Los días 20 y 21 de febrero de 2013 se celebrará nuevamente en Madrid el “III CONGRESO NACIONAL DE INTEROPERABILIDAD Y SEGURIDAD” en la sede de la Fábrica Nacional de Moneda y Timbre
Foro de encuentro para avanzar sobre la aplicación de los Esquemas Nacionales de Interoperabilidad y Seguridad en Administraciones Públicas españolas para dar paso a nuevas formas de gestionar y tramitar de forma electrónica y conseguir una única plataforma de servicios públicos, optimizando recursos y fortaleciendo las relaciones entre lo público y lo privado.
¿Como se cumplen todas las exigencias? Se
mostrarán más adelante la gran cantidad de requisitos exigidos por la Ley par este tipo de contratos, ¿pero como se cumplen?: pues, en resumen, eligiendo un proveedor de Servicios Cloud que incluya en sus condiciones todas las exigencias legales en lugar de exigir cada punto.
Publicación OTAN por parte del Cooperative Cyber Defence Centre of Excelence que procura tomar en consideración de todas las facetas que deben tenerse en cuenta en la elaboración de una estrategia nacional de seguridad cibernética, así como herramientas genuinas y asesoramiento altamente competente en este proceso para fomentar un mayor nivel de seguridad informática a nivel nacional e internacional.
Casi un tercio de los profesionales de TI carecen de conocimientos básicos sobre las amenazas de seguridad más comunes, según un informe de Kaspersky, a pesar de que la seguridad figura entre las prioridades de sus organizaciones.
Para la
edición 2012 del estudio, se consultó a más de 3.300 profesionales de TI senior de 22 países (200 procedentes de España), todos ellos con influencia en las políticas de seguridad TI y con un buen conocimiento tanto de cuestiones de seguridad informática como de asuntos del negocio en general, por ejemplo, finanzas y recursos humanos.
La computación en la nube es un paradigma aún en evolución. Si bien se ha aceptado mayoritariamente la definición de cloud propuesta por el Instituto americano de Estándares y Tecnología (NIST, por sus siglas en inglés), todavía hay muchos aspectos por definir y estandarizar.
Artículo de Diego Berea en
redestelecom.es
España es de los contados países a nivel internacional que no crece en número total de certificados respecto al año anterior.
Con un aumento constante y significativo desde su publicación y del 12% a nivel internacional para el último año, el dato de España debería aportar cierto grado de preocupación para el tejido empresarial nacional como a las administraciones públicas españolas considerando las necesidades de productividad, protección y garantías actuales que tanto mercados tradicionales como accesos y transacciones telemáticas necesitan, especialmente si se considera adicionalmente la retirada de ayudas a Pymes para la implantación en España de éste y otros tipos similares de buenas prácticas para 2013.
El top 3 en número de certificados de ISO/IEC 27001 está representado por Japón, India y Reino Unido, mientras que el top 3 en crecimiento sólo para 2011 fueron Japón, Rumanía y China.
El número total de certificaciones acreditadas en ISO/IEC 27001 alcanzado a diciembre de 2011 es de un total de 17.509.
"Estamos siendo testigos de la emergencia de una nueva generación de directores de TI, que tiene como objetivo no tanto "ejecutar" TI como asegurar que la empresa alcanza sus valores estratégicos mediante el uso de la tecnología", dijo John Mahoney, vicepresidente y analista distinguido de Gartner. "Aunque esto no es un desarrollo completamente nuevo, la magnitud del cambio es cada vez mayor y se alcanzará un punto de inflexión en los próximos cinco años".
Esta campaña se centra en Dave, un medium dotado de un don "paranormal" y que atiende a transeúntes que desean recibir sus consejos personales de forma gratuita. Resultó ser un verdadero éxito: ¿Cuál es el nombre de sus hijos? ¿Cuál era el precio de su casa? ¿Cuánto dinero hay en su cuenta bancaria? ¿Cuánto gastó en ropa el mes pasado? ¿Cuál es su número de tarjeta de crédito?
Dave responde a todas estas preguntas de manera clara y precisa aunque desvelará al
final del video el secreto de sus poderes ocultos....
Continuity Business pone a disposicion diversas referencias de interés para la implantación de la continuidad de negocio, pasos de implantacion de la norma ISO 22301, propuestas de diversos ejercicios, guías, entre otros.
Más recursos en este área y soluciones disponibles en
Anexo 14 de iso27002.es de la mano del patrocinio de
GesConsultor (Plataforma para Sistemas de Gestión) y
Áudea (Especialistas en Seguridad).
Más del 30% de las empresas experimentó la exposición de datos confidenciales como resultado de la pérdida o el robo de dispositivos móviles.
Reportaje del programa de la 2 "En Portada" analizando los riesgos del ciberespacio, los robos de datos y ataques contra redes gubernamentales, cibercomandos y las batallas en el mundo virtual como extensión de las guerras que se producen en el mundo real.
Los CIOs están preocupados por dónde se almacena la creciente cantidad de información, cómo es posible acceder a ella y quién puede hacerlo. Un
informe de Forrester Consulting revela que estos directivos prefieren mantener sus datos dentro de las fronteras.
Introduce capacidades avanzadas para simular ataques de ingeniería social de modo que los profesionales de la seguridad ahora pueden ganar visibilidad en la exposición de su organización a los ataques de phishing a través de vectores de amenazas focalizadas tanto en usuarios como técnicos, e introducir los controles necesarios para gestionar el riesgo.
Magazine digital de distribución mensual sobre Software Libre, Hacking y Programación y de distribución libre y gratuita bajo una licencia Creative Commons.
Participaron, entre otros, Howard Schmidt, exasesor de Ciberseguridad de Bush y Obama y presidente de la ISSA; Michael Kaiser, director de la NCSA; Manel Medina, Stakeholder Relations Advisor de ENISA y César Lorenzana, Capitán del Grupo de Delitos Telemáticos de la Guardia Civil.
Información completa con el resumen de las jornadas y apariciones en TVE disponibles desde
la web de la asociación.
Esta iniciativa, cuyo título en español es
“Guías de seguridad de áreas críticas en Cloud Computing V3.0”, tiene como objetivo fundamental poner a disposición de toda la comunidad hispanohablante este documento clave para la segura adopción del Cloud, facilitando sus contenidos por encima de las barreras que pudiera suponer el idioma
Disponible la descarga en modo preview y publicada con fecha 01 de Diciembre
ISO/IEC TR 27015:2012 proporciona una guía complementaria de 18 páginas a la conocida ISO/IEC 27002 para la seguridad de la información en organizaciones dentro del sector de actividades de los servicios financieros.
Revista oficial de DRI Internacional editada en español y con frecuencia trimestral.
Este primer número especial de Thrive! Iberoamérica se enfoca en conocer el estado de la BCM en Latinoamérica como forma útil entender no solamente las tendencias locales o regionales, sino las tendencias globales en base a la experiencia de colegas profesionales certificados en continuidad.
Como aportación de Áudea se proporciona el documento desde su partner tecnológico NETASQ con información sobre la guía de cumplimiento con PCI-DSS.
Información completa con acceso directo sin necesidad de registro previo.
La entidad de certificación y formación BSI España comunica a todos los interesados los
próximos cursos para 2013 entre los que se encuentran los de implantación y Lead Auditor en ISO 27001, ISO 20000 e ISO 22301, entre otros.
Nueva lección desde el aula virtual de criptografía y seguridad de la Universidad Politécnica de Madrid.
En este curso gratuito se explica de forma sencilla que aspectos hay que tener en cuenta a la hora de asegurar un dispositivo con Android, de manera que la información esté lo más segura posible. También se mostrará como prevenir problemas de seguridad, y en caso de que parezcan, solucionarlos de la forma más simple y efectiva posible.
IBPI es el International Best Practice Institute con sede en Holanda y con contenidos disponibles de forma gratuita a profesionales de la gestión en los campos TI en diversos dominios, seguridad de la información e ISO 27001 incluidos.
¿Qué tentación puede ser tan atractiva para que los usuarios se olviden de todos los consejos que han estado recibiendo en seguridad durante años e inocentemente abran mensajes de spam que les exponen a todo tipo de amenazas?
Resultados del análisis de las últimas estafas vigentes y por nacionalidades.
La economía Bitcoin según el
informe desclasificado del FBI no es despreciable, teniendo en cuenta un presupuesto de alrededor de 12 USD por cada bitcoin y un importe total de más de 10,4 millones de bitcoins en circulación nos enfrentamos con una economía de alrededor de 118 millones USD, muy conveniente para el cibercrimen.
Bitcoin,
plataformas de ocio o
Silk Road, entre otros de la denominada
Deep Web, aparecen como espacios en los que las actividades de control de ciertas transacciones económicas son difíciles de controlar, afectando a economías y a la seguridad de gobiernos nacionales.
La agencia ENISA de la UE para la ciberseguridad lanza un estudio en profundidad sobre 30 diferentes "trampas" o honeypots digitales que pueden ser utilizados por los Equipos de Respuesta a Emergencias (CERT) para detectar de forma proactiva ataques cibernéticos.
Este estudio reduce las barreras para la comprensión de los conceptos básicos del honeypot y presenta recomendaciones sobre como utilizarlos. Este informe completa uno
anterior sobre herramientas de protección.
Artículo de opinión en español de Dave Austin, editor principal de la ISO 22301 y ponente del Fórum Internacional ISO 20000.
The Cloud Computing Risk Intelligence Map™ ofrece una vista única sobre la penetrante, evolucionada e interconectada naturaleza de los riesgos asociados a la computación en la nube y de gran utilidad a personal ejecutivo y gerencial que necesite identificar los riesgos y el grado de afectación a sus organizaciones.
Más soluciones y material de apoyo a
CC en iso27002.es
El volumen 13 del Microsoft® Security Intelligence Report (SIRv13) presenta en detalle perspectivas acerca de las vulnerabilidades de software, amenazas de código malicioso y software posiblemente no deseado en programas de software de Microsoft y de terceros. Microsoft ha elaborado estas perspectivas basándose en detallados análisis de tendencias realizados en los últimos años, haciendo hincapié en el primer semestre de 2012.
Este documento (disponible también en español) resume las principales conclusiones del informe. El informe completo incluye también un análisis a fondo de las tendencias observadas en más de 100 países/regiones del mundo, y presenta sugerencias que contribuirán a gestionar los riesgos para su organización, sus programas de software y su personal.
DataCenterDynamics ofrece formación especializada en Centros de Datos con certificación reconocida internacionalmente en sus cursos y dirigida a todos los profesionales involucrados en tareas de construcción, mantenimiento y gestión de los Centros de Datos y Salas TI de misión crítica.
Listado de próximos cursos y acceso a descripción detallada en español.
“Lo que estamos viendo es que los cibercriminales han comenzado a diversificar sus focos de ataques. La industria financiera sigue siendo una de las más afectadas por el delito en Internet, pero el informe de este año muestra que verticales como la de hospedaje y alimentos son los nuevos blancos de ataque de los delincuentes en línea”, dijo Steven Rivera, vicepresidente de la división de Servicios de seguridad de Verizon en América Latina.
“Para el criminal es más fácil vulnerar el sistema de una pequeña cadena de retail, un miscelánea o un hotel pequeño, que tratar de penetrar el robusto sistema de seguridad de una institución financiera”, comenta Steven Rivera, vicepresidente de la división de Servicios de seguridad de Verizon en América Latina.
El informe desarrollado por el operador Verizon —que cuenta con el apoyo del Servicio Secreto de Estados Unidos, la Unidad Central de Crimen Digital de la Policía y las divisiones de combate al cibercrimen de Alemania, Irlanda y Australia— destaca que en el último año a nivel mundial se han reportado más de 855 incidentes y poco más de 174 millones de archivos comprometidos.
ISO/IEC 27037 propociona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositvos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.
Añadimos esta solución junto al resto de propuestas dentro del
control del Anexo 13.2.3
El objetivo de
esta publicación es proporcionar una supervisión más completa de las oportunidades y riesgos en el uso de dispositivos y consumo en TI, recopilando datos de otros estudios relacionados.
A finales del año 2012, los riesgos evaluados en la actualidad y las oportunidades van a ser reevaluados con el fin de captar nuevos acontecimientos en este particular.
Hace unos años, el Tribunal Supremo ha sentado la doctrina en la sentencia del 26 de septiembre de 2007, en relación al despido disciplinario de un empleado que utilizó el ordenador de la empresa y su conexión a Internet para entrar en páginas pornográficas en horario laboral y fue descubierto por la empresa.
Artículo completo en
Áudea
La
XII Jornada de Seguridad de la Información de ISMS Forum (28 de noviembre, Barcelona) se aproxima a las iniciativas llevadas a cabo en EEUU y la UE destinadas a la lucha contra el cibercrimen y a aumentar el grado de conocimiento y compromiso en la seguridad cibernética de gobiernos, empresas y ciudadanía. Para ello, se contará con la participación de uno de los mayores expertos mundiales en ciberseguridad, Howard Schmidt, asesor tanto de George W. Bush como de Barack Obama, con quien ostentó el cargo de Coordinador de Ciberseguridad y Ayudante Especial del Presidente hasta mayo de 2012.
Disponible en nuestra
sección de artículos la participación de Howard Schmidt en pasadas ediciones.
En una entrevista con Efe, el responsable para la Protección de Datos Personales de la Superintendencia de Industria y Comercio de Colombia, José Alejandro Bermúdez, confirmó hoy que "el proyecto de ley ya es una realidad".
"El presidente de la República, Juan Manuel Santos, ya tiene en sus manos el texto depurado, aprobado por la Corte Constitucional y está pendiente solamente de su sanción", adelantó, al afirmar que la rúbrica se producirá "en el curso de este mes o del siguiente".
Modelo de entrega de servicios basado en CLOUD COMPUTING y sus implicaciones en materia de protección de datos. Contratación con CSPs. Auditorías (ISO19011) de Sistemas de Gestión basados en normas ISO (ISO20000, ISO22301, ISO27001 y ISO9001).
Seguimos sumando recursos en
ISO27002.es con novedades en aspectos relacionados con
11.5.4. Uso de los servicios del sistema: Añadimos herramienta para detectar los servicios habilitados mediante el chequeo del registro del sistema, los puertos locales abiertos y los servicios en ejecución. Propone acciones de parcheo y deshabilitación directamente una vez realizado el chequeo para que el usuario fácilmente pueda valorar tomar acciones de protección pertinentes.
10.7.4. Seguridad de la documentación: aplicaciones para la protección de accesos a ficheros que eviten borrados o alteraciones no deseadas ni permitidas.
ISO27002.es cuenta con el patrocinio de:
GesConsultor (Plataforma para Sistemas de Gestión)
Áudea (Especialistas en Seguridad)
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa
ISO/IEC 27013:2012 proporciona una
guía de integración en la implantación de ISO/IEC 27001 y de ISO/IEC 20000-1 para aquellas organizaciones que tienen como objetivo:
a) implantar ISO/IEC 27001 cuando ISO/IEC 20000-1 ya está implantada o viceversa;
b) implantar ambas normas ISO/IEC 27001 y ISO/IEC 20000-1 al mismo tiempo;
c) integrar los sistemas de gestión ya implantandos de ambas normas ISO/IEC 27001 y ISO/IEC 20000-1.
Un 74% de las
empresas encuestadas considera que detecta, como mínimo, los casos más graves de incumplimiento y que los daños en ningún caso superan los 3.000 € por incidente. Sin embargo los riesgos más graves asociados al mal uso de los recursos tecnológicos entrañan, entre otros, la fuga de datos confidenciales tanto de la empresa como de posibles clientes.
HSTS es una función de seguridad diseñada para proteger a los internautas de ataques como secuestros de conexiones de red, obligando a realizar accesos seguros a sitios web mediante HTTPS y también en sus subdominios.
Noticia completa en
Áudea
Esta sesión tratará de proveer las claves para afrontar el nuevo reto de la modernización del sector eléctrico y que afronta la evolución hacia las redes inteligentes y los mecanismos de comunicación segura y de respuesta ante nuevos vectores de ataque.
"Tras una introducción sobre qué es el malware, su objetivo y cómo llega a los equipos, se analizarán en profundidad los diferentes tipos de malware y se presentarán algunos ejemplos de renombre. El objetivo último es dar a conocer a los usuarios las distintas clases de malware para entender su funcionamiento y poder protegerse con mayor eficacia."
Publicación de
INTECO
Desarrollada por el
Business Innovation and Skills (BIS) del Reino Unido y alineada con la serie de normas ISO/IEC 27000 los documentos de libre descarga proporcionan los consejos y acciones fundamentales a contemplar para la protección del tejido empresarial.
El Centro Criptológico Nacional ha desarrollado
17 guías de manera similar, además de disponer herramientas para análisis de riesgos, noticias de actualidad y otras medidas de protección.
La mitad de de los encuestados informaron que en sus empresas se dedica más tiempo a medidas reactivas y 56%, que se gasta más presupuesto en este tipo de medidas.
Además, cuatro de cada 10 encuestados consolidan sus informes de gestión de riesgo manualmente o
no miden el riesgo directamente.
Los datos están de moda. En el informe BIG Data frontier publicado por McKinsey en 2010, la consultora predijo un incremento del 60% en los ingresos de explotación del sector del retail gracias a lo que en el sector de las TI se denomina BIG Data. Es, por tanto, útil, entender las
tres uves de su BIG Data: Volumen, Velocidad y Variedad.
Seguimos sumando recursos en
ISO27002.es con novedades en aspectos relacionados con
10.3.1. Planificación de las capacidades: para conocer la carga de servidores sobre peticiones de clientes del dominio en Microsoft.
12.2.2. Control del proceso interno: para la detección de alteraciones en librerías DLL/EXE de Windows o en ficheros flash.
ISO27002.es cuenta con el patrocinio de:
GesConsultor (Plataforma para Sistemas de Gestión)
Áudea (Especialistas en Seguridad)
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa
En el
BOE del pasado 26 de julio se han publicado las normas técnicas de interoperabilidad de Protocolos de intermediación de datos, de Relación de modelos de datos y de Política de gestión de documentos electrónicos.
Las
Normas Técnicas de Interoperabilidad desarrollan aspectos concretos de diversas cuestiones, tales como: Documento electrónico, digitalización, expediente electrónico, copiado auténtico y conversión, política de firma, estándares, intermediación de datos, modelos de datos, gestión de documentos electrónicos, conexión a la red de comunicaciones de las Administraciones públicas españolas, modelo de datos para el intercambio de asientos registrales y declaración de conformidad; todos ellos necesarios para asegurar los aspectos más prácticos y operativos de la interoperabilidad entre las Administraciones públicas y con el ciudadano.
Cuando quieres virtualizar equipos (y ponerlos en la nube) tienes que tener varias cosas en cuenta.
34 preguntas relevantes a resolver antes de la contratación de un servicio en la nube.
A finales de septiembre Áudea, consultora tecnológica especialista en seguridad de la información, impartirá
formación presencial relacionada con la gestión de la seguridad de la información.
Durante los días 26,27 y 28 de septiembre, en las oficinas centrales de Áudea (Las Rozas), tendrá lugar la segunda convocatoria del Curso sobre ISO 27001.
La duración será de 18 horas en horario aun por definir (dependiendo de la disponibilidad de los alumnos inscritos) y el precio es de 600€.
Datos relacionados con los dispositivos como la ubicación, el perfil de Facebook y otra información relevante como accesos a iCloud o portales de shopping pueden ser correlacionadas desde múltiples bases de datos para reconstruir la identidad de un individuo y obtener acceso no autorizado.
Información adicional sobre la implicación de la filtración de UDIDs en
este artículo
El próximo 28 de noviembre de 2012 en la Torre Telefónica Diagonal 00 de Barcelona tendrá lugar la
XII Jornada Internacional de Seguridad de la Información organizada por ISMS Forum Spain. Un año más, esta jornada reunirá a ponentes del más alto nivel en un entorno que facilitará el aprendizaje e intercambio de experiencias entre todos los asistentes.
Un año más, INTECO pone en marcha ENISE, el
Encuentro Internacional de Seguridad de la Información. Esta sexta edición se desarrolla bajo una coyuntura de cambios y oportunidades en los ambientes tecnológicos y de investigación. Cuando las TIC juegan un papel condicionante, dependiente y ya intrínseco a nuestra sociedad, se intuye necesario favorecer su evolución con todas las garantías, y por tanto, con seguridad. Por eso, este año entramos de lleno en la dimensión del ciberespacio y bajo el lema: «La Ciberseguridad: un elemento clave para el futuro de nuestra sociedad».
