mientras estaba todavía activa, algo interesante a lo que no siempre es posible tener acceso. Era una botnet llamada Torpig que recopilaba información personal y de transacciones financieras."

"Patricia Vanaclocha, de S2 Grupo tiene dos entradas excelentes que describen perfectamente la problemática que se plantea cuando uno se embarca en esto de construir un SGSI."

Publicada por la recientemente constituida "Cloud Security Alliance" es un informe de 83 páginas en los que se desarrollan las buenas prácticas a considerar en el tratamiento de la información en "la nube"

Presentaciones con su correspondiente audio de las ponencias realizadas por figuras destacadas y disponibles para su descarga libre.

La empresa TB·Security ofrece en Madrid del 15 al 19 de junio este curso, cuyos principales puntos (impartido en español, con material en inglés) son los siguientes:

Los cursos puestos a disposición por la consultora "Audea" son:

Dicha organización estará a disposición de entidades gubernamentales o privadas para asesorar en materias relacionadas con cyberseguridad, con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciará la innovación y el crecimiento económico.

Recientemente ha sido publicada ISO/IEC 27000, con el título de "Information technology. Security techniques. Information security management systems. Overview and vocabulary".

BSI España tiene programados próximamente los siguientes cursos de Auditor Jefe de ISO 27001 en España:

Paloma Llaneza anuncia en su blog el paso de ISO 27004 (métricas de gestión de seguridad de la información) al estado de FDIS (Final Draft International Standard), lo cual indica que verá la luz pública antes de final de año.

A raíz de la publicación para comentarios del estándar NIST 800-16, Gary Hinson hace algunos interesantes comentarios acerca de los términos concienciación y formación en seguridad de la información y de las distintas formas de abordarlas.

A fecha de Abril de 2009, hay 5.314 organizaciones con certificación acreditada en ISO 27001 en el mundo, según el conocido registro "International Register of ISMS Certificates".

La Asociación de Ingenieros de Telecomunicación de Aragón organiza un seminario de seguridad en red en Zaragoza el 26 y 27 de Mayo.

Recientemente, BSI España ha hecho entrega a Loterías y Apuestas del Estado (L.A.E.) de los certificados obtenidos simultáneamente frente a los estándares de Calidad ISO 9001:2008, de Seguridad de la Información ISO/IEC 27001:2005, de Control de Seguridad de la Asociación Mundial de Loterías y PAS-99 de Gestión Integrada.

La empresa EGP (Eficiencia Gerencial y Productividad) y impartirá en Santo Domingo (República Dominicana) los siguientes cursos:

Este ejemplo de plan es una adaptación del documento "Pandemic Flu: A national framework for responding to an influenza pandemic" del Departamento de Salud del Reino Unido.

Se celebrará el próximo 28 de mayo de 2009 en el Auditorio Mutua Madrileña, Pº Castellana 33, Madrid.

Encuentro organizado por econique Iberia que congregará a la élite del sector y que cuenta con un panel de ponentes del más alto nivel, en el que se incluyen expertos de Telefónica, Grupo Prisa, Grupo FCC, Grupo Iberdrola, la CNMV, Grupo Gas Natural, Caja Madrid, Sanitas, el Cuerpo Nacional de Policía, Bankinter, ONO y la Comunidad de Madrid.

De acuerdo con la información aportada por el director de la Agencia Española de Protección de datos (AEPD) Artemi Rallo en una reciente entrevista se han disparado las inscripciones de los ficheros de videovigilancia especialmente en el entorno privado. En los dos últimos años se ha triplicado el número de ficheros que tenían registrados las comunidades de vecinos en el Registro General de Protección de Datos (RGPD), y ha pasado de 341 ficheros en el año 2007 para alcanzar los 1.108 el año pasado.

Una pequeña causa puede multiplicarse de tal modo que acabe produciendo un resultado catastrófico.

Los próximos 12, 13 y 14 de mayo se celebrará la tercera edición del CeCOS (Counter e-Crime Operations Summit), una conferencia anual internacional sobre la lucha contra el crimen electrónico, que en esta ocasión tendrá lugar en Barcelona (en las dependencias del hotel AB Skipper), y que reunirá a expertos en cibercrimen de diversos ámbitos: Equipos de Respuesta ante Incidentes de Seguridad (CERTs/ CSIRTs), tanto públicos como privados, fuerzas policiales especializadas, profesionales de informática forense, etcétera.

BIA y RA son cosas distintas, por lo que su comparación no puede hacerse directamente. Incluso se podría decir que RA no se relaciona directamente con el BIA.

La diferencia entre seguridad informática y seguridad de la información es un elemento diferencial de importancia en la práctica de los especialistas en seguridad.

Publicada PAS 97:2009
29/April/2009
PAS 97 ha sido escrita para ayudar a prevenir los ataques a sistemas de correo. PAS 97 es una especificación para el cribado de correo y la seguridad para ayudar a las organizaciones a reducir el riesgo de daño a las operaciones y el personal.

En el mundo de hoy muchas empresas se están moviendo en el ámbito de la virtualización.

La Protección de Datos Personales: Soluciones en entornos Microsoft, versión 2.0' es la edición revisada de una primera obra lanzada en 2002, incluyendo todas las novedades que se han producido en la LOPD en los últimos años. Está disponible para su descarga libre y gratuita.

Elaborado por la consultora española TB.Security, se prevé que el mercado de la Seguridad de la Información en España crezca un 74% en cinco años. El crecimiento promedio anual será del 13% hasta 2012, y pasará de un volumen de 970 millones de euros en 2008 a cerca de 1.700 millones en 2012.

La “Gestión del Riesgo" en todos los quehaceres organizacionales se esta convirtiendo en un requerimiento para el aumento de la competitividad de la empresa.

"Desde la perspectiva del ISO 27001:2005 “Sistema de Gestión de Seguridad de Información", nos podríamos preguntar, ¿qué le pasó a Starwoods Hotels & Resorts Worldwide? ¿Hizo una identificación de los activos de información de impacto en el negocio y su respectivo análisis y evaluación del riesgo? ¿Se seleccionaron los controles que pudiesen haber minimizado los riesgos de robo de información? Por ejemplo los controles:

Eventos que se celebrarán el día 22 de Abril en Sevilla y el 23 en Málaga en los que se abordará la importancia del análisis de riesgos y la vulnerabilidad de los sistemas y estrategias orientadas a la protección de los activos.

La empresa de consultoría en seguridad "Securosis" está liderando un proyecto de crear nuevos parámetros para cuantificar el costo y la eficiencia de un proceso de revisiones en seguridad de una organización.

El Centro de coordinación de los CERT (CERT/CC) anunció la distribución de Dranzer, herramienta de código abierto que los desarrolladores de software pueden utilizar para probar código ante ciertos tipos de vulnerabilidades ActiveX antes de que los productos software se distribuyan al público.

La combinación de imágenes GIF con código JAVA (JAR) ha desarrollado una técnica clasificada como una de las más utilizadas durante 2008.

Tutorial "Sinadura"
21/April/2009
Sinadura es un proyecto que consiste en ofrecer un servicio para la generación de factura electrónica mediante la firma digital de pdfs. Consta de un aplicativo multiplataforma y una comunidad que ofrece documentación y servicios de valor añadido.

Este manual está pensado para profesionales del testeo de seguridad. Términos, destrezas y procesos que son mencionados aquí, pueden no ser fáciles de comprender para aquellos que no están directamente involucrados y con experiencia en los testeos de seguridad.

El padrón electoral biométrico que se implementará en Bolivia para las elecciones generales de diciembre próximo será certificado con la norma de calidad internacional ISO 27000 que protegerá y almacenará la información para una absoluta transparencia y confiabilidad, señalaron el martes fuentes de la Corte Nacional Electoral (CNE).

El consorcio ISM3 ha lanzado Information Security Management Maturity Model (ISM3) v2.3, con nuevas métricas de seguridad y una nueva definición objetiva de la madurez dependiente de las métricas utilizadas para gestionar los procesos de seguridad de la información.

En su estudio, 'Previsiones del Mercado de Seguridad 2009', IDC analiza las diez tendencias que marcarán el devenir del mercado de productos y servicios de seguridad.

"Buenas prácticas para la Seguridad Corporativa es una recopilación de documentos (Whitepapers) que se centran en diferentes aspectos de la seguridad en las redes corporativas.

Está programado el 27 y 28 de Abril por la empresa EGP (Eficiencia Gerencial y Productividad) y se impartirá en el Club empresarial de Lima (Perú).

S21sec presenta su nueva unidad de negocio S21sec university dedicada en exclusiva a la formación en seguridad de la información, sistemas y comunicaciones.

"Las organizaciones mexicanas implementan acciones para evitar gastos sin un plan claro y sin estar alineadas a los objetivos de las compañías, advirtió informe de firma de asesoría a negocios.

Con el fin de proteger la información de las entidades y de los ciudadanos al momento de realizar trámites, operaciones y transacciones electrónicas, el Programa Gobierno en línea, del Ministerio de Comunicaciones, implementará a partir del 2009 un nuevo modelo de seguridad de la información.