ISO/IEC/TS 17021-2 ed1.0 (2012-08)Conformity assessment -- Requirements for bodies providing audit and certification of management systems -- Part 2: Competence requirements for auditing and certification of environmental management systems
ICS code 03.120.20 ISO/CASCO CHF 66.-
ISO/IEC 19790 ed2.0 (2012-08)Information technology -- Security techniques -- Security requirements for cryptographic modules
ICS code 35.040 JTC 1/SC 27 CHF 184.-
ISO/IEC 20000-3 ed1.0 (2012-08)Information technology -- Service management -- Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1
ICS code 03.080.99, 35.020 JTC 1/SC 7 CHF 122.-
ISO/IEC/TR 20004 ed1.0 (2012-08) Information technology -- Security techniques -- Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045
ICS code 35.040 JTC 1/SC 27 CHF 92.-
DataCenterDynamics ofrece formación especializada en Centros de Datos con certificación reconocida internacionalmente en sus cursos y dirigida a todos los profesionales involucrados en tareas de construcción, mantenimiento y gestión de los Centros de Datos y Salas TI de misión crítica.
Listado de cursos y zonas geográficas a nivel internacional con próximos cursos en España.
Las empresas tienen que valorar sus necesidades en el ámbito de los data centers de manera continua. Al mismo tiempo, tienen que decidir cuál es la mejor forma de adaptarse al crecimiento, así como a los cambios en el funcionamiento de los negocios y en los usos que se hace de las TI. La eficiencia sólo es parte de la ecuación – la optimización de todos los sistemas, desde el procesamiento y el almacenamiento, hasta la red y la aplicación, también son componentes cruciales.
Entre las
ponencias del programa destacamos las destinadas a la Gestión de la Continuidad del Negocio e ISO 22301
Las investigaciones realizadas durante un año por la Unidad Territorial de Seguridad Privada de Barcelona culminaron el pasado mayo. Como consecuencia de la operación hay más de 150 imputados, entre ellos detectives privados, funcionarios de Hacienda, el Inem, el Catastro, la Seguridad Social, guardias civiles y colaboradores de otro tipo. Entre ellos manejaban una "ingente" cantidad de datos secretos que supuestamente vendían a empresas y particulares, además de hacer trabajos por encargo, como penetrar en el ordenador de una persona para robarle todo el contenido de su disco duro.
Noticia completa en
Asociación de Archiveros de Castilla y León
IRCA publica en el mes de Julio dos documentos de interés general a consultores, auditores y empresas con implantaciones en Sistemas de Gestión para la Continuidad del Negocio de cara a entender mejor la transición de los requisitos en continuidad de negocio al recien publicado estándar ISO 22301.
De acuerdo con el Reporte Mensual de Inteligencia de Symantec correspondiente al mes de junio, 36% de los ciberataques estuvieron dirigidos a pequeñas y medianas empresas con menos de 250 empleados. Mientras que en diciembre de 2011, esta cifra era de 18%.
Las empresas consideradas grandes con más de 2,500 trabajadores no se salvaron de ser atacadas sin embargo, de acuerdo con el reporte bloquearon en promedio 69 ataques por día, mientras que las demás cuentan con un promedio de 82 ataques bloqueados a diario, durante mayo y junio.
Fuente de la noticia:
bsecure
Próxima convocatoria presencial del 26 al 28 de Septiembre con horario flexible de 18h. de duración y bonificable por la Fundación Tripartita.
Conferencias en la industria de Continuidad del Negocio y Recuperación ante Desastres que se celebrarán del
07 al 10 de Octubre en el Hard Rock Hotel de Punta Cana (República Dominicana).
La Asociación Latinoamericana de Continuidad organiza el
evento más grande de la región en materia de Continuidad en dos días enteros para tratar la ISO 22301 "Desafíos y Tendencias de la Continuidad en un mundo globalizado” y su implementación de la mano de los directores de las entidades más importantes de la Continuidad del mundo.
La
Cyber Security Evaluation Tool (CSET™) es un producto del Department of Homeland Security (DHS) que ayuda a las organizaciones a proteger sus activos nacionales clave. Ha sido desarrollado bajo la dirección del DHS National Cyber Security Division (NCSD) por los expertos de seguridad cibernética y con la asistencia del Instituto Nacional de Estándares y Tecnología. Esta herramienta proporciona a los usuarios con un enfoque sistemático y repetible para la evaluación de la postura de seguridad de sus sistemas informáticos y redes. Incluye preguntas tanto de alto nivel como de detalle relacionadas con los sistemas de control industrial y sistemas de TI.
El Instituto Español de Ciberseguridad (SCSI, Spanish Cyber Security Institute) e ISMS Forum publican el estudio
La Ciberseguridad Nacional, un compromiso de todos, que desarrolla una aproximación a los conceptos de ciberespacio y ciberseguridad, a los riesgos y amenazas conocidos y a la gestión existente en España.
El informe reclama al Gobierno que asuma el liderazgo para proporcionar un ciberespacio seguro que garantice la prosperidad social, cultural y económica de España, así como las libertades fundamentales de los ciudadanos a través de una cultura basada en la prevención y resiliencia en la que participen, de manera activa e integrada, todos los sectores de la sociedad española.
El objetivo de
este modelo es apoyar el desarrollo continuo y la medición de las capacidades en ciberseguridad dentro del subsector de la electricidad a través de los cuatro objetivos siguientes:
- Fortalecer las capacidades de ciberseguridad en el subsector de la electricidad.
- Habilitar los servicios públicos de manera eficaz y coherente las capacidades de ciberseguridad evaluar y punto de referencia.
- Compartir conocimientos, mejores prácticas y las referencias pertinentes en el subsector como un medio para mejorar las capacidades de ciberseguridad.
- Activar los servicios públicos para priorizar las acciones e inversiones para mejorar la seguridad cibernética.
El modelo ha sido desarrollado con el apoyo de la Casa Blanca por el DoE (Department of Energy) y DHS (Department of Homeland Security) en colaboración con expertos del sector y representantes de más de 40 Pymes para aplicar a todos los servicios públicos de electricidad, independientemente de la estructura de propiedad, tamaño o función. Se espera un amplio uso del modelo como referencia para las capacidades de ciberseguridad del subsector.
La XI Jornada Internacional de ISMS Forum analizó cómo los Estados y empresas afrontan las nuevas amenazas surgidas en un mundo cada vez más dependiente de las TIC.
El
evento congregó en Madrid a destacadas personalidades procedentes del World Economic Forum, instituciones de la Unión Europea, la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, la iniciativa Cloud Security Alliance, junto a proveedores y fabricantes claves de la industria y compañías españolas multinacionales.
Más recursos que nunca en
ISO27002.es con novedades en aspectos relacionados con la
14. Gestión de Continuidad del Negocio aprovechando las recientemente publicadas ISO 22301 y ISO 22300 con terminología relacionada.
ISO27002.es cuenta con el patrocinio de:
GesConsultor (Plataforma para Sistemas de Gestión)
Áudea (Especialistas en Seguridad)
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa
El equipo de especialistas de ESET Latinoamérica ha elaborado la Guía del Empleado Seguro, documento que busca ayudar a los empleados de las organizaciones a implementar buenas prácticas de administración de los datos a partir de una comprensión de la problemática y una descripción de las principales amenazas informáticas.
Noticia completa en
CRIPTEX
La sofisticación y frecuencia en los ciberataques y la falta de capacidad de las autoridades para castigar a los criminales han generado una enorme frustración dentro de miles empresas, que los ha llevado a
tomar la justicia por cuenta propia, de acuerdo a un reporte de Reuters.
La Comisión Europea ya lleva un tiempo trabajando en la forma en la que incorporar la nueva regulación en materia de protección de datos, con objeto de crear una serie de derechos y garantías más eficaces, y cuyo fin será remplazar a todas las leyes actuales de cada uno de los territorios.
Artículo de
Iván Ontañón para Audea
El Instituto Nacional de Tecnologías de la Comunicación, INTECO, ha publicado ya la web del proyecto Cloud CERT - Entorno de pruebas para la realización de ejercicios de protección de infraestructuras críticas,
proyecto cofinanciado por la Unión Europea.
El programa de "
Grandfathering" está vigente hasta el 20 de Septiembre, 2012, tras el cual los interesados deberán aprobar un examen.
Los resultados del censo de la industria 2011 nos ha permitido compartir con toda la industria una visión única y de un valor incalculable del perfil del sector, sus perspectivas de futuro y las tecnologías clave así como de las tendencias e influencias que le están dando forma. Muchos de ustedes han visto o tal vez han utilizado esta información en su propio negocio.
Su experiencia y sus opiniones son enormemente valiosas y rellenando los
datos del censo no sólo está ayudándonos a nosotros y a la industria de data center en su conjunto, sino que también contribuirá a recaudar fondos para UNICEF - por cada encuesta completada nos comprometemos a donar 5$ USD a UNICEF en su nombre.
El Comité de Valencia de itSMF España, organización dedicada a impulsar la adopción de ITIL y las mejores prácticas en la gestión de servicios TIC, celebrará el próximo 21 de junio junto a ISACA Valencia su II Jornada bajo el lema
“Cloud versus ISO20000 y 27000: sin llegar a las manos" que tratará de resolver todas las dudas sobre la seguridad y la gestión del servicio en los entornos Cloud.
Actualizaciones de las Guías de Seguridad 2012 recogidas en el portal CCN-CERT y acceso a documentación relevante.
Resumen de la 5ª Conferencia Internacional de Continuidad de Negocio, y segundo evento a nivel mundial de difusión de la ISO 22301 organizada por BSI en Madrid y Barcelona y relatado por Eduardo de Miguel Cuevas
Artículo de
Rubén Fernández (Áudea) sobre la aplicación ‘TU me’ con funcionalidades muy atractivas con carácter gratuito pero con problemas de seguridad por descuidos en cuestiones ya conocidas.
Artículo con diversas opiniones de personal relevante entrevistado
por SANS en un esfuerzo de proyección sobre el estado de la actualidad.
Artículo del Edward Humphreys, representante del grupo de trabajo responsable del desarrollo y mantenimiento de la serie de normas ISO/IEC 27000, para
ISO Focus+ cuyo número de Mayo dispone de otros artículos relevantes a la continuidad de negocio y gestión de incidentes.
El
documento publicado por ENISA incluye un breve análisis de la situación actual de las estrategias de seguridad cibernética en la Unión Europea así como en otros lugares.
También identifica los temas comunes y las diferencias, y concluye con una serie de observaciones y recomendaciones.
El documento se basa en los resultados preliminares y análisis de un proyecto de ENISA que está trabajando para desarrollar una guía de buenas prácticas sobre cómo desarrollar, implementar y mantener una estrategia nacional de seguridad cibernética. La Guía de Buenas Prácticas pretende ser una herramienta útil y consejos prácticos a los responsables e involucrados en las estrategias de seguridad cibernética.
Indecopi (Perú) acaba de poner a disposición una traducción al español de la última versión de la norma internacional ISO/IEC 20000-1 publicada en 2011 a un coste de 18,88EUR.
Desde Diciembre de 2011 existen otras traducciones publicadas y distribuidas por entidas como
AENOR(España) aunque a un precio sensiblemente superior de 36,89EUR.
El pasado 15 de Mayo vió la luz la norma internacional
ISO 22301:2012 con los requisitos para la implantación de un Sistema de Gestión de Continuidad de Negocio.
Con la publicación del estándar internacional está prevista la retirada de la norma BS25999-2 y se definirá un periodo de transición para la certificación por parte de UKAS, normalmente entre 12 a 18 meses, pero que puede ser de hasta 3 años.
Con motivo de la publicación la empresa Sedika Technologies ha puesto a libre disposición un interesante
Whitepaper con detalles de la nueva norma y comparación con otros sistemas de gestión, entre otros detalles.
Añadimos en
ISO27002.es buenas prácticas en seguridad y la implantación de controles relacionados con:
-
10.1.3. Segregación de tareas: Publicación de SANS en el que se analizan los diferentes roles relevantes a la información clave de una organización, el grado de segregación recomendado y las razones para acometer esta segregación. .
-
13.2.3. Recogida de pruebas: añadimos enlace de recopilación a 101 herramientas forenses desarrollado por "ConexiónInversa".
-
11.4.7. Control de encaminamiento en la red: Se incluyen nuevas soluciones proxy ampliando la lista de utilizades relacionadas con la gestión de redes.
ISO27002.es cuenta con el patrocinio de:
GesConsultor (Plataforma para Sistemas de Gestión)
Áudea (Especialistas en Seguridad)
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa
Los usuarios de teléfonos inteligentes son un
70% más propensos que los usuarios de teléfonos móviles normales a creer que sus teléfonos les dan una gran cantidad de privacidad, señala Toch, que está especializado en privacidad y en sistemas de información.
Una política bien definida de uso aceptable puede mitigar muchos de los riesgos asociados a la exposición a Internet.
En
este trabajo se discute el fondo y la importancia de una política de este tipo y su papel. También echa un vistazo a algunas de las consecuencias y ventajas, bien por ser demasiado estricto o por demasiado liberal, así como examinar algunos de los componentes que definen una política de uso aceptable.
La media de PCs infectados nivel mundial se sitúa en el 35,51%, bajando más de 3 puntos respecto a los datos de 2011, según los datos de Inteligencia Colectiva de Panda Security.
Noticia completa en Audea.
La campaña invita a los ciudadanos a ayudar enla creación del mensaje "SOMOS el Mes Europeo de la Seguridad" mediante el envío de imágenes de sus rostros, los cuales serán utilizados como un montaje para deletrear las palabras "SOMOS ....". Esta foto-mensaje, junto con muchas otras, serán utilizadas en la publicidad y material de campaña durante la fase piloto Mes de Seguridad, que tendrá lugar el próximo mes de octubre y en el que participa España.
Próximo 6 de junio en Madrid el evento reúne a un grupo de expertos nacionales e internacionales de primer orden para debatir sobre temas como:
- Las estrategias de ciberseguridad y protección de infraestructuras críticas en Europa.
- La reforma normativa sobre privacidad de la UE.
- La seguridad en el Cloud Computing.
- El informe Global Risk 2012 del World Economic Forum, de la mano del Director Gerente y máximo responsable del Centre for Global Events and Risk Response Network de esta influyente organización, W. Lee Howell.
Como siempre, la asistencia es gratuita para los socios de ISMS Forum, y puede formalizarse con un
simple click en la web.
Diversas operadoras de telefonía japonesas en colaboración con empresas públicas planean desarrollar tecnologías que permitan el uso de los teléfonos móviles en el caso de que se produzca un gran desastre natural,
informó el diario económico Nikkei.
Por otra parte, existe actualmente en desarrollo el
Proyecto Serval mediante el cual los científicos han desarrollado dos sistemas que pueden funcionar por separado o combinarse. Uno de ellos es específicamente para las zonas de desastre, y se compone de una red móvil temporal, autoalimentada y operada a través de “pequeñas torres de telefonía” que se dejan caer en tierra por aeronaves.
Fuente de ambas noticias:
linkedin
Enlace a la cuidada presentación para la gestión de la seguridad de la información realizada por la Unidad de Modernización y Gobierno Electrónico del Ministerio Secretaría General de Presidencia.
El autor,
Carlos Ormella Meyer, aporta el mapeado en formato Excel para que pueda usarse y completarse directamente sin tener que reescribirlo.
En este trabajo se han mapeado los controles ISO 27002 en controles NIST para así, de esta manera, aprovechar las métricas para controles NIST definidas en las publicaciones NIST 800-53 y NIST 800-55, analizar su adaptabilidad a los controles ISO y, adicionalmente, incorporar otras métricas aplicando la metodología GQM (Métricas de Metas por Cuestionario). Se incluye el mapeado completo y un extracto de las métricas mapeadas y agregadas.
Dirigido a auditores internos y externos, consultores y cualquier profesional interesado en conocer el estándar desde el punto de vista de un auditor y ganar las habilidades necesarias para desarrollar auditorías, la entidad SGS organiza los cursos de formación de Auditor Jefe en abierto en la próximas fechas programas para: 28 mayo-1 junio y 19-23 noviembre.
Información completa y calendario de todos los cursos para todas las normas
disponible online.
Implantes médicos utilizados en la gestión de enfermedades como la diabetes o relacionadas con el corazón son vulnerables a posibles ciberataques.
Los test realizados sobre los enlaces inalámbricos que tienen los implantes para su chequeo y actualización demuestran que los dispositivos están expuestos a los ataques al no estar establecidos métodos de cifrado ni de autenticación.
Aunque los investigadores indicaron en la BBC que no hay registrados ataques de este tipo en centros médicos de UK advierten sobre la necesidad de incorporar en este momento mecanismos que protejan a los pacientes de cara a futuro.
La guía en formato ppt de la página principal
ISO27002.es presenta una nueva visión informal y más intuitiva de todos los objetivos de control de la norma ISO/IEC 27002 para la protección de los activos y de las actividades de las organizaciones.
Adicionalmente, se han incorporado entre otros:
-
15. 1. 4. Protección de datos de carácter personal y de la intimidad de las personas: Enlaces a toda la legislación relevante relacionada con las leyes de protección de datos y en 14 países de Latinoamérica y España gracias a la red iberoamericana en la materia.
-
11.5.4 Uso de los servicios del sistema: Añadimos soluciones para la monitorización de actividades en el sistema operativo en actividades de arranque y vulneraciones a la integridad de los registros del sistema de la mano de Hispasec.
-
13.2.3. Recogida de pruebas: Se incluyen soluciones para actividades en informática forense.
ISO27002.es cuenta con el patrocinio de:
GesConsultor (Plataforma para Sistemas de Gestión)
Áudea (Especialistas en Seguridad)
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa
Interesante y muy completo artículo en español que considera desde los aspectos técnicos a las cuestiones clave de la alta dirección y de la mano de una experta reconocida a nivel internacional como es Carrie Higbie (Global Director - Data Center Solutions and Services de Siemon) para
e.Security.
El volumen 12 del
Microsoft® Security Intelligence Report (SIRv12) presenta en detalle perspectivas acerca de las vulnerabilidades de software, amenazas de código malicioso y software posiblemente no deseado en programas de software de Microsoft y de terceros.
Accesibles otros informes anteriores junto a un documento resumen
disponible en español que recopila las conclusiones principales.
¿Cómo se evidencia la mejora contínua?¿y el enfoque a procesos?¿Qué es y cómo se aplican las técnicas de muestreo?
ISO 9001 Auditing Practices Group pone a disposición de cualquier interesado/involucrado en auditorías de primera, segunda y/o tercera parte notas explicativas y consideraciones relevantes a los sistemas PDCA, más allá de los aspectos específicos de ISO 9001.
COBIT 5 es la última edición del esquema de ISACA mundialmente aceptado y que proporciona una visión empresarial de extremo a extremo de la gobernanza TI en la empresa.
COBIT 5 refleja el papel central de la información y la tecnología y su relación en la creación de valor para las empresas. Los principios, prácticas, herramientas y modelos analíticos que se encuentran en COBIT 5 encarnan liderazgo y la orientación de negocio, gestión y gobernanza de expertos de todo el mundo.
Documento accesible desde la
Web de ISACA y que incluye un resumen de los
cambios más importantes desde la versión previa 4.1.
Este año, las Conferencias de los días 23 y 24 de Mayo (Madrid y Barcelona) tendrán como eje principal la nueva Norma ISO 22301, que reemplazará a la BS 25999, con la colaboración de Dave Austin (miembro del Comité de ISO para el desarrollo de la ISO 22301) que mostrará cuales son los procesos y los principios que se prevé que se mantengan y qué cambios son significativos en la nueva publicación.
Para más información pueden contactar con BSI en el teléfono 91 400 86 20 ó por e-mail
info.esp@bsigroup.com
Próxima Convocatoria Presencial del 28 de Mayo al 30 de Mayo (3 Jornadas de 8 horas, de 9:00 a 18:00).