First Legion Consulting proporciona una rápida guía-presentación sobre el proceso de previo para preparar el día de la auditoría con algunos consejos útiles sobre aspectos básicos que hay que tener revisados y listos.

Organizado por ISACA los días 30-31 de Marzo de 2009 en el Hotel Cosmos 100, Bogotá, Colombia.

Las herramientas Novell ZENworks Asset Management®, Monotype Imaging, Express Software Manager Professional, GASP y Centennial Discovery han sido diseñadas para ayudarles a identificar y realizar un seguimiento del software con y sin licencia instalado en sus ordenadores y redes.

Está en fase de borrador y será publicado el 1 de Septiembre de 2009.

"La mayor parte del personal de seguridad coincide acerca de la dificultad de conseguir que la gente preste atención a las políticas de seguridad para cumplir lo que parece de sentido común.

Herramienta de evaluación para la estimación integrada de la seguridad en relación a ISO27001, Cobit4, ISO2000 e ITIL que cubre desde la evaluación hasta un marcador integrado.

BSI España tiene programado un curso de auditor jefe de ISO 27001 del 20 al 24 de Abril en Madrid.

La empresa consultora INGENIA organiza el 23 de Marzo una jornada dedicada a la seguridad de la información en el Parque Tecnológico de Andalucía en Málaga donde, con la colaboración de Aenor, se abordará el proceso de implementación y certificación de un SGSI.

Del 11 al 15 de mayo, SGS impartirá la primera edición en Colombia del curso oficial de las Buenas Prácticas de Continuidad de Negocio del Business Continuity Institute (BCI).

El INTECO (Instituto Nacional de Tecnologías de la Comunicación; Sociedad Anónima Estatal para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología, promovido por el Ministerio de Industria, Turismo y Comercio) ha implantado y certificado un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la Norma ISO 27001. La certificación ha sido llevada a cabo por Applus+.

La gestión segura de la impresión de documentos en las organizaciones es a menudo un aspecto olvidado en la implantación de SGSIs.

A fecha de Febrero de 2009, hay 5.206 organizaciones con certificación acreditada en ISO 27001 en el mundo, según el conocido registro "International Register of ISMS Certificates".

Hace unos meses, BSI publicó la guía BIP 2151, relativa a la auditoría de planes de continuidad de negocio.

SGSI Virtuales
12/March/2009
"La proliferación de subvenciones y la motivación que proporciona el coleccionar certificaciones a nivel de organizaciones está generando un pequeño "boom" dentro del mundillo de la seguridad de la información y en concreto, la certificación bajo la norma ISO 27001:2005."

Cerca del 60 por ciento de los empleados que finalizan su contrato se lleva información sensible de la compañía, según datos de un estudio

Dentro de la convocatoria Avanza2 publicada el pasado 18 de Febrero y cuyos plazos de presentación ya están abiertos se encuentran proyectos de modernización de las PYME del sector TIC, destinados a la obtención certificaciones en los ámbitos de la calidad del software, la gestión del servicio TI y la seguridad de la información.

Los próximos días 24 y 25 de Marzo tendrá lugar en Madrid, en el Hotel Eurobuilding Madrid un evento de relevancia para el sector de la seguridad de la información organizado por Red Seguridad y Seguritecnia, contando con la colaboración de Inteco.

En este nueva edición trata los siguientes temas:

Gary Hinson con la colaboración de Osama Salah, acaba de publicar en su conocida página iso27001security.com. una nueva referencia a los SGSI sobre la documentación obligatoria mínima de la norma ISO/IEC 27001 y que se indica tanto explícita como implícitamente.

Más de la mitad de los minoristas han reducido sus presupuestos en seguridad TI como resultado directo de la contracción del crédito, y más de un tercio cortará sus gastos en seguridad el próximo año, a pesar de que la mayoría son víctimas de los ataques cibernéticos.

La virtualización ha demostrado su valía en términos de reducción de los costes y mejora de la eficiencia, pero no en la consideración de las implicaciones en seguridad y que podrían poner su negocio en riesgo.

Privacidad en la nube
12/March/2009
El documento preparado por Robert Gellman para el "World Privacy Forum" analiza los riesgos de la privacidad y la confidencialidad en la práctica actualmente en boga del Cloud computing.

Un nuevo informe de ENISA explica los riesgos de la Web 2.0: compartir fotos, wikis, redes sociales y malware 2.0, un nuevo núcleo de infecciones que proceden de visitas a páginas and gives advice to tackle them.

INTECO y Pantallas Amigas presentan SecuKid, un juego de inteligencia para terminales de telefonía móvil que tiene por finalidad transmitir conceptos básicos sobre seguridad en el uso de las TIC a niños y adolescentes a partir de 11 años.