Plazas limitadas: Reservas en el 91.745.11.57 ó
info@audea.com
Novedades en
ISO27002.es relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001:
-
10. 8. 4. Mensajería electrónica: Nueva solución de intercambio cifrado de información y ficheros adjuntos para envío de correo electrónico, de forma gratuita con cifrado de extremo a extremo y sin necesidad de instalaciones de software ni de plugins en los extremos. Sólo es necesaria el alta gratuita del emisor del mensaje (no es necesaria la del receptor).
-
111 7 1 Informática móvil: Añadimos soluciones para la monitorización de actividades por puertos remotos en equipos sensibles.
-
Cloud Computing: Se incluyen dos nuevos documentos para el análisis de riesgos y la contratación de servicios en la nube, además de monitorización de SLAs entre otras aspectos relevantes.
ISO27002.es cuenta con el patrocinio de:
GesConsultor (Plataforma para Sistemas de Gestión)
Áudea (Especialistas en Seguridad)
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa
El
documento publicado resume la justificación de un Protocolo de Uso (EUP) de la Historia Clínica Electrónica (EHR) y describe los procedimientos para la evaluación del diseño y pruebas de rendimiento de los usuarios de estos sistemas.
Los procedimientos incluyen medidas generales y orientaciones para la evaluación de una interfaz EHR de usuario desde la perspectiva de los factores clínicos y humanos, y para la realización de un estudio de validación (es decir, pruebas de usabilidad sumativa) de interfaces de usuario de HME con grupos representativos de usuarios que realizan tareas realistas.
Desde
Incapsula explican que el 5 por ciento del tráfico online corresponde a herramientas de hackeo que buscan agujeros en las webs, un 5 por ciento a programas que buscan correos electrónicos de los buscadores para listas de spam, y un 2 por ciento de spammers que realizan comentarios automatizados.
Además, el informe señala que un 20 por ciento del tráfico lo realizan los buscadores y otro 19 por ciento es de programas espías que recopilan datos en el campo de la inteligencia competitiva.
Se espera que este centro, que tendrá su sede en Holanda, esté en marcha desde enero de 2013.
Propuesto por la Comisión, se centrará en el fraude implicado en los robos en Internet de datos bancarios y de tarjetas de crédito, y trabajará para coordinar la protección de las empresas y los ciudadanos europeos de la delincuencia organizada en la Red.
"Las novedades son pocas… Pero su desafortunada redacción, la dificultad de la implementación de las medidas que parecen deducirse, y su teórica exigibilidad desde el día siguiente a su publicación en BOE colocan a la inmensa mayoría de responsables de sitios web en situación de potencial infracción de la LSSI (con multas de hasta 150.000 euros).".
Artículo de José Carlos Moratilla publicado en Áudea
Recopilación de documentación histórica sobre los inicios de la seguridad informática aportada por NIST.
Dentro del listado recopilado por Computer Security Laboratory of the Computer Science Department de la Universidad de California se localiza documentación nunca publicada entre otra documentación de referencia.
El próximo 10 de mayo tendrá lugar el IV
Encuentro de la Seguridad Integral (Seg2) en el hotel HUSA Princesa de Madrid.
Este foro, organizado por las revistas Seguritecnia y Red Seguridad, tiene como objetivo la dinamización y el impulso del concepto, el desarrollo y la aplicación de la Seguridad Global, así como en el esfuerzo por acercar y promover el intercambio de información y experiencias entre los sectores, los organismos y los profesionales afectados.
ISO/IEC 27010:2012 proporciona controles y orientaciones relativas específicamente a iniciar, implementar, mantener y mejorar la seguridad de la información en las comunicaciones inter-organizacionales e intersectoriales.
ISO/IEC 27010:2012 es aplicable a todas las formas de intercambio y difusión de la información, tanto pública como privada, nacional e internacional, dentro de la misma industria o sector de mercado o entre sectores. En particular, puede ser aplicable a los intercambios de información y el intercambio relacionados con el suministro, mantenimiento y protección de una organización o la infraestructura crítica del estado nación.
La web proporciona un fácil utilizar el interfaz web para los datos de vulnerabilidades CVE. Se puede buscar por proveedores, productos y versiones, y ver las entradas CVE y vulnerabilidades relacionadas con ellos. Puede ver las estadísticas sobre proveedores, productos y versiones de los productos.
Este documento es una guía práctica destinada a la adquisición y la gestión de servicios en la nube. El foco principal es el sector público, pero gran parte de la guía también es aplicable a las adquisiciones del sector privado.
Esta guía ofrece consejos sobre las preguntas a realizar sobre el seguimiento de la seguridad (incluida la disponibilidad del servicio y la continuidad).
El objetivo es mejorar la comprensión pública de clientes del sector de la seguridad de los servicios en la nube y los indicadores potenciales y los métodos que pueden utilizarse para proporcionar una transparencia adecuada en la prestación de servicios.
Las evaluaciones de proveedores de una sola vez o periódicamente, tales como ISO 2700x, SSAE 16 o ISAE 3402, aseguran que durante el período de evaluación, un cierto conjunto de controles y procedimientos estén activos.
Aidcon Consulting informa del inicio de captación de empresas interesadas en la implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo norma UNE-ISO 27001, en el ámbito de la próxima convocatoria del Plan Avanza.
La consultora Aidcon Consulting aporta a este proyecto su capacidad, conocimiento y experiencia (45 empresas implantadas y certificadas) a las empresas PYME del sector TIC interesadas en esta iniciativa y que pueden contactar con la empresa consultora para conocer las condiciones del proyecto.
Desde la empresa de consultoría "ascêndia" comunican la ampliación hasta el 05 de Abril en la posibilidad de aceptar una última empresa interesada en la implantación y certificación de un Sistema de Gestión de Servicios según la norma UNE-ISO 27001 dentro de un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio en el marco de la Acción Estratégica de Telecomunicaciones y Sociedad de la Información.
La comunicación es con carácter de urgencia ya que el plazo final para la confirmación de las empresas interesadas finalizaba el día 31 de Marzo.
Interesados pueden
consultar y ponerse en contacto directamente con la empresa ascêndia.
Desde la empresa de consultoría "ascêndia" comunican la posibilidad de aceptar una última empresa interesada en la implantación y certificación de un Sistema de Gestión de Servicios según la norma UNE-ISO 20000-1:2007 dentro de un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio en el marco de la Acción Estratégica de Telecomunicaciones y Sociedad de la Información.
La comunicación es con carácter de urgencia ya que el plazo final para la confirmación de las empresas interesadas finaliza el día 31 de Marzo.
Interesados pueden
consultar y ponerse en contacto directamente con la empresa ascêndia.
Fecha y lugar: Madrid - 17 de abril de 2012, Aulas de formación de BSI.
Horario de mañana - jornada gratuita.La norma ISO 31000, proporciona principios y directrices sobre la gestión del riesgo, es una norma aplicable a todas las organizaciones. Proporciona las orientaciones para la implantación de un sistema de gestión del riesgo que sea compatible con los estándares de gestión de riesgo particulares en su sector tales como Continuidad de Negocio, BS 25999/ ISO 22301, y Seguridad de la Información, ISO 27001.
Novedades en
ISO27002.es relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001:
-
14.1.1. Proceso de la gestión de continuidad del negocio: Ampliamos con documentos relevantes del BSI Alemán que permite desarrollar sistemas de gestión de continuidad compatibles e integrados con normas como ISO 27001, ISO 20000, BS 25999, entre otras.
-
12.6.1. Control de las vulnerabilidades técnicas: Añadimos soluciones para el control de las actualizaciones en los equipos, para pruebas en aplicaciones web y un repositorio con múltiples recursos para pruebas técnicas, entre otras nuevas soluciones.
-
6.1.7. Contacto con Grupos de Interés Especial: Se incluyen contactos para la consulta de vulnerabilidades de manera actualizada para estar siempre al tanto de posibles exposiciones.
ISO27002.es cuenta con el patrocinio de:
GesConsultor (Plataforma para Sistemas de Gestión)
Áudea (Especialistas en Seguridad)
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa
Ya son
cuatro estados miembro de la Unión Europea los que tienen previsto el desarrollo de "semanas de la seguridad" durante Octubre 2012. El objetivo es llegar a acciones combinadas primero dentro de la UE y posteriormente con el mes de la seguridad en EEUU para 2014.
"Hace unos meses se decidió en la empresa un cambio de CRM. La necesidad de uno más potente y versátil era ya inaplazable debido al fuerte crecimiento que habíamos sufrido. Tras el estudio de varias alternativas, elegimos uno que se adaptaba completamente a nuestras necesidades y -como pueden imaginar por el título del artículo-, este CRM estaba en la nube."
Experiencia de Israel Zapata, director Técnico de Secura en
RedSeguridad
Una de las conclusiones destacas del "
CyLab 2012 Governance survey" es que las personas que desempeñan puestos de gerencia y dirección en las organizaciones no están aún desarrollando acciones apropiadas para garantizar la privacidad y seguridad de sus activos.
Desde el
19 de Marzo y hasta el 23 de este mismo mes se vienen celebrando actividades por parte del Business Continuity Institute para la difusión e implantación de las mejores prácticas para la continuidad de los negocios.
Entre los
materiales y recursos está
BC24 como simulación on-line y de acceso gratuito durante este periodo para conocer de primera mano la respuesta ante imprevistos basados en situaciones reales que se producen en las empresas.
El 25% de las empresas sin planes de continuidad no abren de nuevo el negocio después de sufrir un impacto y el 75% no se recupera considerando un periodo de 3 años.
En constraste, el 82% de las empresas que disponen de sistemas actualizados para la continuidad del negocio son capaces de mitigar los impactos y el 74% es capaz de continuar con la prestación de servicios o entrega de sus productos.
Interesante documento para tener en cuenta en los análisis de riesgos de los SGSI y vulnerabilidades técnicas (
A12.6.1) y que revisa con detalle mensual, con un apartado final a modo de conclusiones para el periodo 2011-12, los productos más expuestos.
En
este artículo de Elcomsoft Co. Ltd se analizan más de una docena de aplicaciones diseñadas para facilitar el almacenamiento y la gestión de contraseñas en plataformas móviles, como Apple iOS y Blackberry.
El artículo expone muchas aplicaciones de mantenimiento de contraseñas que no proporcionan el nivel de protección reclamado.
Crypt4you es un nuevo formato de formación en seguridad de la información online y gratuita, que nace en la Red Temática de Criptografía y Seguridad de la Información Criptored, en la Universidad Politécnica de Madrid, España.
Los
cursos de Crypt4you están abiertos a todo público y no es necesario realizar ninguna inscripción y se publicará una nueva lección de un curso en Crypt4you los días 1 y 15 de cada mes.
La mayor organización internacional en formación y certificación de profesionales en el mundo de la continuidad de negocio ofrece la posibilidad de asistir a sus
cursos de capacitación para 2012 en España gracias al acuerdo de colaboración con iso27000.es.
El acuerdo con iso27000.es permitirá el desarrollo de cursos oficiales del DRI en abierto, así como, en colaboración con asociaciones profesionales y entidades o empresas interesadas.
DRI es una organización profesional sin ánimo de lucro con más de 8.000 profesionales certificados en más de 95 países. El número de profesionales certificados por el DRI supera el total de profesionales del resto de organizaciones para este sector.
Los profesionales de seguridad TI no pueden asegurar por más tiempo que la seguridad TI continuará dentro de las funciones TI.
El
informe de Corporate Executive Board (CEB) muestra la tendencia de las grandes empresas a trasladar la responsabilidad en seguridad informática desde el departamento TI a departamentos de compliance y riesgos.
El fenómeno de los dispositivos móviles tanto corporativos como propios (bring-your-own-device BYOD) están evitando rápidamente a las políticas y seguridad corporativas, según indican los resultados de un estudio esponsorizado por Websense.
Entre diversos
resultados de una encuesta realizada en 12 paises indica que el 59 por ciento informa que los empleados evitan o deshabilitan las configuraciones de seguridad como contraseñas o bloqueo de teclado en estos dispositivos, a pesar que en los pasados 12 meses, el 51 por ciento de las organizaciones encuestadas habían experimentado pérdida de datos como resultado de un uso inseguro de los dispositivos móviles y que incluye portátiles, smartphones, dispositivos USB y tabletas.
Gartner enlista una serie de rubros para enfrentar y contrarrestar los ataques dirigidos o avanzados. Dentro de cada uno de ellos, describe una serie de mejores prácticas o recomendaciones.
La consultora hace hincapié en la importancia, tanto de los profesionales de seguridad, como sus organizaciones, de mantener programas de educación constante para empleados y personal IT sobre las nuevas amenazas Web, la manera de combatirlas y las técnicas de defensa más recientes.
Artículo completo en
b:secure
El IRCA (International Register of Certificated Auditors) ha preparado esta
Nota Informativa de libre descarga para comunicar a los auditores certificados por el IRCA, a las organizaciones de formación aprobadas por el IRCA y a otras partes interesadas su visión respecto a la norma ISO/IEC 20000-1:2011.
El documento revisa el grado de cambios en la conformidad de los 171 "debe" con los requisitos de la norma ISO 20000-1:2005 y en relacion a los 257 de la revisión de la ISO 20000-1:2011 (un 50% más, aproximadamente) y con la alineación con la seguridad de la información ISO/IEC 27001, con ISO/IEC 9001, entre otras consideraciones de interés.
El pasado 15 de febrero
Áudea cumplió su décimo aniversario y quiere celebrarlo con todos los interesados en la seguridad de la información como colaborador de la iniciativa iso27002.es para el presente año 2012.
Como empresa referente en el ámbito de la seguridad de la información en España,
Áudea demuestra una vez más su compromiso con las buenas prácticas en seguridad con el desarrollo y libre difusión de contenidos de interés a todos los visitantes del portal iso27002.es, concretamente en aspectos vinculados a las "
Comunicaciones y operaciones", "
Continuidad de Negocio" y "
Conformidad Legal".
El equipo de
Áudea, formado por 20 profesionales altamente cualificados como abogados especialistas en nuevas tecnologías, CISA, CISM, CISSP e ingenieros informáticos, aprovechan para agradecer a clientes, partners y colaboradores su fidelidad y confianza y para renovar el compromiso de empresa en su dedicación y esfuerzo, esperando cumplir muchos años más.
La
XI Jornada Internacional de Seguridad de la Información tendrá como eje central el nuevo panorama de riesgos tecnológicos surgido en un mundo globalizado e hiperconectado, dedicando especial atención a los marcos de gobierno, regulatorio y de responsabilidad necesarios para afrontar estos retos.
Trend Micro y VMware realizarán el primer evento conjunto el próximo 6 de marzo de 2012 en el Hotel Husa Princesa, C/ Princesa 40, Madrid (España) de 09.30hs a 14.30h y sobre seguridad en el Data Center y en la Nube. La asistencia al evento es gratuita
previa incripcion
La división del Center for Internet Security proporciona estándares y métricas que elevan el nivel de seguridad en los dispositivos y sistemas utilizados por usuarios y administradores.
Qué configuraciones se deben establecer como más seguras para los usuarios y se deben aplicar a los navegadores, a routers, actualizaciones de sistemas opertativos, además de formas de comprobar que los cambios quedan activos, métricas y herramientas integradas de gestión entre otros están
disponibles de forma abierta en algunos casos y para miembros en otros y desde CIS.
Destacamos algunas de las novedades de
ISO27002.es relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001:
-
10. 8. 4. Mensajería electrónica: La fuga de la información por medio de canales ocultos como son los metadatos y la información oculta en los documentos requiere que se comprueben todos los documentos antes de ser entregados a los clientes. Nuevos enlaces a soluciones relacionadas.
-
10.1.3. Segregación de tareas: Enfoques prácticos basados en riesgos del cumplimiento con la segregación de funciones.
-
12.1.1. Análisis y especificación de los requisitos de seguridad: Para las demandas de nuevos sistemas de información para el negocio o mejoras de los sistemas ya existentes se deberían especificar los requisitos de los controles de seguridad. Nuevas referencias para elegir las mejores opciones.
ISO27002.es cuenta con el patrocinío de:
GesConsultor (Plataforma para Sistemas de Gestión).
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa
Los proveedores de servicios de red están
reportando los primeros ataques distribuidos de denegación de servicio (DDoS) a IPV6 y a tan sólo algunos meses antes del día del lanzamiento del esquema para la nueva Internet del 6 de junio de 2012,
Este descubrimiento marca un punto importante en la carrera armamentística entre los ciberatacantes y los ciberdefensores, según el "séptimo Informe anual para la seguridad de las infraestructuras en todo el mundo" de Arbor Networks.
También se confirma que los operadores de red deben tener la capacidad suficiente en visibilidad y mitigación para proteger aquellas propiedades habilitadas para IPv6, según el informe.
Publicación de
podcast en español con temas y especialistas de interés sobre aspectos como:
Episodio1 - Our inaugral episode with Julio Canto of the Virus Total website!
Episodio2 - Hardware Hacking - Personal Skynet & the importance of logs with Lorenzo Martínez.
Episodio3 - Chema Alonso from Informatica64 & FOCA.
Episodio4 - Rubén Santamarta from Reversmode and Scada researching fame.
Episodio5 - Raul Siles from the excellent Taddong blog!
Episodio6 - Lombris Morto, Apache DoS y DigiNotar y un poco sobre inseguridad SSL Gracias por su atención a pauldotcom español!
Episodio7 - Juliano Rizzo, BEAST Netifera BEAST
Episodio8 - Entrevista con Chema Alonso que nos habla de la nueva version de FOCA 3.0 y de FOCA Forensic en adicion aprendemos un poco mas sobre Chema y sobre el trabajo que have Informatica64 en educar a otros en seguridad. Informatica64
Episodio9 - Entrevista con la Lcda Julizzette Colon con quien hablamos sobre las nuevas leyes y tratados que se estan trabajando para regular el internet y sus motivaciones e impacto. Consulta con JCB.
Podcasts sobre temas específicos en ISO 27001 desde nuestra
sección de "artículos"
ISO27000.es sigue creciendo y en entre las últimas novedades relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001 destacamos:
-
15.2.2. Comprobación de la conformidad técnica: Incluimos un enlace a la guía en español, publicada por INTECO-CERT y el CSIRT-cv titulado “Pentest: Information Gathering”, sobre técnicas de recopilación de información para tests de penetración..
-
9.1.3. Seguridad de oficinas, despachos y recursos: Nuevas orientaciones para el plan de protección de una zona de acceso restringido por la Oficina Nacional de Seguridad de España.
-
6.2.3. Tratamiento de la seguridad en contratos con terceros: Condiciones específicas para el manejo de Información Clasificada en las actividades, contratos y programas clasificados en los que participen empresas publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España.
ISO27002.es cuenta con el patrocinío de:
GesConsultor (Plataforma para Sistemas de Gestión).
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa.
En tiempos de recesión económica existen alternativas al software propietario que pueden reducir considerablemente los costes en licencias, especialmente en entornos como administraciones públicas donde existen además proposiciones no de ley para el uso de Software Libre apoyadas por el Congreso de los diputados.
Acorde al control
A12.1.1 antes de implantar las demandas de nuevos sistemas de información para el negocio o mejoras de los sistemas ya existentes se deberían especificar los requisitos de los controles de seguridad. de productos.
Interesante
comparativa del Gobierno Británico sobre las alternaticas Open Source a soluciones propietario y en el que se incluyen también soluciones de seguridad junto a comentarios pertinentes que permiten una valoración inicial para introducir posibles cambios con cierta racionalidad.
Enlace de referencia obtenido desde la web y noticia de
Kriptópolis
Según un reciente informe de Gartner, el presupuesto para TI alcanzará 1,7 millones de libras a nivel mundial, lo que supone un incremento del 3.9% respecto a 2011.
Esa es una buena noticia para los directivos IT ya que significa más dinero para el desarrollo de los proyectos y programas pero, ¿será un dinero gastado de forma eficaz?
Interesante artículo en
Computerweekly con un resumen de los errores más frecuentes junto a posibles consideraciones clave.
Nuevo estudio muestra que más de la mitad de los trabajadores no siguen siempre o están al tanto de las políticas de seguridad de la organización.
- 51% de los trabajadores que disponen de una impresora, copiadora o impresora multifunción en el puesto de trabajo declaran que han copiado, escaneado o impreso información confidencial.
- 54% considera que los ordenadores son la mayor amenaza a la seguridad de su red corporativa y en comparación a otros dispositivos tecnológicos, donde sólo el 6% está sociado a las impresoras/copiadoras/escáner.
- Sólo el 13% de los empleados tienen implantadas medidas de seguridad como contraseñas o códigos de acceso para el acceso a la cola e impresión de los trabajos enviados al dispositivo de impresión.
Los días
22 y 23 de febrero de 2012 en Madrid el encuentro cuenta ya con más de 400 inscritos de 155 entidades públicas y servirá para comentar los avances más relevantes en la aplicación de los Esquemas nacionales de Interoperabilidad y Seguridad en las Administraciones Públicas.
Desde el departamente de comunicación de Áudea brindan una invitación al desayuno tecnológico que celebrarán en sus instalaciones de las Rozas-Madrid para el próximo día 28 de Febrero
organizado por Áudea y Buguroo con el objetivo de proteger las aplicaciones corporativas.
El equipo de Áudea cumple su 10º aniversario: Formado por 20 profesionales altamente cualificados entre los que se encuentran abogados especialistas en nuevas tecnologías, consultores con certificaciones CISA, CISM Y CISSP e ingenieros informáticos quieren agradecer desde sus tres delegaciones a clientes, partners y colaboradores su fidelidad y confianza.
"Una de las predicciones más visionarias para 2012 fue la apuntada por Fortinet, que definía Crime As A Service como: “...es exáctamente como Software as a Service (SaaS), pero en vez de ofrecer servicios legales y de ayuda en Internet, sindicatos criminales ofrecen servicios ilegales y perjudicales como la infección de un gran número de ordenadores, envío de spam e incluso el lanzamiento de ataques directos de denegación de servicio (DDoS)"
En el
blog de Paolo Passeri nos indica que la predicción ya se está cumpliendo.
ISMS Forum Spain pone en marcha el
Instituto Español de Ciberseguridad (SCSI), una nueva iniciativa cuya misión es impulsar y contribuir a la mejora de la Ciberseguridad en España y crear un estado de conciencia sobre la necesidad de la Ciberseguridad para controlar y gestionar el estado de riesgo que genera la dependencia que el desarrollo socio-económico del país tiene respecto de las Tecnologías de la Información y la Comunicación (TIC).
El World Economic Forum (WEF) ha publicado un
conjunto de principios en ciberseguridad y resiliencia como ayuda a la economía internacional para combatir el cibercrimen global.
La guía incorpora una checklist para las organizaciones y el desarrollo de un programa básico de protección en diferentes grados de madurez.
Destacamos algunas de las novedades de
ISO27002.es relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001:
-
12.6.1. Control de las vulnerabilidades técnicas: Enlaces a escaner de vulnerabilidades (free hasta 128 IPs) para desarrollar valoraciones en todo tu entorno y herramienta para la investigación forense y ejecutables en entornos Windows y Unix.
-
99.1.1 Cloud Computing: Ampliamos las soluciones de ISO 27002 con un apartado dedicado al Cloud Computing y posibles herramientas de utilidad.
-
15.1.2. Derechos de propiedad intelectual: Belarc Advisor no solo controla licencias instaladas en equipos y construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web de forma privada e interna a la empresa..
ISO27002.es cuenta con el patrocinío de:
GesConsultor (Plataforma para Sistemas de Gestión).
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa.
Muchos expertos en seguridad opinan que el modelo de confianza de Internet se ha roto por los problemas actuales con los protocolos "Secure Sockets Layer" y "Transport Layer Security". Plantear soluciones necesitará de tiempo y un alto grado de colaboración.
Artículo original en
Dark Reading
El viernes 27 de enero de 2012 tuvo lugar la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos. Si las jornadas de los últimos dos años tuvieron por protagonistas a la Videovigilancia y a la Administración Electrónica, esta vez le tocó el turno al alojamiento de datos personales en La Nube.
Análisis de la jornada por
José Carlos Moratilla de Audea
SABSA es un modelo y una metodología para el desarrollo de arquitecturas de seguridad de la información en las empresas en función del riesgo y para la entrega de soluciones de seguridad de las infraestructuras que den soporte a las iniciativas críticas de negocio.
La características principales del modelo SABSA es que todo debe derivarse de un análisis de los requisitos de negocio y de la seguridad, especialmente en aquellos casos en los que la seguridad tiene una función de apoyo a las nuevas oportunidades de negocio que pueden ser desarrolladas y son susceptibles de ser explotadas.
La nueva normativa sustituirá a la Directiva 95/46 de Protección de Datos de la UE, que ha sido parte importante de la legislación europea sobre privacidad y derechos humanos, y bajo la que se han regido las empresas europeas durante 13 años.
La propuesta para una legislación europea más estricta en materia de protección de datos va a obligar a las empresas en toda la UE a reforzar sus procesos de gestión de la información.
Noticia completa en
Diario Jurídico
Félix Brezo, investigador en seguridad informática del instituto tecnológico DeustoTech de la Universidad de Deusto, es tajante: "WhatsApp es una aplicación insegura", y ofrece alternativas como Skype o Gtalk. "En el caso de una carta, cuando yo la envío tiene que leerla solo el destinatario", ilustra. Con WhatsApp, "mínimo el cartero lo va a ver". "Usar WhatsApp es como enviar secretos con postales", ejemplifica.
Apple ha decidido sacar esta aplicación de su tienda, del App Store. Las razones de esta decisión se desconocen, pero algunos expertos apuntan a la inseguridad.
La aplicación también registra las coordenadas GPS desde las que se envió cada mensaje si esta funcionalidad está activada.
Noticia completa en el
Norte de Castilla
La encuesta sobre Protección de Infraestructura Crítica (CIP, por sus siglas en inglés), realizada por la firma de seguridad Symantec, reveló que a diferencia del año 2010, en el 2011 las empresas mostraron un índice de participación CIP en programas gubernamentales de protección del 82%, lo que muestra una reducción de 18 puntos.
Mientras tanto en América Latina, incluido México, el índice de participación es de 88%.
Noticia
completa en b:secure
CISCO ha publicado un
interesante informe en el que analiza el pasado 2011 y sintetiza las amenazas y vulnerabilidades asociadas a las actividades actuales de los usuarios y en el que destaca el modo en que se utilizan los dispositivos que facilitan la movilidad y las exposiciones de las empresas a las que se debería hacer frente con medidas de seguridad apropiadas para evitar afectaciones.
La Oficina de Seguridad del Internauta (OSI), servicio del Instituto Nacional de Tecnologías de la Comunicación, INTECO, acaba de lanzar un nuevo canal para su relación con los usuarios: un servicio de soporte y ayuda en tiempo real, basado en un sistema de chat, al que puede accederse desde su página web
www.osi.es.
A través de este nuevo canal los técnicos de la OSI ayudarán gratuitamente a los usuarios que tengan dudas o problemas de seguridad, de una forma interactiva, dinámica y no intrusiva, guiándoles en caso necesario a través de indicaciones sobre la propia pantalla del ordenador del usuario.
En muchos casos la primera vez que un especialista de la información se encuentra con la regla de Bayes es cuando se busca justificar las inversiones en seguridad de una empresa para poder "vender" en proyecto en cuestión a un gerente de administración y finanzas.
Articulo del Ing.Carlos Ormella Meyer para iso27000.es
ISO27000.es incorpora novedades para este 2012 relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001, entre las que destacamos:
-
10.1.1. Documentación de procedimientos operativos: Incluimos un enlace a una guía práctica para el análisis y plan de respuesta a incidentes para ataques DoS de Denegación del Servicio.
-
10. 4. 1. Medidas y controles contra software malicioso: Solución gratuita disponible desde Android Market que proporciona defensa antirobo y escaner Anti-Virus Lite alerta sobre aplicaciones potencialmente maliciosas antes de que dañen tu nuevo smartphone.
Adicionalmente una guía ENISA con 5 líneas para combartir el robo de información sensible (SMS, llamadas, fotografías, geolocalización, etc.) en smartphnes.
-
10. 10. 1. Registro de incidencias: Guía de referencia rápida para habilitar auditoría en LINUX y registrar y hacer un seguimiento integral de acceso a los archivos, directorios y recursos de su sistema, así como de las llamadas del sistema.
ISO27002.es cuenta con el patrocinío de:
GesConsultor (Plataforma para Sistemas de Gestión).
Hay más novedades y soluciones ¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa.
El proyecto de directrices en fase de borrador
(NIST SP 800 a 155) está orientado a proveedores y profesionales de la seguridad con el propósito de mejorar la seguridad en BIOS.
NIST declaró que, los cambios no autorizados en BIOS pueden causar una amenaza significativa para la seguridad porque el sistema funciona en un nivel más bajo y antes de que otras protecciones de seguridad queden activas.
SP 800-155 explica los fundamentos para medir la integridad en BIOS como base para saber y notificar si se han aplicado modificaciones no deseadas.
Comentarios públicos al borrador abiertos hasta el 20 de enero de 2012 y enviados via email según se indica en "Comment SP 800-155” del propio documento.
Desde la asociación itSMF España se publican
videos con ponencias relacionadas con el Gobierno TI desde la plataforma de video streaming globbtv.com que permanecen disponibles bajo demanda.
Entre los temas publicados recientemente y relacionados con seguridad destacamos:
- SEGURIDAD DESDE EL DISEÑO: CONFÍA EN LA INNOVACIÓN
- INTEGRAR PARA SIMPLIFICAR: 20K+27K+14K+38K+...
"La escasez de recursos, junto con las difíciles circunstancias económicas por las que atraviesa España, se ha convertido en un caldo de cultivo perfecto para la proliferación de los delitos económicos en nuestro país."
"En el
estudio de este año destaca el crecimiento con fuerza de los delitos informáticos, que han llegado a representar entorno al 4% sobre el total de los casos de fraude sufridos por las empresas españolas en los últimos 12 meses, y un incremento de aproximadamente el 130% en relación a los datos derivados de nuestro Informe sobre delitos económicos y fraude empresarial de 2009."
Para todos aquellos que quieran estrenar el móvil inteligente que le han traído los Reyes Magos, de forma segura, Kaspersky Lab ha reunido una
serie de consejos que ayudarán a los usuarios para navegar de forma segura y rápida en la Red, ya que los smartphones seguirán siendo objetivo principal de los cibercriminales en 2012.
"
La siguiente guía no apunta a la promoción o venta de ningún producto en particular, sino que buscan actuar como marco de referencia para conocer y comenzar a analizar vectores de ataque que quizá hemos pasado por alto o aún no estamos contemplando."
De acuerdo con medios japoneses, la Secretaría de Defensa del país nipón se encuentra en proceso de desarrollo de un virus informático capaz de rastrear, identificar, y deshabilitar fuentes de ciberataques. Artículo completo e implicaciones en
b:secure
La consultora
de seguridad AUDEA busca profesionales para desarrollar labores de auditoría, consultoría y formación en seguridad.
En el blog de Alfredo Reino se desarrollan referencias de soluciones gratuitas y de bajo coste tomando en consideración a la PYME y MICROPYME.
Tan pronto como usted contrate a un proveedor de nube debería preocuparse no sólo por su seguridad TI interna, también por la del propio proveedor. Si es una empresa pequeña o mediana podría asumir que la seguridad del proveedor es superior a la suya, y puede que tenga razón, pero asegúrese de hacer en cualquier caso
algunas preguntas correctas.
El propósito del conjunto de datos de referencia
SAMATE (SRD) es proporcionar a usuarios, investigadores y desarrolladores de software, unas herramientas para la seguridad con una serie de fallos de seguridad conocidos. Estos casos de prueba son diseños, código fuente, archivos binarios, etc, de todas las fases del ciclo de vida del software.
El proyecto prevé abarcar una amplia variedad de posibles vulnerabilidades, lenguajes, plataformas y compiladores y convertirse en un esfuerzo a gran escala con la recopilación de casos de prueba de muchos colaboradores.
Una de las decisiones importantes al establecer un sistema de gestión de Continuidad de Negocio es la de determiniar la necesidad o no de automatizar partes del proceso, lo que conlleva la elección de una herramienta de continuidad.
El uso de cualquier herramienta condicionará tanto los procedimientos de mantenimiento como las actividades a realizar en caso de tener que activar el plan de continuidad.
Interesante post de
Jorge Gª Carnicero
Conjunto de herramientas desarrolladas en OpenSource por el Laboratory of Cryptography and System Security (CrySyS) de Hungría y que combina técnicas sencillas de detección para detectar infecciones por Duqu en un ordenador o en toda una red.
Dentro del compromiso de McAfee con la seguridad, la compañía pone a disposición una batería de software que puede ser
descargada directamente y para diversos usos que van desde herramientas Anto-malware, forensic, SASS, detección de intrusiones, escaneo, spam o de estress, entre otras.
ISO/IEC 27034 proporciona una guía para ayudar a las organizaciones en la integración de la seguridad en los procesos utilizados para la gestión de sus aplicaciones.
ISO/IEC 27034-1:2011 presenta una visión general de la seguridad de las aplicaciones e introduce definiciones, conceptos, principios y procesos que intervienen en la seguridad de aplicaciones.
ISO/IEC 27034 es aplicable al desarrollo de las aplicaciones internas, las aplicaciones adquiridas a terceros, y en el desarrollo o explotación de aplicaciones externalizadas.
ISO/IEC 27007:2011 proporciona una guía sobre el programa de auditorías para la gestión de un sistema de gestión de seguridad de la información (SGSI), sobre la realización de las auditorías y de la competencia de los auditores de SGSI, además de las directrices contenidas en la norma ISO 19011.
ISO/IEC 27007:2011 es aplicable a aquellos que necesitan comprender o realizar auditorías internas o externas de un SGSI o para administrar un programa de auditoría del SGSI.
Han sido
publicadas las normas ISO 30301 e ISO 30300 sobre información y documentación.
En la primera de ellas (ISO 30301) se especifican los requisitos que debe cumplir un sistema de gestión para los documentos, ayudando con la implantación de este tipo de sistema a cumplir el requisito de control documental al que hacen referencia las normas ISO 27001, ISO 20000. ISO 9001, ISO 14001 y OHSAS 18001, entre otras.
Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos, o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y en una fecha concreta y celebrar el evento preparado.
Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular.
Hasta que la Agencia Española de Protección de Datos, AEPD, se le ocurrió indagar sobre estos supuestos, y concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una Comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.
Artículo completo de
Audea
Este informe técnico proporciona una guía de revisión de la implementación y operación de los controles, incluyendo la conformidad técnica y comprobación de los controles de un sistema de información en conformidad con las normas de seguridad establecidas por una organización.
Este informe técnico es de aplicación a todos los tipos y tamaños de organizaciones, incluyendo empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro., llevar a cabo revisiones de seguridad de información y control técnico de cumplimiento aunque el informe técnico no está diseñado para las auditorías de sistemas de gestión.
Menos del 1% de fallas de seguridad durante el primer semestre de 2011 se produjeron por vulnerabilidades "zero-day" de acuerdo con el
último informe de Seguridad de Microsoft.
Esto significa que el 99% de todos los ataques de malware durante el mismo período se distribuyó mediante técnicas conocidas, tales como la ingeniería social y vulnerabilidades sin parches actualizados.
ENISA ha producido video clips para que la plantilla de las organizaciones tomen conciencia de los riesgos en seguridad de la información y recordar la puesta en práctica de las buenas prácticas.
Los
video clips de ENISA están disponibles para descarga y uso en cualquier intranet y/o programa de formación y concienciación en seguridad de la información de las organizaciones y en diversos idiomas.
Con objeto de concienciar a administradores y técnicos de seguridad sobre los métodos que utilizan los ciberdelicuentes para recopilar información sobre entidades y organizaciones, y ayudar en la protección de la información y los sistemas, INTECO ha publicado el informe "
Pentest: Recolección de Información (Information Gathering)"
La última edición de la
Encuesta ISO de Certificaciones en 2011 (con datos relevantes del año 2010), destaca la importancia del mercado mundial de las normas ISO de sistemas de gestión de calidad, medio ambiente, dispositivos médicos, seguridad alimentaria y la seguridad de la información con un aumento en los certificados de 6,23%, alcanzando un total mundial de un 1.457.912 certificados y con usuarios de uno o más de los estándares en 178 países.
Los mayores aumentos en la certificación son para el sector específico de la norma ISO 22000:2005 (sistemas de gestión en el sector alimentario) con un 34% y para el tema específico de la norma ISO/IEC 27001:2005 (sistemas de gestión de seguridad de la información) con un aumento del 21%.
El cocreador del sistema operativo Unix, Dennis MacAlistair Ritchie, falleció recientemente a la edad de 70 años.
Este ingeniero graduado en física y matemáticas en la Universidad de Harvad colaboró en el diseño y desarrollo de este sistema junto a Brian Wilson Kernighan, además de contribuir a la creación del lenguaje de programación C.
"Las herramientas que Dennis ha construido - y sus descendientes directos - están en practicamente toda la tecnología actual", dijo Brian Kernighan, científico informático de la Universidad de Princeton, que trabajó con Mr. Ritchie en los Laboratorios Bell.
Desde
iso27000.es nuestra admiración y reconocimiento a su labor, así como, el modo en el que el Sr.Dennis difundió sus trabajos durante todos estos años.
A raíz del mayor corte de la historia de la compañía que se ha producido en los servicios Research in Motion (RIM),
Jenny Williams investiga cómo las empresas construyen su estrategia de resistencia contra puntos únicos de fallo para el caso de la interrupción en la prestación por parte de un proveedor de servicios.
La interrupción de tres días en los servicios RIM ha afectado las entregas del correo electrónico móvil a las principales empresas y departamentos gubernamentales y que hacen uso intensivo de la empresa de servicios Blackberry.
La interrupción de los servicios globales ha llevado a las empresas a replantearse su uso y la dependencia de los teléfonos inteligentes Blackberry en base al único punto de fallo en la red de RIM y la infraestructura de TI demostrados.
Nuevas soluciones Open Source como SHINKEN dentro de las novedades dentro de la iniciativa
iso27002.es
Manuel Díaz Sampedro de Áudea, Seguridad de la Información comenta a ragos generales las novedades introducidas en la nueva versión de ITIL recientemente publicada.
Imperva ha dado a conocer un informe que analiza el contenido y las actividades de un foro on line de hackers con cerca de 220.000 miembros registrados.
Entre los temas más discutidos en este foro desde junio 2010 hasta junio 2011 están los ataques DoS/DDoS, con un 22% de las discusiones, seguida de inyecciones de SQL, que comprende el 19% de todos los debates, además de ataques a iPhones, entre otros datos de interés.
Nuevos y complejos riesgos de TI y el cambio en las prioridades del negocio suponen nuevos retos hoy en día a los responsables de TI, según una
nueva encuesta de Protiviti.
Los resultados del estudio revelan seis áreas de prioridad para los CIOs y sus organizaciones: seguridad de la información y la privacidad, la virtualización y el cloud computing, la integración de los medios sociales de comunicación, la clasificación y gestión de datos, cumplimiento normativo y gestión de proveedores.
Mesa con invitados como Miguel Angel Hervella (Director de Riesgos de Información para Deutsche Bank Iberia, Italia y MENA) y Enric Llaudet (con una amplia trayectoria en el departamento de sistemas y de seguridad de la información para British Telecom y el CESICAT) defendiendo la visión de las empresas, y por otra parte, Albert Puigsech (aka RIPE) y Pau Oliva (pof) archiconocidos en el mundo underground y actualmente dedicados de lleno al mundo de la seguridad en diferentes vertientes.
Enlace a noticia completa y video de la sesión en
Security by Default
111 arrestados, 13 millones de dólares defraudados en un año y medio y con la implicación de personal responsable de las cajas de diversos establecimientos al que se pagaba por conseguir la información de tarjetas que luego se clonaban en tarjetas falsas que se revendían por los criminales listas para su uso y con documentación de identidad adicional en algunos casos.
Noticia completa en
b:secure
La norma ISO/IEC 17021:2011 introduce algunos importantes nuevos requisitos para organismos que prestan el servicio de auditoría y certificación de sistemas de gestión.
Puede leer la nota completa (
briefing note) en la que IRCA informa a sus auditores certificados y a los organismos de formación aprobados sobre los cambios y sus posibles impactos.