ISO27000.es ha entrevistado a Jorgé Uyá, responsable de expansión por Latinoamérica de la empresa española TB-Security, con quien hemos hablado en general del estado de la seguridad de la información en Iberoamérica y, en concreto, de CERTs (Computer Emergency Response Teams).

BSI España tiene programado un curso de Auditoría de ISO 27001 (Lead Auditor) del 9 al 13 de Marzo en Madrid.

Del 9 al 13 de marzo, SGS impartirá la primera edición en España del curso oficial de las Buenas Prácticas de Continuidad de Negocio del Business Continuity Institute (BCI).

La entidad de certificación SGS impartirá del 23 al 27 de Marzo un curso de auditor jefe SGSI según la norma ISO/IEC 27001:2005, con examen IRCA, en su Centro de Formación en el Paseo de la Castellana 182, de Madrid

Recientemente se ha constituido en Asturias (España) el Equipo de Seguridad M45, que es un grupo multidisciplinar y multiempresa integrado por 14 profesionales con un alto nivel de capacitación y certificaciones en distintas áreas de la seguridad de la información. Tiene como motor al Cluster de las Tecnologías de la Información y las Comunicaciones de Asturias (www.clustertic.net), que lleva desde 2005 fomentando y liderando la creación de un entorno de empresas especializadas en seguridad de la información en la región.

Del 31 de Marzo al 1 de Abril, la empresa EGP (Eficiencia Gerencial y Productividad) impartirá en Lima (Perú) un curso sobre investigación de delitos informáticos.

GMV y ANETCOM (Asociación para el Fomento del Comercio Electrónico Empresarial y de las Nuevas Tecnologías en la Comunidad Valenciana) han publicado recientemente un libro que lleva por título "Gestión Estratégica de Seguridad en la empresa", con la colaboración del Centro de Seguridad TIC de la Comunidad Valenciana.

El portal de Internet especializado en continuidad de negocio Continuity Central dispone de una interesante sección llamada "Business Continuity - Getting started", en la que recoge una completa lista de enlaces a diferentes sitios que tratan temas útiles para alguien que aborda la gestión de continuidad de negocio por primera vez: guías de buenas prácticas, decálogos, herramientas de auto-evaluación, selección de proveedores de continuidad, análisis de impactos, cómo seleccionar un consultor en continuidad, plantillas de planes de continuidad, glosarios, artículos, consejos, etc.

Un vídeo resumen con las declaraciones (en inglés) más relevantes que se escucharon en el 1st Security Blogger Summit celebrado en Madrid el pasado 3 de febrero está disponible en www.securitybloggersummit.com.

Hemos puesto al día nuestra sección de Eventos, incluyendo una larga lista de cursos, seminarios, conferencias, ferias, etc., relacionados directa o indirectamente con la gestión de la seguridad de la información y los estándares correspondientes.

ISO27000.es tuvo el privilegio de entrevistar a Howard Schmidt, presidente del Information Security Forum y que aporta casi cuarenta años de experiencia adquirida en la defensa, las fuerzas del orden y la seguridad corporativa.

"En este escenario, podría todavía resultar aventurado pensar que ISO 27001 se convierta en el futuro en un estándar de obligado cumplimiento en sentido estricto, o de cumplimiento “obligatorio" a la manera en que de facto lo es ISO 9001. Pero también es cierto que empezamos a ver ciertos signos indicativos de que quizás no estemos hablando de un futuro tan lejano."

En su propósito por garantizar la seguridad de las Infraestructuras Críticas Europeas (ICE), la UE ha aprobado una nueva normativa, la Directiva 2008/114/CE del Consejo de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.

La solución LockIT consta de dos elementos principales: el cierre de toma de salida y el latiguillo seguro.

Javier Cao referencia en su blog tres interesantes documentos sobre la seguridad de la información:

Esta guía de introducción, con casos de estudio, es el primer documento de una serie prevista en torno al Modelo de Negocio para la Seguridad de la Información. Basándose en el Libro Blanco "sistémica Gestión de la Seguridad ", desarrollado por la USC Marshall School of Business Institute para la protección de infraestructuras críticas de información, esta guía proporciona un punto de partida para la discusión y el desarrollo futuro.


SEGURINFO 2009
17/February/2009
Entre los temas a desarrollar en el Congreso organizado por Usuaria para el 19 de Marzo en el Hotel Sheraton de Buenos Aires, estarán incluidas las siguientes áreas:

Recopilación de tendencias en seguridad de la información realizada por el SANS Institute

El objetivo de este documento es localizar las vulnerabilidades habituales de la oficina en el hogar y sugerir métodos para la Seguridad en el puesto de trabajo de casa