La publicación de la ISO 19011:2011 proporciona a los auditores, a organizaciones que están implementando sistemas de gestión y a organizaciones que deben realizar auditorías de sistemas de gestión, una oportunidad de re-evaluar sus propias prácticas e identificar oportunidades de mejora.
Lea la nota completa (
briefing note) e informe sobre los cambios a auditores certificados por el IRCA y a organismos de formación aprobadas por el IRCA.
La norma ISO 19011 proporciona orientación sobre los principios de auditoría, la gestión de programas de auditoría, la realización de auditorías de sistemas de gestión, así como sobre la competencia de los auditores y aplica a todas las organizaciones que realicen auditorías internas o externas de sistemas de gestión o que gestionen un programa de auditoría.
Expertos en seguridad con la ayuda de una tarjeta gráfica nVidia GeForce GT220 de 30 libras de coste fueron capaces de descifrar contraseñas de seis caracteres en 12 segundos, contraseñas de siete caracteres en menos de cinco minutos, y una contraseña de ocho caracteres en cuatro horas.
La prueba pone de relieve la dificultad extra que supone para un hacker cada caracter añadido a las contraseñas en uso.
¿Problemas para generar password seguras o comprobar la fortaleza de las que están en uso? Visite las
soluciones de nuestro portal iso27000.es
"Usted no puede simplemente sentar a los usuarios, darles treinta minutos de información sobre por qué la seguridad es importante y esperar que va a cambiar su forma de comportarse en el día a día. Esto no puede funcionar porque no es la forma de trabajar de las personas."
"Todo el mundo tiene que dejar de hablar de cómo hacer que los usuarios sean más conscientes y empezar a hablar acerca de cómo modificar el comportamiento de los usuarios, de modo similar a lo que se hace en las técnicas de venta."
"El primer paso es obtener buenas mediciones del comportamiento del usuario antes del entrenamiento y luego las mismas medidas del estado post-esfuerzo para averiguar si se está consiguiendo realmente un retorno positivo en el tiempo dedicado."
Artículo completo en
Dark Reading Visite las
soluciones en formación en seguridad de nuestro portal iso27000.es
1. Mantener las claves en el sitio equivocado
2. Fallo en la centralización de gestión de claves
3. Depender de soluciones caseras
4. Mantener Backups sin cifrar
5. Uso de algoritmos de cifrado caducos
Artículo completo de
Ericka Chickowski en Dark Reading
Nueva entrega de la enciclopedia de la Seguridad de la Información donde Alicia explica a Bernado los ataques más famosos al protocolo SSL/TLS y como protegerse de ellos.
En el vídeo se recomiendan acciones básicas para una navegación más segura utilizando dicho protocolo.
De 2006 (5,503) a 2010 (41,776) las agencias gubernamentales estadunidenses han sufrido un incremento de 650% en infecciones de malware y algunas otras fallas de seguridad, según dio a conocer en un reporte la Oficina de Responsabilidad del Gobierno de Estados Unidos (
GAO por sus siglas en inglés).
De la auditoría hecha por la GAO a las 24 agencias, los principales incidentes reportados que ocurren con más frecuencia son:
· Acceso no autorizado: Acceder de forma física o lógica a la red, sistema, aplicaciones datos u otro recurso de una agencia federal sin permiso
· Negación de servicio DDoS: Prevenir o impedir el normal funcionamiento autorizado de redes, sistemas o aplicaciones por agotamiento de recursos.
· Códigos maliciosos: Instalar malware como virus, gusanos, troyanos u otros códigos que infectan un sistema operativo o aplicación de la agencia.
· Uso inapropiado: Violar las políticas de uso aceptable de computación.
· Scans e intentos de acceso: Acceder o identificar una computadora de agencia federal, puertos abiertos, protocolos, servicios o cualquier combinación de esto para su posterior explotación.
· Incidentes sin confirmar: Fallas anómalas del sistema.
Noticia completa en
b:secure
La
Cloud Security Alliance Controls Matriz (CCM) está diseñada específicamente para proporcionar los principios fundamentales de seguridad a los proveedores de nubes, así como, ayudar a los clientes potenciales de nubes en la evaluación del riesgo para la seguridad global de los proveedores de cloud.
CCM proporciona un marco de controles que ofrece una comprensión detallada de los conceptos de seguridad y los principios que quedan alineados en 13 dominios.
Estos fundamentos tienen en consideración otras normas de seguridad aceptadas por la industria, las regulaciones y marcos de control, tales como la ISO 27001/27002, COBIT de ISACA, PCI, NIST, Jericho Forum y NERC CIP, además de proporcionar una guía para el control interno con SAS 70 según se desprende de los testimonios por parte de los proveedores de cloud.
Se celebrará en el Hotel Astoria Valencia, (Comunidad Valenciana, España) los dias 10 y 11 de Noviembre.
- El día 10 se tratará la temática de eAdministración
- El día 11 se tratará la temática de Cloud Security
Inscripción obligatoria. Plazas limitadas.
ISO27000.es sigue creciendo y en entre las últimas novedades relacionadas con las buenas prácticas en seguridad y la implantación de controles del Anexo A de ISO/IEC 27001 destacamos:
-
6.1.7. Contacto con Grupos de Interés Especial: Incluimos un enlace a varios laboratorios independientes de evaluación de soluciones Antivirus que prueban varios antivirus contra las últimas amenazas de malware . Compruebe el grado de eficacia de sus soluciones Antimalware en uso en base a información especializada.
-
9.1.2. Controles físicos de entrada: Ampliamos las plantillas, modelos y guías para la gestión de la seguridad en las distintas áreas.
-
12.2.2. Control del proceso interno: Ampliamos las soluciones disponibles para la planificación de las aplicaciones web y su explotacion segura.
ISO27002.es cuenta con el patrocinío de:
GesConsultor (Plataforma para Sistemas de Gestión)
¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa.
Debido al éxito de CONAN, con más de 21.000 usuarios, la OSI ha considerado importante realizar mejoras en la herramienta y actualmente ya se encuentra publicada una
nueva versión.
Adicionalmente a CONAN existen más soluciones relacionadas para consulta gratuita en nuestra iniciativa
iso27002.es
En la selección de un buen AV se debe consultar a los laboratorios que están probando varios antivirus contra las últimas amenazas de malware y comprobar su actualización periódica.
Virus Bulletin es uno de los recursos que publica informes del resultado de los tests (conocido como VB100).
Otro laboratorio independiente de test de soluciones antivirus es el
AV-TEST Institute con informes trimestrales.
AV Comparative es otra organización que proporciona información de los tests en soluciones Anti-Virus de forma gratuita y abierta al público.
Esperamos que estas referencias sirvan a nuestros lectores como
información de contacto útil para seleccionar las mejores soluciones para sus necesidades.
Fuente original de la información:
Infosec Island
Control Systems Security Program (CSSP del centro de alerta temprana de los EEUU) ha lanzado la
versión 4.0 de la herramienta de evaluación para la ciberseguridad (CSET).
Esta nueva versión de la herramienta está disponible para su descarga e incluye nuevas normas, tales como NERC CIP Revisión 3, NRC Regulatory Guide 5.71, un nuevo conjunto de requisitos clave y la versión 7 del DHS "Catalog of Security Requirements: Recommendations for Standards Developers.".
CSET 4.0 también incluye una revisión completo del conjunto de informes con gap rankings, una nueva funcionalidad de diagramas y una nueva librería de recursos además de otras mejoras menores.
Esta herramienta es útil para evaluaciones de sistemas de control tanto empresariales como industriales.
Durante el
workshop de trabajo, que tuvo lugar el 19 de septiembre en la Agencia C3 de la OTAN en Bruselas, se acordaron una serie de áreas en las que las naciones están considerando la posibilidad de trabajar juntas para compartir los costos en la investigación de vanguardia y el desarrollo de nuevas capacidades.
Si bien es cierto que se van viendo avances significativos en la comprensión del, a veces, confuso mundo de la Continuidad de Negocio, todavía en ocasiones nos encontramos con que no se distinguen del todo algunos conceptos básicos. Es el caso de los Planes de Contingencia en relación con los Planes de Continuidad de Negocio.
Artículo completo de Manuel Díaz Sampedro para
Audea
NIST ha lanzado dos nuevas publicaciones se ocupan de la evaluación de riesgos: una es la fuente autorizada de guía completa para la
evaluación de riesgos para los sistemas de información federal denominada NIST Special Publication 800-30, Revision 1.
Describe cómo aplicar el proceso de evaluación de riesgos en los tres niveles de la jerarquía de gestión de riesgos descritos en la Publicación Especial 800-39. Proporciona muestras de plantillas, tablas y escalas de evaluación de factores de riesgo comunes para que los usuarios puedan adaptarlas a sus propias evaluaciones de riesgo de la organización en base a el propósito, alcance, supuestos y limitaciones de las evaluaciones.
Esta es la quinta guía desarrollada en el marco de la seguridad de la información por una sociedad conjunta del Departamento de Defensa, una comunidad de la inteligencia, el NIST y el Comité de Sistemas Nacionales de Seguridad. El grupo de trabajo va a seguir colaborando en la protección de los sistemas federales de la información y de la infraestructuras de información crítica del país.
La otra guía es la actualización de una publicación de marzo 2011 y se centra exclusivamente en las
evaluaciones de riesgos o NIST SP 800-39.
Mitsubishi Heavy Industries (MHI), el mayor fabricante de armas Japonés, declaró que sus servidores fueron hackeados tras encontrar 80 máquinas infectadas por virus.
Noticia completa en
DatacenterDynamics
SecurityByDefault recopila una lista de videos, shows, entrevistas y presentaciones relacionadas con temáticas en seguridad como malware, cibercrimen, wireless, seguridad web, entre otros.
ISO/IEC 24745:2011 proporciona una guía para la protección de los datos biométricos en los distintos requisitos de confidencialidad, integridad y capacidad de renovación/revocabilidad durante el almacenamiento y la transferencia.
Además, la norma
ISO/IEC 24745:2011 establece los requisitos y directrices para la gestión de seguridad y privacidad requeridas en el procesamiento de la información biométrica.
Para empezar el otoño con fuerza sugerimos algunas novedades en la aplicación de controles del Anexo A de ISO/IEC 27001 como:
-
8.2.2. Formación y capacitación en seguridad de la información: Lista recopilatoria de diversos juegos de simulación en gestión de servicios TI, continuidad de negocio, gestión del riesgo, entre otros y para la formación en diferentes aspectos como toma de conciencia, organización del personal y roles a desempeñar en los diferentes casos.
-
13.2.3. Recogida de pruebas: MANDIANT Memoryze es un software forense para supervisión de contenido en memorias y de libre uso.
-
12.6.1. Control de las vulnerabilidades técnicas: Varias nuevas soluciones para pequeñas y grandes empresas con el objetivo de ahorrar tiempo y dedicación en labores de administración TI en la detección y actualización de los equipos conectados de la organización.
ISO27002.es cuenta con el patrocinío de:
GesConsultor (Plataforma para Sistemas de Gestión)
¿Quieres participar en la iniciativa? Puedes hacerlo directamente con tus comentarios y experiencias en el wiki (no necesita registro) o ponte en contacto para posibles
patrocinios de esta iniciativa.
ISO / IEC 27035:2011 proporciona una guía sobre la gestión de incidentes de seguridad en la información de grandes y medianas empresas. Las organizaciones más pequeñas pueden utilizar un conjunto básico de documentos, procesos y rutinas descritas en esta norma internacional, dependiendo de su tamaño y tipo de negocio en relación a la situación de la información y riesgos de seguridad.
También proporciona una guía para las organizaciones externas que proveen información de seguridad de los servicios de gestión de incidentes.
De acuerdo al reporte más reciente de la firma de seguridad IT, Symantec,
2011 Norton Cybercrime Report cada día más de un millón de personas son víctimas de los delitos informáticos, el robo de información o los códigos maliciosos. Esto significa: más de 50,000 personas defraudas en la web cada hora, 820 víctimas en internet cada minuto o 14 internautas afectados por los cibercriminales cada segundo.
“Los delitos informáticos son más rentables que la venta global de marihuana y cocaína juntas, las cuales se estima alcanzan un valor cercano a los $288,000 millones de dólares, y son casi tan rentables como el mercado mundial de tráfico de drogas, estimado en $411,000 millones de dólares”, cita el reporte.
El análisis, que tomó a consideración las respuestas de más de 20,000 personas de 24 países distintos subraya que el cibercrimen se ha convertido en una actividad altamente rentable a los delincuentes virtuales.
Artículo de Carlos Fernández de Lara para
b:secure
“El ataque puede ser dirigido a cualquier ubicación que se requiera. El robot puede aterrizar cerca del objetivo y esperar ahí, como cuenta con celdas solares se puede recargar para seguir atacando todas las redes a su alrededor”
Según los investigadores todo el sistema es capaz de construirse por la módica cantidad de $600 dólares, lo que hace que este ataque sea muy accesible para los hackers.
El Ministerio de Defensa británico ha retomado y modernizado el eslogan "Careless talk costs lives" ("Hablar sin cuidado cuesta vidas") utilizado en la Segunda Guerra Mundial para prevenir que haya filtraciones de información sensible a través de Twitter, Facebook, de mensajes cortos o blogs.
Ambos vídeos terminan con el mensaje: "Quizá no sólo tus amigos y familiares lean tu Facebook. Piensa antes de tuitear, usar tu blog, cargar una foto, poner una etiqueta, mandar un mensaje, compartir".
Noticia completa en
datospersonales.org
Garantizar que una organización sea capaz de seguir funcionando tras una catástrofe natural o un ataque de gran envergadura es el objetivo de las políticas de continuidad de negocio, una cuestión que las compañías tienen cada vez más presente como asunto crucial y que está de rabiosa actualidad por su relación con sucesos como el de Sony, Fukushima o Lorca y con la recién aprobada 'Ley PIC'.
La continuidad de negocio no se puede abordar sino desde un enfoque integral. Ésta fue la principal conclusión a la que se llegó durante la
mesa redonda titulada “Continuidad Global”, una idea en la que coincidieron plenamente los cinco expertos invitados por RED SEGURIDAD y SEGURITECNIA
El próximo 29 de noviembre tendrá lugar en la Ciudad de las Artes y las Ciencias de Valencia la X Jornada Internacional de ISMS Forum, que lleva por título "Ciberdefensa y Ciberseguridad: La evolución de la amenaza frente a la protección de las infraestructuras críticas".
La inscripción es totalmente gratuita para los socios de ISMS Forum.
Interesante artículo de Rafael González para
CSO Spain
"BMW 360 Security Center virus es la más reciente captura de un virus de alto riesgo, el virus que infectó a una serie de BIOS (programa residente en el chip de la placa base), MBR (dispositivo de inicio principal) y los archivos del sistema operativo de Windows.
Volver a instalar el sistema operativo, independientemente de la computadora de la víctima , formatear el disco duro o reemplazar el disco duro no elimina completamente el virus. "
"La mayor parte de las compañías antivirus son reacias a desarrollar herramientas de limpieza de la BIOS por lo que la mejor opción pasa por reinstalar el software en el chip para eliminar la infección."
Noticia completa
traducida
INTECO-CERT, fiel a su labor informativa, publica semestralmente un
informe con las vulnerabilidades reportadas a NIST y traducidas al español. Por este motivo, acaba de ver la luz en «Informe de vulnerabilidades del primer semestre de 2011».
Asimismo, INTECO-CERT emite un boletín gratuito y personalizable de suscripción con información de vulnerabilidades en los productos y/o fabricantes que haya seleccionado previamente el usuario. El boletín tiene una periodicidad instantánea, se envía cuando aparece una nueva vulnerabilidad sobre ese producto, y también semanal, resumiendo las principales vulnerabilidades de la semana.
Publicación por parte del gobierno estadounidense
NIST sobre el uso de estándares y recomendaciones en prácticas en Cloud Computing.
El documento enlaza con una
recopilación de estándares adicional relacionada con este Roadmap y para profundizar en aspectos concretos.
Un webinar es una modalidad de formación ofrecida por
BSI gratuita. Se trata de una presentación multimedia que permite a los participantes escuchar al formador a través de una conferencia a través de su ordenador. Disponibles para registro de los interesados:
BS 25999-Continuidad de Negocio. Un caso practico de implantación: Patronato de la Fundación del Hospital Kings College.
ISO 20000-Servicios de Gestion de Tecnologías de la Información: Un caso practico Halliwells LLP Registrese aquí
ISO 27001-Implantación y gestión de la seguridad de la información.
El acuerdo de colaboración permitirá la celebración tanto de los cursos de preparación (como novedad en España) junto a los exámenes oficiales de calificación para ser un profesional reconocido por el
DRI a nivel internacional, además de la difusión de las actividades en formación y eventos que el Disaster Recovery Institute celebre a nivel internacional.
DRI es una organización sin ánimo de lucro con más de 8.000 profesionales certificados en 95 países lo que la convierte en la mayor organización internacional en formación y certificación de profesionales en el mundo de la continuidad de negocio (el número de profesionales certificados por el
DRI supera el total de profesionales del resto de organizaciones para este sector).
"Se trata de una obra muy específica de más de 700 páginas, que desarrolla todos los temas de interés para profundizar en Seguridad de la Información, presentándolo desde el modelo de capas TCP/IP y con un gran cúmulo de ejercicios, herramientas y prácticas.
Han tenido la amabilidad de participar en su revisión y escribir el prólogo y presentación: Arturo Ribagorda Garnacho y Jorge Ramió Aguirre, que son dos importantes referentes en Seguridad del ámbito Hispano.
El libro está disponible bajo licencia "Copyleft" para su libre descarga y difusión sin fines de lucro (ver términos de Licencia), y lo recomendamos especialmente para su uso en todo tipo de ámbito de docencia."
Noticia completa, descarga y contacto con su autor desde
darFE
Hay dos cuestiones en seguridad de la información que, a pesar de su limitada dedicación, abarcan todas las áreas para la protección de datos de la empresa, adquiriendo una importancia a tener en cuenta.
Una de ellas es la justificación de la inversión en seguridad. La otra cuestión es cómo medir la eficacia de las medidas de seguridad y, desde este punto, su gestión en la búsqueda de mejores resultados.
Artículo de
Carlos Ormella
Recientemente la República Checa publicó su estrategia en Ciberseguridad para el periodo 2011-2015.
Descarga del documento y noticias relacionadas desde
ENISA
"Jugamos muchas partidas aquí", admite el director de seguridad de Google, Eran Feigenbaum. "Parte de nuestro plan de recuperación ante desastres es asumir que lo peor ha pasado. En el escenario del año pasado, Google fue atacada por alienígenas y California desapareció del mapa. Nos preguntamos: ¿Qué hacemos? ¿Cómo podemos mantener funcionando nuestra infraestructura? "
Entrevista completa disponible en
Computerworld
El portal
rankmyhack.com, puesto online el mes pasado, rápidamente se convirtió en el sitio preferido por los hackers de todo el mundo, ya que les permite comparar y calificar la efectividad de sus embates.
Noticia completa en
b:secure
Diez vídeos elaborados por la empresa de seguridad informática Kroll Ontrack muestran qué tipo de prácticas conllevan una pérdida de la información.
Noticia completa con acceso a videos en:
CRYPTEX
De acuerdo a un estudio realizado por kaspersky, las ciber-amenazas son una de los tres mayores riegos a los que se enfrentan las corporaciones. Las empresas inglesas, las más preocupadas por la seguridad.
Los datos revelados por el estudio de Kaspersky se ven corroborados por múltiples informes similares. Un estudio de Fortinet revelaba que solo un 60% de las empresas revisa sus criterios de seguridad anualmente, mientras que otro estudio, esta vez realizado por Iron Mountain, destacaba que el 99% de las brechas de seguridad que se producen en la empresa en el acceso a datos responden a fallos internos.
Noticia completa en
IDG
Formatear el disco duro o “vaciar la papelera de reciclaje” no es suficiente para eliminar permanentemente los datos almacenados en los equipos informáticos, ya que estos métodos no garantizan el borrado irreversible de la información almacenada y además existen programas informáticos que permiten recuperar archivos que erróneamente se consideran borrados.
Un estudio de British Telecom sobre una muestra de más 300 discos duros comprados en la página de subastas eBay, obtuvo como resultado que más el 34% de los discos duros conservaban información personal y un 36% eran datos financieros. Algo análogo sucede con los teléfonos móviles de segunda mano, especialmente los smartphones.
Para profundizar sobre los pros y contras de estos métodos de borrado y sobre las formas de almacenamiento de información más seguras, los métodos de recuperación de información y la legislación aplicable,
INTECO recomienda realizar un análisis previo de necesidades y seguir una serie de pautas recogidas en la
Guía sobre almacenamiento y borrado seguro de la información elaborada por el Observatorio de la Seguridad de la Información.
También existe ayuda adicional relevante en la iniciativa
iso27002.es
"O en otras palabras… ¿puede la voz identificar a una persona física por sí sola?
Curioso asunto, este de la voz."
Artículo de José Carlos Moratilla del departamento jurídico de Audea
El valor en los pagos no se basará tanto en la moneda tangible sino además en el valor digital y de los datos. Y eso significa una mayor necesidad de seguridad y gestión de datos.
Kosta Peric, director de innovación de SWIFT (Society for Worldwide Interbank Financial Telecommunication) declara para
Bankinfosecurity que las instituciones financieras tienen la oportunidad destacar en estos dos ámbitos cuando los sean más digitales.
Debido al rápido crecimiento de las actividades relacionadas con los eventos, formación, congresos y foros relacionados con la seguridad de la información renovamos nuestra
sección de "eventos" mediante un listado de las referencias más activas en la organización de eventos con un link directo a sus calendarios para que los interesados puedan acceder de modo más directo a los eventos que se desarrollen en las regiones de interés particular.
Si eres un organizador de eventos y echas en falta tu entidad en el listado no dudes en ponerte en
contacto y notificar tu interés en dar visibilidad a tus actividades.
Así mismo, se han actualizado diversas secciones de nuestra web con información relevante y en base a las últimas noticias y evolución de los estándares de la serie 27000 así como otros relacionados.
"Google Chrome es uno de los navegadores web más seguros que tiene múltiples funciones y proporciona seguridad para la navegación en línea, sin embargo no se debe dejar la seguridad en manos del navegador y debe aplicar algunas extensiones adicionales o add-ons que mejoren su seguridad en línea y proteger su información de los hackers."
Artículo completo y noticias de interés en
ehacking
La caída de los centros de datos de Microsoft y Amazon –baluartes del cloud computing-, afectan al servicio de clientes europeos.
Según varios informes, se vieron afectados los usuarios de la suite de productividad on-line de Microsoft y de la plataforma de cloud computing Amazon EC2.
Noticia completa:
DataCenter Dynamics
La
evaluación realizada por Echelon One y Venafi revela una epidemia de las peores prácticas de seguridad, con la mayoría de las organizaciones que no se adhieren a simples normas de protección de datos y, en muchos casos, son sumamente inconscientes de las prácticas de seguridad actualmente en vigor.
El sesenta por ciento de las organizaciones evaluadas emplean a 5.000 o más empleados y respondieron de todos los sectores industriales.
Junto al resumen de resultados con las 5 principales cuestiones y el informe completo, se dispone de un formulario de autoevaluación para comprobar el estado de manera independiente por las empresas interesadas.
El navegador web es sin duda el componente más crítico en nuestra infraestructura de seguridad de la información.
Se ha convertido en el canal a través del cual la mayor parte de nuestra información pasa.
ENISA aprovecha una oportunidad única para hacer recomendaciones detalladas para la mejora de la seguridad en los navegadores antes de que se pierda la opción en los próximos años.
Las normas que rigen el navegador están experimentando actualmente una importante actualización. Esto incluye HTML5, la comunicación con CORS y acceso a datos locales como la geolocalización. Un total de 51 amenazas de seguridad y los problemas
se identifican y detallan en este informe.
Una investigación a cargo de la firma de seguridad McAfee descubrió que durante cinco años se ha llevado a cabo la operación de ciberespionaje más grande de a historia, afectando a más de 14 naciones y 70 empresas, tanto públicas como privadas.
De
acuerdo con el reporte, la operación fue bautizada como Operation Shady RAT (Herramienta de Acceso Remoto, por sus siglas en inglés) y logró robar información a los gobiernos de Estados Unidos, Canadá, Corea del Sur, Vietnam, Taiwan, India, entre otros.
Fuente de la noticia:
b:secure
INTECO es el único organismo que dispone de un acuerdo de colaboración con el National Institute of Standards and Technology (NIST), organismo perteneciente al Departamento Homeland Security del Gobierno estadounidense.
Este acuerdo permite proveer a los ciudadanos de habla hispana de una base de conocimiento alimentada por INTECO a un ritmo diario de entre 15 y 20 vulnerabilidades al día, información que sirve para aumentar considerablemente la protección de los sistemas y redes frente a nuevas amenazas.
El servicio de gestión de vulnerabilidades de INTECO que recoge todas estas funcionalidades es totalmente gratuito y es posible suscribirse en
http://cert.inteco.es/Actualidad/Suscripciones/.
Ha sido publicada la norma UNE-EN ISO/IEC 17021:2011 -
Requisitos para las entidades que realizan auditorías y certificación de sistemas de gestión.
Esta revisión de la ISO/IEC 17021:2006, incorpora nuevos requisitos sobre la competencia de los auditores y en relación con la realización de auditorías de sistemas de gestión.
Las entidades de certificación de sistemas de gestión tienen dos años para adaptarse y aplicar estos requisitos, de acuerdo a lo indicado por la asociación internacional de entidades de acreditación (IAF- International Accreditation Forum).
Fuente de la información:
Asociación Española para la Calidad
El segundo estudio anual sobre el coste de los delitos Cibernéticos reveló que el coste promedio anual por los delitos informáticos efectuados mediante una muestra de referencia de varias organizaciones fue de 5,9 millones de dólares al año, con un rango desde 1,5 hasta 36,5 millones de dólares al año por cada organización. Esto representa un aumento del 56 por ciento respecto a la media del coste reportado en el estudio inaugural publicado en julio de 2010.
El estudio desarrollado por HP y el Ponemon Institute desvela asimismo y entre otros datos de interés que aquellas organizaciones que han desplegado análisis de riesgos para la seguridad de la información y gestión de eventos experiementan un ahorro de casi el 25 por ciento, como resultado de la mayor capacidad para detectar rápidamente y contener los delitos cibernéticos. Como resultado, estas organizaciones experimentaron un precio muy inferior al de la recuperación, detección y contención que aquellas organizaciones que no han desplegado soluciones de este tipo.
Por primera vez gobiernos europeos, así como empresas internacionales y agencias policiales como Interpol y Europol han formado una alianza para crear un organismo que combata el cibercrimen globalmente.
El nombre de este organismo es "
Alianza Internacional de Protección y Seguridad Cibernética" (ICSPA, por sus siglas en inglés) y se encargará de mejorar la aplicación de la ley internacional, así como de proteger a las empresas y sus clientes de amenazas informáticas. El financiamiento para ICSPA provendrá de los gobiernos y de la misma Unión Europea.
Noticia completa en
b:secure
La Presidencia del Consejo de Ministros del Perú (PCM) mediante la
*Resolución Ministerial N° 197-2011-PCM,* publicada el día 21.07.2011 en el* Diario Oficial El Peruano*, ha establecido que *50 Organismos e Instituciones Públicas del Perú* implementen el *Plan de Seguridad de la Información* indicado en la norma NTP ISO/IEC 17799 (ahora ISO 27002) - Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, antes del 31 de Diciembre de 2012.
Entre los 50 elegidos, se listan del Poder Legislativo, Poder Judicial, Organismos Autónomos y Poder Ejecutivo.
Fuente noticia:
Roberto Puyó - google.groups
Bureau Veritas Certification
ha obtenido la acreditación para la certificación de Sistemas de Gestión de la Seguridad de la Información (SGSI) conforme a la Norma UNE-EN ISO/IEC 27001:2006 por la Entidad Nacional de Acreditación (ENAC).
Informe mensual de
securelist con un resumen de la evolución de la actividad relevante a la seguridad de la información y novedades legales destacables, entre otros.
Puestos a disposición por
Logical security la formacion consta de videos en los que se conocer aspectos relacionados con:
1. Ethical Hacking and Penetration Testing
2. Footprinting and Reconnaissance
3. TCP/IP Basics and Scanning
4. Enumeration and Verification
5. Hacking and Defending Wireless/Modems
6. Hacking and Defending Web Servers
7. Hacking and Defending Web Applications
8. Sniffers and Session Hijacking
9. Hacking and Defending Windows Systems
10. Hacking and Defending Unix Systems
11. Rootkits, Backdoors, Trojans and Tunnels
12. Denial of Service and Botnets
13. Automated Penetration Testing Tools
14. Intrusion Detection Systems
15. Firewalls
16. Honeypots and Honeynets
17. Ethics and Legal Issues
La nueva versión publicada este año de la norma ISO/IEC 20000-1 incorpora significativas aclaraciones, especialmente en relación a los procesos desarrollados para la seguridad de la información y continuidad del negocio en la gestión y prestación de los servicios.
Los interesados en conocer la evolución de los cambios disponen de un
interesante artículo que condensa en una tabla los cambios a lo largo de todas las cláusulas del estándar y en base al trabajo realizado por
Sally Smoczynski.
La
lista Top 25 es una herramienta de ayuda para la formación y concienciación a programadores de software para evitar los tipos de vulnerabilidades que suponen una plaga para la industria, mediante la identificación y prevención de todos los errores más comunes que ocurren antes de que el software sea incluso entregado.
Herramientas similares desde los contactos de especial interés de
iso27002.es y
control de procesamiento interno
Continuando con la línea de videos y tutoriales en seguridad de la información
la consultora ISQ pone a disposición de los interesados videos de ejemplo y material complementario para cubrir las diferentes fases de implantación de un SGSI.
Entre las mayores dificultades en la implantación y mantenimiento de la norma ISO/ISO 27001 residen las relacionadas con la gestión del riesgo y la selección e implantación de controles.
P4R4RIESGO presenta un soporte inspirado del Monopoly para sensibilizar a directivos y personal en la seguridad de la información de la empresa y para comprender la aplicación de las normas de la serie 27000.
Es una iniciativa original que se funda específicamente en las normas ISO 27002 y ISO 27005 y con el fin de facilitar su comprensión a todos se presentan un conjunto de 22 escenarios de riesgo que pueden atenuar los riesgos de negocio mediante la emulación y los intercambios de opiniones entre los participantes.
Información completa en español
Recientemente se ha llegado a un acuerdo marco de colaboración, entre Willis, GTD Sistemas de Seguridad, SGS y Elecnor Seguridad, para la explotación y producción de las soluciones necesarias en la aplicación y cumplimiento de la recientemente aprobada Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
Fuente de la noticia:
Boletín Dintel
El estándar internacional
BS ISO/IEC 27005, que proporciona una guía de desarrollo de metodologías para la gestión del riesgo en relación a la seguridad de la información, ha sido revisada.
BS ISO/IEC 27005:2011 está ahora alineada con el estándar internacional para la gestión del riesgo
ISO 31000.
GesConsultor ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión.
GESCONSULTOR es una plataforma gestionada por
GESDATOS Software, S.L. y al que le damos la bienvenida como nuevo patrocinador para el mantenimiento de las actividades y desarrollo de contenidos nuevos y de libre acceso para el portal
iso27002.es
Con el patrocinio de
GESCONSULTOR se ponen a disposición 16 soluciones relacionadas con el
Anexo 5.1.1 - Documento de política de seguridad.
GESCONSULTOR es una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión.
Así lo pone de manifiesto un
estudio realizado por Informáticas 64 donde analizan el uso del iPad en entornos corporativos con el cumplimiento de la LOPD y del Esquema Nacional de Seguridad.
"Este tipo de ciberataques, normalmente está relacionadas a vulnerabilidades de día cero, y en los casos más reciente se ha hablado de la posible intervención o patrocinio de gobiernos detrás de la operación.
La razón no es tan difícil de creer, pues este tipo de ataques requieren de tiempo, dinero, recursos humanos, además de un alto grado de organización o coordinación para su ejecución. Stuxnet, en Julio del 2010, y Night Dragón (en el 2011) son sucesos adicionales catalogados igualmente como APT."
Artículo completo con videos de desarrollo del ataque en
b:secure
Microsoft Ibérica ha publicado el manual
"Esquema Nacional de Seguridad con Microsoft", en el que INTECO ha colaborado con la aportación de un prólogo firmado por su director general, Víctor Izquierdo.
El Esquema Nacional de Seguridad, materializado en el Real Decreto 3/2010, tiene como objetivo fundamental crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información que se maneja y de los servicios electrónicos que se prestan, que permita a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Tecnofor e IDG organizan el
Congreso Nacional de la CMDB, un tema alrededor de ITIL, ISO20000, ISO27000, SAM y relacionados.
Congreso Nacional CMDB
Tue, Jun 28
Hotel EuroStars, Madrid, COMUNIDAD DE MADRID, ES
Keywords: cmdb, itil, iso20000, sam, iso19770, cobit
La Base de Datos de Gestión de la Configuración es una fuente esencial de apoyo de información para una organización de Infraestructura de TI, apoyando todo el Servicio de Ciclo de Vida en un contexto de ITIL ®.
Con el creciente interés en ISO/IEC 15504 desde iso27000.es recuperamos el enlace a este interesante documento que desarrolla, mediante el uso de herramientas de calidad tales como ISO/IEC 15504, avances en gestión de seguridad de la información y múltiples aplicaciones en la definición de una política de seguridad basada en procesos, en aspectos legales, normalización, formación, la evaluación comparativa, y, por supuesto, la evaluación y certificación.
El
documento se presento en la conferencia SPICE 2006 pero matiene información que sigue siendo de utilidad, especialmente a las organizaciones que busquen implantar y mantener varios sistemas de gestión basados en el ciclo PDCA.
ENISA ha publicado "
National Risk Management Preparedness" como resultado de las conclusiones de un grupo de trabajo en el que han participado expertos y entidades relevantes en la seguridad de la información para la protección de los gobiernos de los distintos países que forman la Unión Europea.
El documento dirigido a entidades gubernamentales de los distintos países europeos es marco de trabajo eminentemente práctico y que tiene carácter de guía práctica de implantación de procesos en base a flujos, modelos de cuestionarios, evaluaciones de riesgos y diversas actividades que se presentan de modo organizado según modelos de procesos y que implica el análisis y consideración de las diversas partes (públicas y privadas) relevantes para la mejor gestión de escenarios adversos que pudieran afectar a un país o inluso a nivel intracomunitario europeo.
Aquellas organizaciones que ya hayan implantado un SGSI según ISO/IEC 27001 identificarán claramente en el documento desarrollado por ENISA referencias directas a este estándar internacional y que este caso llega al nivel de protección recomendado para gobiernos de los paises y de sus infraestructuras críticas.
Por tanto, la alineación de las actividades de prestación de productos y servicios de dichas empresas en cuanto a las necesidades y requisitos actuales y futuros por parte de los gobiernos e instituciones públicas otorga nuevos argumentos de peso y de ventaja competitiva.
La publicación de este documento consolida la implantación y certificación de ISO/IEC 27001 como una obligación actual de cualquier organización que actúe en los mercados europeos y sobrepasando la sensibilidad individual y/o cumplimiento legal de protección de datos de las empresas como argumentos principales en los primeros años de vida de la norma en muchos países europeos.
La empresa
Coomsnet ha colgado en youtube un video de 6 minutos de duración y de excelente calidad en el que se revisa el estado de la seguridad desde 1971 y con una proyección hasta 2020.
Estupendo material para sesiones de introducción a la concienciación de empleados y plantilla directiva en general.
El CSA proporciona un marco de controles que proporciona una comprensión detallada de los conceptos de seguridad y los principios que están alineados con las directrices Cloud Security Alliance en 13 dominios.
Los fundamentos de
matriz de controles del CSA aportan una relación personalizada con otras normas de seguridad aceptadas por la industria, regulaciones y marcos de control, tales como la ISO 27001/27002, ISACA COBIT, PCI, y el NIST, y aumentar o proporcionar control interno de certificados en SAS 70 presentados por los proveedores de nube.
LA CSA inicialmente colaborará en dos proyectos con el SC 27.
El primero es una nueva propuesta para la seguridad de la cloud, que refuerza los trabajos anteriormente contemplados en el Código de Prácticas para Sistemas de Gestión de Seguridad de la Información (ISMS) fijado por el estándar internacional ISO/IEC 27002.
El propósito es proporcionar orientación sobre los controles de seguridad de la información y su uso en los servicios de cloud computing basados en controles de seguridad ISMS.
El otro proyecto está relacionado con la seguridad de la información en las relaciones con proveedores.
Acceso a noticia completa
El
Índice de Seguridad Cibernética es una medida basada en el sentimiento del estado riesgo para las infraestructuras de información corporativas, industriales y gubernamentales en base a un espectro de amenazas relacionadas con la seguridad cibernética.
El
Índice de Ciberseguridad agrega las opiniones de profesionales de la industria de la seguridad información expresada mediante una encuesta mensual y que toma forma de índice de referencia.
El pasado año se cumplieron 20 años de actividad del subcomite ISO/IEC JTC1/SC27 responsable de los estándares de seguridad de la información y TI.
Dentro de la celebración se generó el
SC27 Platinum Book que recoge la activad pasada así como la prevista para el futuro.
El acto tendrá lugar el 18 de mayo en Madrid, en el Hotel Ritz, y el 19 de mayo en Barcelona, en el Hotel Princesa Sofía. Se tratarán temas como el desarrollo, gestión y prueba de la eficacia de un plan de continuidad de negocio y la gestión de los recursos humanos ante incidentes o desastres.
Se abordarán nuevos casos prácticos, certificaciones y sectores en los que la Continuidad de Negocio se ha convertido en una necesidad.
Colaboradores: Astrazeneca. La Caixa, CTTI de la Generalitat de Cataluña, Dimetronic, DRII de Nueva York, Ferrovial y Repsol.
ÚLTIMAS PLAZAS Y AGENDA DISPONIBLE ONLINE
"Muchos internautas se preguntarán cómo es posible que un atacante pueda tener acceso a información sensible de una empresa, que no está publicada en Internet, a través de su página web, por ejemplo su base de datos o modificar los valores mostrados en ella. La respuesta técnica es mucho más sencilla de lo que se puede suponer a priori."
Acceso directo y gratuito a todas los vídeos, guiones, diapositivas y ejercicios desde
intypedia
El reciente corte sufrido por Amazon ha suscitado dudas sobre la fiabilidad de los servicios prestados desde la nube. Si Amazon, con su alcance mundial, no puede hacerlo bien, ¿cómo esperan los CIOs que otros operadores sí puedan hacer frente?
Artículo de
Jenny Williams
Menos del 50% del software desarrollado por terceros es testado en términos de calidad y seguridad.
El informe "Software Integrity Risk Report," está fundamentado en una encuesta realizada a 336 personas de EEUU y Europa que toman parte en proyectos de desarrollo de software.
Acceso al informe desde Coverity, empresa responsable del proceso de encuestación.
El FBI advierte de que las empresas pequeñas y medianas son el blanco de ataques que hasta ahora ha estafado de las cuentas bancarias de las empresas millones de dólares desviando el dinero a otras empresas en China.
Como es común también en grandes empresas, el ataque comenzó con un correo electrónico de phishing o la visita de un sitio web malicioso. Una vez que un usuario inicia la acción es incapaz de llegar a su sitio web de banca y, en algunos casos, es desviado a una página "en mantenimiento".
Ahí es cuando cuenta de banco de la víctima es asaltada, en primer lugar mediante el envío de dinero a cuentas en bancos comerciales en Nueva York u otras ciudades, y en última instancia a una cuenta de compañías con sede en bancos económicos y comerciales de China.
Estas empresas suelen tener las cuentas en el Banco Agrícola de China, el Industrial and Commercial Bank de China, y el Banco de China.
Informe completo
disponible desde IC3 - Internet Crime Complaint Center
Entre otras razones, han contribuido al incremento de esta actividad delictiva tanto la crisis económica como el hecho de que cada vez más desempleados denuncian a sus ex empresas por usar software ilegal.
Noticia completa publicada en
Cibersur
Mucho se ha hablado estos días sobre qué datos de localización almacena un iPhone.
Sobre todo alrededor de la polémica en torno a la privacidad y sobre cómo, además, parece una práctica habitual en el resto de teléfonos y sistemas operativos para móviles de última generación.
Pero ¿cómo sé qué datos se guardan exactamente? ¿Cómo funciona?
Hispasec muestra cómo cualquier usuario (sin herramientas especiales) puede conocer a qué antenas se conectó su teléfono (normalmente cerca de donde se encuentra el terminal) desde que ejecuta iOS 4.
Esta guía del CPNI (Centro de Protección Nacional de Infraestructuras de UK) permite a los propietarios de este tipo de activos maximizar el retorno de su inversión en la gestión de sus ICSs (Industrial Control Systems).
El Pla TIC 2011-2014 aprobado, está definido en 16 objetivos, los cuales recogen los objetivos de la Universidad Politécnica de Catalunya y las acciones previstas en el ámbito de las tecnologías de la información y de la comunicación.
Establece la necesidad de proveer y mantener las infraestructuras y propone una evolución hacia modelos más eficientes, mediante tecnologías como la virtualización de servidores y ordenadores, cloud computing o les green IT.
Asimismo, el plan en el objetivo número 5, hace hincapié en la importancia de la seguridad informática y la sensibilización del personal.
Información completa y enlace en
esCERT
El propósito de la publicación especial 800-39 es proporcionar una guía para un programa integrado en toda la organización para la gestión de riesgos de la seguridad de la información en las operaciones de la organización (es decir, misión, funciones, imagen y reputación), en los activos de la organización, en los individuos, en relación a otras organizaciones y a la propia Nación como resultado de la operación y el uso de sistemas de información federales.
La publicación Especial 800-39 proporciona un enfoque estructurado pero flexible para la gestión de riesgo y que es intencionadamente amplio en su base de aplicación, con los detalles específicos de la evaluación, respuesta y seguimiento permanente de los riesgos con el apoyo proporcionado por otras normas NIST de seguridad y directrices.
La orientación sobre la gestión de riesgo descrita en este documento es complementaria y debe ser utilizado como parte de un programa más amplio de Gestión del Riego Empresarial (Enterprise Risk Management -ERM) y las prácticas descritas en la publicación especial 800-39 han tomado en consideración y están armonizadas con ISO/IEC 27001, ISO/IEC 27005, ISO/IEC 31000, ISO/IEC 31010 entre otros documentos NIST y referencias relevantes.
Descarga directa desde NIST en formato pdf
Una de las quejas más habituales de los profesionales en seguridad de la información es que su alta dirección no entiende o no se preocupa por la seguridad de la información.
Los profesionales en seguridad de la información lamentan la falta de apoyo, presupuesto, tiempo y recursos que desde la Dirección se dedica para proteger lo que se cita continuamente como "uno de los activos más valiosos de una organización - su información".
Interesante artículo del
último número de INSECURE en el que se plantean algunos consejos claves para cambiar esta situación.
ISMS Forum se complace en anunciar la apertura de la inscripción a la IX Jornada Internacional que se celebrará el próximo 26 de mayo en la espectacular Casa de América en Madrid, bajo el título "Amenazas, Compliance, Riesgos y Privacidad: A Global Approach". En esta cita se contrastarán distintas perspectivas, estrategias y regulaciones que están influyendo sobre el Gobierno de la Seguridad en el mundo, con especial atención a España y Latinoamérica.
Información completa, ponentes confirmados e inscripciones en la
página de la asociación.
La empresa consultora Aidcon Consulting, con experiencia ISO 27001 en 24 empresas implantadas y certificadas (y 20 más en implantación), anuncia la posibilidad, para empresas PYME del sector TIC, de participar en un proyecto agrupado, con subvención del Plan Avanza, que se iniciará a finales de 2011.
En el proyecto se incluye software AGGIL de análisis y gestión de riesgos y apoyo a la implantación y mantenimiento del SGSI.
Para más información contactar con la empresa en el email
contacto@aidcon.com."
Ganador de numerosos premios y revisiones independientes de productos, Cenzic, un proveedor de confianza de software, gestión de servicios y productos de seguridad en la nube, ayuda a las organizaciones a proteger sus sitios web contra ataques de hackers, sirviendo a organizaciones de todos los sectores.
El informe de estado de Cenzic se centra en la seguridad de aplicaciones Web identificando los defectos de seguridad en el nivel de aplicación web, donde más del 75 por ciento de los ataques de los piratas cibernéticos se producen.
El terremoto que impactó Japón registró 8.9 grados en la escala de Richter, 2 grados más que el sismo de 7.0 grados que azotó Haití en 2010, en aquel momento en el país americano se contabilizaron más de 150,000 muertos, es decir, 140,000 más que en la nación asiática.
Sobre este punto y en entrevista con
b:Secure, Enrique Corro gerente de ingeniería Norte de Latinoamérica de VMware, denunció que en América Latina la situación es completamente distinta a Japón, indicando que las compañías y los gobiernos de la región consideran los métodos de prevención como soluciones costosas y fuera de su alcance.
Un estudio a cargo del Centro
de Estrategias y Estudios Internacionales (CSIS, por sus siglas en inglés) reveló que durante 2010 las firmas de infraestructura experimentaron un incremento de 85% de los ataques de intrusión en sus redes respecto a los resultados obtenidos en 2009.
De acuerdo con el reporte, la causa principal por la cual los ataques contra compañías petroleras, hidráulicas y eléctricas han aumentado se debe a la adquisición desmesurada de tecnología.
Artículo completo en
b:secure
El esquema anterior proporcionaba lineamientos de cómo aplicar los requisitos de la norma ISO 9001 en IT y en el desarrollo de software, y también ofrecía un marco formal para la formación, calificación y certificación de auditores de TI de tercera parte.
El
nuevo esquema TickITplus se basa en el anterior, pero introduce un modelo de procesos mejorado para facilitar la implementación de sistemas de gestión más eficientes y la opción de incorporar normas de sistemas de gestión adicionales, tales como la ISO/IEC 27001.
Sin embargo, el cambio más importante ha sido la introducción de un sistema con niveles, según la norma ISO/IEC 15504-2, la norma que describe los requisitos para la evaluación de los procesos en el sector de TI. El nuevo esquema introduce cinco niveles que describen la madurez y capacidad de los sistemas de las organizaciones.
Noticia completa en
INform
Los próximos 18 de Mayo en Madrid y 19 de Mayo en Barcelona, BSI Iberia celebra su "IV Conferencia Internacional de Continuidad de Negocio - BS 25999", donde se abordarán temas relacionados con el desarrollo, gestión y prueba de la eficacia de un plan de continuidad de negocio y la gestión y el papel de los recursos humanos de las organizaciones ante incidentes o desastres.
Se tratarán también nuevos casos prácticos de organizaciones que han implantado y certificado su sistema de gestión de continuidad de negocio, así como nuevos sectores en los que este tema se ha convertido en una necesidad.
Mención especial se hará también al Proyecto de Ley publicado el pasado 23 de marzo por el que se establecen las medidas para la protección de las infraestructuras críticas en los denominados "12 sectores estratégicos
La asistencia es gratuita,
previa inscripción. Plazas limitadas.
La formación oficial BCI prevista para el 25 al 29 de Abril en Madrid (Paseo de la Castellana, 182) consiste de 5 módulos de un día de duración por cada uno de ellos:
- BCM Principios: Política, programa de gestión y cultura
- BCM Análisis: Entendiendo la Organización
- BCM Diseño: Determinación de estrategias BCM más adecuadas
- BCM Prácticas: Desarrollo e Implantación de la respuesta BCM
- BCM Prácticas: Ejecutar, Mantener y Revisar el BCM
Los módulos cubren la totalidad de los contenidos de las buenas prácticas del BCI y está impartido por Joanne Gagnon (Fundadora y presidente del capítulo español del Business Continuity Institute (BCI)
en España)
Asistencia, inscripciones e información adicional ya disponibles desde: (91) 353 25 00
"La última moda en aplicaciones móviles se llama
WhatsApp, una App que cada vez se hace más popular y está redefiniendo el sistema de mensajería SMS. ¿Que qué nos ofrece?"
Análisis de seguridad en
Securitybydefault
Lo usuarios permanecen ajenos a los múltiples riesgos serios asociados a dispositivos de almacenamiento de datos personales y de transmisión como iPhone, Blackberry y dispositivos Android, según revela un estudio de
The Ponemon Institute.
El
estándar BS ISO / IEC 27031:2011 "Tecnología de la información. Técnicas de seguridad. Directrices para la información y la disponibilidad de la tecnología de comunicaciones para la continuidad del negocio" sustituye al estándar BS 25777 y describe los conceptos y principios para la preparación de la continuidad del negocio en actividades relacionadas con la tecnologías de la información y las comunicaciones(TIC) para mejorar la capacidad de hacer frente a situaciones de estrés.
¿Quién se beneficiará del uso de BS ISO 27031?
- Responsables y consultores de Gestión de la Continuidad de Negocio
- Administradores TI
- CIO
- La alta dirección.
La norma describe los conceptos y principios de la preparación de las TIC para la continuidad del negocio, y proporciona un marco de métodos y procesos para identificar y especificar todos los aspectos.
La Guía sobre seguridad y privacidad de las herramientas de geolocalización se publica por INTECO con el objetivo de acercar al lector a este campo: en qué consiste la geolocalización, cuáles son sus elementos característicos, en qué tecnologías se apoya o cuáles son sus usos y aplicaciones principales.
La guía aborda los riesgos de seguridad y privacidad existentes en la generación, transmisión y recepción de datos de georreferenciación.
Por último, se proporcionan una serie de recomendaciones acerca de la configuración de estas herramientas, que el usuario puede adoptar para asegurar el uso responsable y seguro de la información vinculada a la localización.
Los objetivos del grupo de trabajo del ISSA-5173 han sido:
* Elaborar un proyecto de norma con la consulta a Pymes y a comunidades de la seguridad de la información
* Producir un estándar (libre) en un lenguaje fácil de entender para los propietarios de una PYME y que muy probablemente tendrán poca o ninguna experiencia en TI
* Proporcionar documentos de mejores prácticas en varias áreas que son aplicables a la escala de la PYME
* Localizar amenazas y cuestiones de seguridad actuales aplicables a la PYME
El estándar ha sido desarrollado por 30 miembros de ISSA (Information Systems Security Association) y está disponible para
consulta y descarga directa desde la propia
página del grupo de trabajo de la asociación.
"Las tormentas solares alcanzarán su punto máximo en un año o dos, con una fuerza que no hemos visto desde hace mucho, mucho tiempo; mucho antes de Internet, GPS, teléfonos móviles y las redes modernas de energía. No estaban en 1859, cuando la última gran tormenta solar tuvo lugar, pero sí logró impactar en los servicios del telégrafo.
Lloyds ha publicado recientemente un
informe de riesgo 360 para comprender este tema. Es una lectura esencial para cualquiera que trabaje en la seguridad, la continuidad del negocio o la gestión de riesgos."
Comentarios del blog de
David Lacey
"Hasta el momento NTT es la única empresa que ha informado a través de un comunicado que sus conexiones IP-VPN se vieron afectadas por el movimiento telúrico. La empresa reveló que era imposible indicar en cuánto tiempo sería recuperado el servicio.
Las fallas en las redes no son la única preocupación que tienen las empresas con servidores en Tokio. Las réplicas no han cesado desde que se registró el sismo, situación que mantiene en riesgo a la ciudad asiática."
Noticia completa en
b:secure
"Como aspectos de "alerta", se han observado además las siguientes actitudes reacias a la adecuación del ENS por parte de la Administración Pública:
■ La mayoría de administraciones públicas, no parece que tenga la menor intención de adecuarse, salvo los ministerios.
■ Todas se han acogido a la prorroga de 3 años.
■ Ninguna ha pasado los controles marcados por el Esquema Nacional de Seguridad"
Noticia completa en
AUDEA
El informe que acaba de publicar INTECO-CERT y que se puede
descargar desde la web, comienza con el análisis, visión y clasificación de estos entornos, para finalizar con el análisis de los principales riesgos y amenazas detectados, entre los que se encuentran la seguridad de los datos, la identificación y el control de acceso, el cumplimiento legal y normativo, la complejidad de los servicios o la disponibilidad y recuperación
En el quehacer diario de la Administración Pública Estatal se genera información valiosa que requiere de una gestión eficiente con el fin de salvaguardar su confidencialidad, integridad y disponibilidad.
Dada la diversidad de los procesos y estructura de la Administración Pública Estatal, y por consecuencia, de sus requerimientos de seguridad de la información, no basta una serie de recomendaciones o mejores prácticas en esta materia, se requiere un "Sistema de Gestión de Seguridad de la Información" (SGSI) capaz de adaptarse a las necesidades específicas y a los cambios dinámicos de cada Dependencia y Entidad.
Para ello, el Comité de Tecnologías de la Información y Telecomunicaciones del Gobierno del Estado de Guanajuato, con fundamento en el artículo 7 del Acuerdo Gubernativo número 87, publicado en el Periódico Oficial del Gobierno del Estado número 121, fechado el 29 de julio de 2008, creó un grupo de trabajo con la finalidad de definir un SGSI que servirá de modelo para que cada Dependencia y Entidad desarrolle e implemente su propio sistema de seguridad.
Por lo anteriormente expuesto y con fundamento en las disposiciones legales previamente invocadas, este órgano colegiado ha tenido a bien expedir
los siguientes lineamientos.
Como en los años anteriores, dentro del
PLAN AVANZA 2 también se incluyen entre los proyectos subvencionables la implantación y certificación de diversas normas de calidad en empresas TIC tales como:
· ISO 27001 (Seguridad de la Información)
· ISO 20000 (Gestión de Servicios TI)
· SPICE o ISO 15504 (niveles 2 a 5)
· CMMI (niveles 2 a 5)
Los proyectos deberán involucrar a un conjunto de hasta 20 PYME, que estarán identificadas en la memoria aportada junto a la solicitud.
Los proyectos presentados deberán incluir la realización, entre otras, de las siguientes tareas: Diagnóstico previo de la situación de la calidad del software, gestión del servicio TI o gestión de la seguridad de la información en cada una de las PYME interesadas, la definición de los programas de mejora a llevar a cabo a fin de obtener la certificación correspondiente, la implantación de los procesos de mejora previos a la obtención de la certificación y la propia obtención de ésta.
AGGIL facilita la integración de sistemas ISO mediante funciones que soportan los aspectos comunes de las normas (todo lo relacionado con el ciclo de mejora continua PDCA). Los módulos especializados completan las necesidades de cada sistema de gestión, destacando el módulo ISO 27001 (SGSI, sistema de gestión de la seguridad de la información).
Según el ministro francés de Industria, Eric Besson, el país está en medio de una "guerra económica", con la amenaza del robo de propiedad intelectual contra las empresas en crecimiento.
Le dijo a una emisora de radio francesa que es probable que se produzca un aumento de asuntos relacionados con el espionaje corporativo y el robo de datos en los próximos años.
El incidente Renault sigue los mismos problemas experimentados por General Motors y Ford, que experimentaron el robo de propiedad intelectual en beneficio de sus competidores y con el coste de dinero.
Noticia completa en
BSI Shop
Próximas citas:
14 de Abril:
Sheraton Buenos Aires Hotel, Argentina
21 de Junio:
Feria de Madrid - IFEMA, España
DatacenterDynamics es un proveedor de servicios de información B2B desde el núcleo de la organización de una serie única de eventos en 40 localizaciones a nivel internacional y adaptados específicamente para ofrecer un mayor conocimiento y oportunidades de contacto a los profesionales del diseño, construcción y operación de centros de procesamiento de datos.
ESIS es un software de gestión opensource que trae un proceso integrado de seguridad empresarial. ESIS dispone de módulos independientes pero integradas para cubrir los riesgos de los procesos de seguridad y de TI.
Soporta:
- ISO 27001, 27004, 27005, 38500, 31000, 19011
- Gestión de Amenazas y Vulnerabilidades
- Auditorías y gestión de controles
- Registro de Riesgos
- Gestión de Riesgos
- Consolidación de Métricas de seguridad e indicadores
La publicación en el
Boletín Oficial del Estado da lugar en la disposición final quincuagésima sexta de Ley de Economía sostenible a cambios sustanciales en los artículos 43, 44, 45, 46 y 49 del título VII de la LOPD.
Hay muchas opiniones acerca de lo que implica la gestión de riesgos, como debe ser aplicada y lo que puede lograr. En 2009 la Organización Internacional de Normalización (ISO) publicó ISO 31000 que trata de responder a estas preguntas.
Esta guía es el resultado del trabajo de un equipo procedente de las entidades de gestión de riesgo principales del Reino Unido - la Asociación de Administradores de Riesgos y Seguros (AIRMIC), la Asociación para la gestión del riesgo en el sector público (ALARM) y el Instituto de Gestión de Riesgos (IRM) y está destinada a ser aplicable a todo tipo de organizaciones.
incluye un breve comentario sobre la norma ISO 31000, así como proporcionar información adicional sobre la aplicación exitosa de la gestión del riesgo. Es importante destacar que esta guía reconoce que el riesgo tiene tanto un lado positivo y negativo.
"La idea del
Norton Cybercrime Index es permitirle al usuario conocer cuál es el nivel de riesgo que enfrenta al conectarse a internet, muy similar a las herramientas que utilizan los inversionistas para conocer el estado de los mercados bursátiles", explica la compañía.
El objetivo de
este documento de la comunidad AR de ENISA de la que
iso27000.es es miembro es ofrecer información en torno a la sensibilización sobre la seguridad de la información en la forma de una serie de plantillas de un cuestionario y está dirigido a las organizaciones que desean sensibilizar sobre la seguridad de la información entre sus grupos destinatarios.
Incluye cuestionarios que no deberían considerarse exámenes completos para conocer el nivel de sensibilización y el grado de conocimiento de las personas. El objetivo es por tanto ayudar a la persona que responde a tener una idea de su nivel de sensibilización y, en el mejor de los casos, ofrecerle una herramienta para despertar su interés sobre los valores y los riesgos de utilizar ordenadores y servicios en línea en Internet.
Las plantillas pueden utilizarse bien impresas con una hoja de respuestas o bien como un cuestionario en la red. Cada cuestionario tiene una introducción que deberá guardarse o, si se cuelga en Internet, deberá incluirse en la misma página que las preguntas.
Añadimos esta solución entre las ya incluidas en nuestro apartado
A.8.2.2 para la capacitación y formación del personal
"
Estos son algunos sonidos típicos que escuchamos en nuestro laboratorio de recuperación de datos. Si el disco duro hace ruidos como estos y que todavía son capaces de acceder a sus archivos - Copia de seguridad de inmediato.
Para escuchar el sonido simplemente haga clic en el botón de reproducción. Haga clic en el fabricante de la unidad al lado del botón de sonido para obtener más información acerca de los problemas comunes que experimentan estos discos."
Referencia a la noticia y comentarios adicionales en
kriptópolis
Los smartphones, el nuevo objetivo de las mafias del fraude online por la escasa concienciación de los usuarios y la gran cantidad de información personal y confidencial, principales motivaciones de las mafias para este nuevo tipo de ataques.
El CNCCS te proporciona una
guía de buenas prácticas para proteger tu smarthphone y que añadimos a las posibles soluciones en nuestra sección
A.9.2.5 relativa a la seguridad de equipos fuera de los locales de la Organización según ISO 27002 y en
A 11.7.1 para el control en la movilidad de equipos informáticos.
SAS 70 será sustituido por una nueva norma certificable para informar sobre la organización de los servicios.
Statement on Standards for Attestation Engagements (SSAE) nº16 para el informe sobre los controles en el servicio de una organización fue emitida por el Consejo de Normas de Auditoría del Instituto Americano de Contadores Públicos Certificados (AICPA) en Abril de 2010 y reemplaza efectivamente SAS 70 a partir del 15 de junio de 2011.
SAS70. com dipone de información completa de todas estas novedades
Con el reto de concienciar a los ciudadanos y empresas sobre la eficacia, comodidad, inmediatez y, sobre todo, seguridad de realizar los trámites comerciales de manera electrónica, se ha desarrollado y liberado como software libre esta herramienta de firma electrónica.
La herramienta, que se ejecuta en el PC del usuario, acepta una gama muy variada de formatos de firma electrónica, además de ser compatible con diversos sistemas operativos y navegadores web.
La herramienta está disponible para su descarga en
la forja del Centro de Transferencia de Tecnología. Es utilizada por la mayoría de las Administraciones públicas españolas en los servicios públicos que ofrecen por Internet.
Del
próximo 21 al 31 de marzo se impartirá en Madrid y el objetivo de este curso es la formación y especialización de profesionales en las metodologías, estrategias, estándares y las técnicas relacionadas con el Gobierno de la Seguridad de la Información, de forma que adquieran la capacidad de definir, desarrollar e implantar un plan estratégico de Seguridad de la Información, dentro de cualquier organización.
La duración del curso es de 32 horas, repartidas en 8 clases, de lunes a jueves, entre las 17:00 y las 21:00 horas.
"El auge de este modelo de servicios y las inversiones que actualmente están haciendo las empresas, tanto como proveedoras como usuarias, hace que seamos capaces de responder a los retos jurídicos que nos plantea.
En este evento, trataremos de dar respuesta a preguntas tales como:
-¿Es seguro el cloud computing?.
-¿Qué requisitos mínimos tendrá que tener el contrato de servicio?
-¿Cuáles son los principales aspectos jurídicos a la hora de afrontar un proyecto en la nube?
- ¿Cómo evaluar el SLA de un proveedor en la nube?
- ¿Es seguro el cloud computing?.
- ¿Puedo utilizar mis licencias de software tradicionales?
- ¿Qué aspectos he de tener en cuenta para alojar datos personales?, ¿tengo que pedir un permiso especial? ¿Y si los servidores están en USA?
- ¿Qué legislación se aplica en la "nube"? ¿y si tengo que demandar, donde acudo?
- ¿Qué certificaciones de seguridad he de pedirle a mi proveedor de cloud computing?
- ¿Qué medidas de seguridad tendré que aplicar?"
Dirección: Avda. de Juan López Peñalver 21. Parque Tecnológico de Andalucía. Edif. Bic Euronova 29590 Campanillas (Málaga)
La Junta Directiva convoca para el próximo día 2 de marzo de 2011 la
Asamblea Anual Ordinaria de Socios de ISMS Forum Spain.
La reunión será a las 17:30 horas en primera convocatoria y a las 18:00 horas en segunda convocatoria, y tendrá lugar en el Salón de Actos del Centro de Proceso de Datos de la Universidad Complutense de Madrid (Avenida Complutense, s/n. Madrid).
"Nuevamente la FNMT-RCM organiza las Jornadas CERES. Como en anteriores convocatorias, contaremos con destacados ponentes de la Administración, que presentarán los servicios de certificación implantados en sus Organismos, y de las Empresas Tecnológicas, que mediante sus productos y desarrollos hacen posible el despliegue de los mismos."
La
novena edición de este evento abordará los nuevos retos de la identidad digital tanto en el ámbito nacional como en el internacional.
Se deberían revisar las prácticas de la Organización para la gestión de la seguridad de la información y su implantación (por ej., objetivos de control, políticas, procesos y procedimientos de seguridad) de forma independiente y a intervalos planificados o cuando se produzcan cambios significativos para la seguridad de la información.
Posibles soluciones para la implantación de este control en
iso27002.es
Un informe publicado por Brown-Wilson Group detalla qué
lugares son considerados los de mayor riesgo en la externalización TI en 2010.
Curiosamente ninguno de los 10 de este año confirman los presentados en el informe del año pasado como es el caso de algunas ciudades de la India. Otra revelación interesante es que Río de Janeiro en Brasil, que fue la octava ciudad más peligrosa, es ahora la 22 más segura.
Las variables tomadas en cuenta son:
- La corrupción y la delincuencia organizada
- Redes y seguridad de la infraestructura
- Estabilidad de la moneda
- Tasa de criminalidad y la relación de la policía con los ciudadanos
- Desechos y la contaminación ambiental
- Terrorismo
- Sistema jurídico
- Tiempo / amenazas climáticas
"El pasado 4 de febrero se hizo público el algoritmo que genera las contraseñas por defecto de los routers Comtrend. Estos son los que ofrecen MoviStar (Telefónica) y Jazztel a sus clientes para dar acceso a Internet. Mucho se ha especulado con el asunto. Hemos investigado sobre la filtración, acudiendo directamente a las fuentes, y queremos compartir algunos aspectos interesantes."
Artículo de
Hispasec
Los medios sociales alteran las reglas de larga implantación en los negocios de muchas maneras, pero la elaboración de una política de uso de las redes de comunicación social sería precipitada en el caso que los diseñadores de la política no den respuesta a
siete preguntas fundamentales.
"Si el ser humano tiene siete pecados capitales, ya de sobra conocidos, el responsable de IT sólo tiene tres, la ignorancia, la apatía y la soberbia. Porque a pesar de que se adquiera lo último en tecnología para prever estas amenazas, será un esfuerzo sin frutos si el mismo administrador no es consciente del peligro que diario acecha a la organización."
Artículo de Aarón Talavera Mejía, oficial de seguridad IT de SecuriTI
"El reloj para que los CEOs, CSOs, CIOs y usuarios de todo el mundo aprendan a distinguir el valor en el contenido digital será vital para la viabilidad de los negocios durante la próxima década, asegura Devin Redmon, vicepresidente de Producto y Desarrollo de negocios de Websense."
En
entrevista exclusiva con b:Secure y Netmedia, Redmond comparte que fenómenos como las redes sociales, el cómputo en la nube y la llegada de nuevo dispositivos han comenzado a cambiar de manera disruptiva la manera "en que las empresas entienden el significado de la seguridad de su información".
"Hasta ahora lo que vamos observando en casi todas las empresas es un "aprovechamiento" de recursos que, casi siempre, se sufre desde los departamentos de TI de las empresas debido al alto componente informático de la seguridad de la información en general y del estándar 27001 en particular.
Esto supone encontrarse con SGSIs que no explotan todo su potencial y con Responsables del Sistema de Gestión o Responsables de Seguridad de la Información que no pueden dedicarse a la tarea de velar por la seguridad de los activos de información empresariales con la dedicación requerida."
Artículo publicado por
Áudea
La evaluación del grado de cumplimento con procedimientos y sistemas es el punto clave en la conducción de auditorías internas.
Esto puede hacer que sea un gran desafío el enfrentar las zonas grises relacionadas al comportamiento y a las respuestas durante el proceso, por no mencionar el tema de la retroalimentación al auditado.
Catherine Park discute
estrategias para hacer más eficaz el proceso de retroalimentación durante auditorías internas
Se encuentra disponible en el servidor Web de
intypedia la cuarta lección de la Enciclopedia de la Seguridad de la Información con el título "Introducción a la seguridad en redes telemáticas" del autor Dr. Justo Carracedo Gallardo, Catedrático de la Universidad Politécnica de Madrid.
La propuesta de norma de calidad se dirige a la regulación, entre otros, de la contratación externa de procesos de gestión de Calidad, Medio Ambiente; Seguridad y Salud Ocupacional; Responsabilidad Social; o Seguridad de la Información.
Este listado no excluye cualquier otro tipo de proceso cuya gestión se decida externalizar.
Consulta desde
AENOR
Microsoft dio a conocer otra herramienta libre de su Security Development Lifecycle (SDL) que ayuda a detectar cómo un nuevo desarrollo o aplicaciones ya instaladas afectan a los ataques de superficie en un entorno Windows.
El nuevo analizador de ataques de superficie se encuentra en versión beta y disponible para descargar en herramientas de
Microsoft SDL desde su página Web.
La herramienta, desarrollada por los ingenieros de seguridad de la empresa, es la misma que utilizan los grupos de producto internos del gigante de Redmon para catalogar los cambios realizados en ataques de superficie en el sistema operativo debido a la instalación de nuevo software en el sistema.
La herramienta en cuestión realiza instantáneas del estado del sistema antes y después de realizar la instalación de productos en el mismo y nos muestra los posibles cambios realizados en elementos clave en la superficie de ataque de Windows.
Noticia completa desde
windowstecnico
El día 13 de febrero se entregarán los premios de la Academia de Cine de este año. Los Goya cuentan este año con más expectación de la habitual en Internet por el pacto para sacar adelante la 'Ley Sinde' y la implicación en el proceso de Alex de la Iglesia. Los activistas de Anonymous han decido aprovechar el evento para manifestarse en contra de la aprobación de la ley.
Publicado en
Cibersur
La sede de la Fábrica Nacional de Moneda y Timbre, acogerá los días 22 y 23 de febrero 2011, el Congreso Nacional de Interoperabilidad y Seguridad - CNIS, el principal foro de debate sobre los Esquemas Nacionales de Interoperabilidad y Seguridad al año de su aprobación
Información completa en
Cibersur
Por segundo año consecutivo Áudea Seguridad de la Información en colaboración con Audema, SafeNet y Netasq, llevarán a cabo el desayuno tecnológico Seguridad en la Red + Autenticación con el objetivo principal de resaltar las tecnologías para el Cumplimiento Normativo de la Ley Orgánica de Protección de Datos, ISO 27001, ENS, PCI DSS.
Temas como gestión de vulnerabilidad y análisis de riesgo, entre otros, serán tratados en dicho evento que se llevara a cabo el próximo 22 de Febrero 2011 10 de la mañana en las oficinas de Audema ubicadas en Calle Felipe campos 3.
Información completa desde la
página web de Audea
"Doy por concluida la serie de "Criptografía y Privacidad" que empecé en Noviembre, espero que os haya sido de utilidad (en realidad espero que nunca os tenga que ser de utilidad, pero ya me entendeis).
Parte I – Introducción
Parte II – Cifrado de discos
Parte III – Comunicaciones seguras
Parte IV – Blogueando anónimamente
Parte V – Sistemas y navegadores
Parte VI - Coacción y tortura "
Interesantes artículos en el
blog de Alfredo Reino
Desde el pasado mes de Diciembre el Instituto
Uruguayo de Normalización ha puesto a disposición el estándar internacional ISO/IEC 27003 "TECNOLOGIA DE LA INFORMACION. TECNICAS DE SEGURIDAD. DIRECTRICES PARA LA IMPLEMENTACION DE UN SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION" en español.
¿Va a cambiar todo con Cloud Computing?
¿Nos encontramos ante uno de los mayores cambios de paradigma de toda la historia de las TI?
¿Cómo podemos aprovechar estas nuevas oportunidades?
Para hablar y debatir sobre estos temas contaremos en este evento con la presencia de:
Peter Hinssen, Accross Technology uno de los líderes europeos de pensamiento acerca del impacto de las tecnologías en nuestra sociedad
Laurent Lachal, principal analista de investigación sobre cloud computing del Grupo Ovum Software.
Valentín Galán, CTO de CA Technologies Iberia.
Organizado por CA con
Inscripción gratuita y talleres tras lunch
"Generalmente se dice que virus y hackers son quienes ponen en riesgo la información. Pero muchas veces la verdad es otra: que el descuido y el uso inadecuado de usuarios legítimos causen mucho mayor daño que aquellos.
Esto se pone de manifiesto en un escenario corporativo cuando al analizar los riesgos organizacionales y operacionales [1], surge un factor generalmente descuidado y a veces hasta desconocido relacionado con las personas y los grupos, y que llamamos el "factor gente"1."
"Este tipo de experiencias, propias y de terceros, señala que la seguridad de la información depende de la gente, individuos y grupos, más que de la propia tecnología, toda vez que las personas son el eslabón más débil en el cumplimiento de medidas de seguridad. Y esto es así porque la naturaleza humana y las interacciones sociales son frecuentemente más fáciles de manipular que producir brechas en las protecciones tecnológicas."
Artículo completo de
Ing. Carlos Ormella Meyer
En línea con nuestro
nuevo espacio de iso 27002 publicamos una versión renovada de los
133 controles de la ISO 27002.
Las novedades introducidas son la alineación del listado en la denominación de algunos controles en relación a las últimas correcciones introducidas en las traducciones al español del Anexo A del estándar ISO/IEC 27001 con motivo de una mayor coherencia con la traducción española de ISO/IEC 27002.
En formato pdf y descarga directa desde
iso27000.es como es habitual.
Data Center Dynamics comunica las últimas plazas para su formación en "Diseño y Mejores Prácticas en Data Center que tendrá lugar en Madrid los días 24, 25 y 26 de Enero.
La formación proporciona a los profesionales una mejor comprensión de los distintos temas relacionados con el diseño de los centros de datos, incluyendo la selección de la ubicación, la protección contra amenazas ambientales y de gestión, la fiabilidad eléctrica, mecánica, estructural y el diseño arquitectónico, además de dotarlos de los conocimientos necesarios para tomar decisiones en cuanto a un diseño apropiado que garantice la disponibilidad, confidencialidad e integridad de los datos.
Este curso está estrechamente vinculado con la recién publicada BICSI 002 Data Center Design Standard, que estará plenamente acreditado dentro del conjunto ANSI de normas reconocidas internacionalmente, y los asistentes recibirán una copia gratuita del documento (de un valor de 435€).
Los interesados a unirse a los cursos y al programa de certificación profesional pueden consultar la página de
DataCenter Dynamics y/o ponerse en contacto con Jose Luis Friebel en el teléfono
0034 911331762 o en su correo electrónico
jose@datacenterdynamics.com.
La iniciativa de
iso27002.es, como portal de referencia para soluciones de implantación de los controles y objetivos de todo el Anexo A de la ISO 27001, ha crecido rápidamente en interés y en número de visitantes desde el inicio de las actividades de aportación de contenidos iniciales en el pasado 2010.
En base a las previsiones y para afrontar el presente año nuevo hemos introducido algunos cambios para el mejor mantenimiento de las actividades:
- Contenidos en nueva plataforma accesible desde
iso27002.es y/o desde
iso27002.wiki.zoho.com
- Posibilidad de publicar comentarios y aportaciones de nuevas soluciones a la comunidad sin necesidad de registrarse previamente
- Información adicional y sugerencia de métricas para cada objetivo de control
- Barra de navegación adicional en la cabecera para mejor accesibilidad entre áreas de control
- Búsqueda rápida por palabras clave
La información relativa a los pasos básicos para la implantación de un SGSI está en fase de revisión y esperamos poder publicarlos dentro de un nuevo proyecto en las próximas semanas en foma de una guía básica de implantación de SGSI de libre difusión y que mantendrá una mejor vinculación e integración con los contenidos y recursos con las iniciativas de
iso27000.es y de
iso27002.es.
Adicionalmente, se abre de forma exclusiva para el portal
iso27002.es la posibilidad de colaboración por parte de entidades con y sin ánimo de lucro y que quieran dar visibilidad a sus actividades, servicios y/o productos (de una manera puntual o permanente) siempre que estén relacionadas con la seguridad de la información.
El objetivo de esta iniciativa es la de mantener las actividades de creación, mantenimiento y difusión libre de los contenidos de
iso27002.es al ritmo y nivel de presentación de los contenidos que los profesionales del sector de la seguridad de la información nos está demandando actualmente.
Para los interesados en proponer aportaciones de contenidos, colaboraciones o información adicional sobre la iniciativa se pone a disposición la dirección:
servicios@iso27002.es o desde la propia iniciativa
iso27002.es
Un saludo a todos y nuestros mejores deseos
La reforma del Código Penal que entrará en vigor el día 23 de diciembre de 2010, tiene como objetivo evitar el fraude y la corrupción en las organizaciones.
Para ello, entre otras novedades, se introduce por primera vez en España la posibilidad de que una persona jurídica, sea cual sea su estructura mercantil o societaria, sea considerada penalmente responsable por los hechos delictivos cometidos por sus empleados.
Análisis completo y enlaces para la consulta de las reformas disponibles desde
Audea
BS 25999 prepara a las organizaciones para afrontar los peores escenarios que puedan ocurrir reduciendo la duración y el coste producido por las interrupciones, mitigando el riesgo, mejorando la toma de decisiones estratégicas, protegiendo las marcas y, aunque quizás sorprenda, también introduce un ahorro en los costes.
La gestión de la continuidad de negocio es una nueva disciplina en evolución y en el siguiente artículo de business standards se desarrolla en detalle para distintos sectores además de proporcionar referencias a documentos y guías complementarias de interés.
Un año más recorrerá 10 ciudades españolas abordando temas de actualidad relativos a seguridad informática y, para ello, contará con la participación de expertos en la materia aportados por empresas profesionalizadas en Seguridad Informática.
Agenda y reservas desde la web de la iniciativa
Tras la lección 2 "Sistemas de cifra con clave secreta" se encuentra ya disponible en el
servidor Web de intypedia la tercera lección de la Enciclopedia de la Seguridad de la Información con el título "Sistemas de cifra con clave pública".
En fase de preparación "Lección 4. Introducción a la seguridad en redes telemáticas"
"Queremos que nuestros usuarios se sientan seguros cuando realizan búsquedas en la Web y por eso trabajamos continuamente para identificar los sitios peligrosos y aumentar la protección que brindamos.
Este mensaje de advertencia aparece con los resultados de las búsquedas que hemos identificado como sitios que pueden instalar software malintencionado en tu equipo."
Guía Google en español
De acuerdo con los resultados del estudio, 86% de las empresas mexicanas tuvieron algún problema con virus informáticos. De dicho porcentaje, 66% sufrió pérdidas de información, mientras que 50% calificó como "muy altos" los costos causados por dichos ataques.
"Las empresas mexicanas son concientes de que existen riesgos al usar software ilegal, sin embargo prefieren omitirlos con la idea errónea de estar ahorrando sobre una inversión que es necesaria para sus negocios", dijo Kiyoshi Tsuru, director general de la BSA en México.
Artículo completo en
b:secure
El compliance es uno de los temas de mayor ocupación y preocupación de las organizaciones hoy día y estén seguros que seguiremos hablando del tema en los próximos años.
Según el ISO 27001 el objetivo del compliance es "evitar brechas a cualquier ley criminal y civil; Así como a obligaciones estatuarias, reguladoras o contractuales y de cualquier requerimiento de seguridad además de asegurar la conformidad de IT, con políticas y estándares de seguridad de la información en las organizaciones".
Algunas cifras interesantes son:
- El personal de una organización trabaja entre 40 y 70% extra para pasar auditorias de compliance.( datos de 5 organizaciones en México )
- El 34% del presupuesto de Tecnología de Información ( IT ) esta reasignado al compliance ( securitycompliance.com )
- Una organización en México redujo 35% su presupuesto de seguridad de la información y pospuso proyectos por Sarbanes-Oxley
- Una encuesta realizada por securitycompliance.com reveló que 70% de las organizaciones encuestadas reportaron ser sujetas a varios marcos regulatorios.
- Las penas por la falta del cumplimiento pueden ser severas en Estados Unidos: Sarbanes-Oxley exige una pena de 20 años de cárcel por maquillar información financiera o por alterar expedientes corporativos. Mientras que el HIPPA exige una pena superior a los $20,000 USD a organizaciones del sector de salud que no mantenga la información privada de los pacientes de manera adecuada.
Artículo completo en
b:secure
Aunque no existe un consenso internacional uniforme sobre la protección que se debe dar a los programas informáticos (en Estados Unidos y Japón, por ejemplo, están protegidos por patentes), en la legislación española vienen protegidos por la Ley de Propiedad Intelectual, en su título VII "de los programas de ordenador".
Nadie duda que el software sea un producto del intelecto, y que parte de la actividad creativa del autor, aunque sea difícil plantear el concepto de originalidad frente a otro tipo de obras. De este modo, se ampara bajo la Propiedad Intelectual y no Industrial, gozando de una serie de ventajas.
Artículo completo en
Audea
Mientras medio mundo intenta buscarle una explicación a las muertes masivas de pájaros en Estados Unidos y Suecia, parte del mundo tecnológico intenta buscar un por qué a la drástica reducción del correo basura en los últimos meses, sin encontrarle por ahora razón aparente.
Es curioso que el número de mensajes no deseados en las bandejas de entrada se ha reducido de forma abrupta (como puede verse en el gráfico incluido) durante los últimos meses.
De hecho, según señala
BBC.com, en agosto del año pasado se mandaron 200.000 millones de correos considerados spam, mientras que
la cifra se redujo a 50.000 millones tan sólo cinco meses después, en diciembre de 2010.
Noticia completa en
alfa-redi