Probablemente, en algún momento de su carrera (o terapia!) haya escuchado la referencia a la Jerarquía de Necesidades de Maslow. En el artículo se representa un modelo análogo para describir una Jerarquía de Necesidades de Respuesta a Incidentes.

Dos horas de simulacro interactivo con los participantes en el DRI 2017 del próximo 27 de Febrero con escenarios de recuperación ante incidentes de Ransomware entre otros incidentes cibernéticos.

Los ciberriesgos no solo representan una amenaza cada vez mayor para las empresas, también empiezan a ser un quebradero de cabeza para sus directivos. Allianz Global Corporate & Specialty (AGCS), la división específica de seguros de responsabilidad civil para administradores o D&O (directors & officers) del grupo alemán y responsable del informe D&O Insurance Insights advierte de que los altos cargos corporativos deben prepararse para afrontar una ola de litigios derivada de este tipo de incidencias.

Las pymes no están exentas de la necesidad, y la obligación, de hacer que sus empleados sean conscientes de los riesgos de seguridad de su trabajo y de cómo aplicar las normas para evitar enfermedades y accidentes profesionales, por su seguridad y por la de todos.

Procedentes de diversas fuentes relevantes en seguridad.

Google anuncia la disponibilidad de Project Wycheproof, una herramienta de código abierto diseñada para encontrar vulnerabilidades conocidas en librerías populares de software de cifrado, que incluye AES-EAX, AES-GCM, DH, DHIES, DSA, ECDH, ECDSA, ECIES y RSA, entre otras.

Los ataques distribuidos de denegación de servicio que aprovechan servidores NTP mal configurados se incrementaron un 276 por ciento en el 2T de 2016 en comparación con el mismo período en el año pasado, alcanzando un nuevo récord, según un nuevo informe.

El volumen de formación gratuita sobre seguridad de la información crece a diario pero dirigir los esfuerzos hacia buen material no siempre es fácil. Echa un vistazo a esta lista.

Plazo para la presentación de candidaturas: 10 de enero de 2017 a las 12.00 horas del mediodía, CET.

Avast ha puesto a libre disposición diversas herramientas para descrifar los ataques producidos por 11 familias distintas de ransomware.

Publicado por Malwarebytes, el estudio muestra Cerber, Locky y CryptoWall como las 3 familias más comunes y el ranking de los 10 paises con mayor grado de infección con EEUU a la cabeza (Las Vegas).

La Directiva Europea 2014/95/UE sobre información no financiera, que entró en vigor el pasado martes 6 de diciembre obligará a las grandes empresas de interés público o que tengan más de 500 empleados a elaborar un informe no financiero con una breve descripción del modelo de negocio, las políticas y principales riesgos en relación a cuestiones medioambientales y sociales, relativas al personal, a los derechos humanos y a la lucha contra la corrupción.

Alineada con ISO/IEC 27002:2013 y con ITU-T Rec. X.1051 la adopción de las recomendaciones de ISO/IEC 27011 permite a las organizaciones de telecomunicaciones cumplir con los requisitos básicos de gestión de la seguridad de la información.

SO/IEC 27004 proporciona una guía de referencia sobre cómo evaluar el rendimiento y eficacia de un SGSI en relación a los requisitos de la cláusula 9.1 de la norma ISO/IEC 27001:2013,

Algunos de los temas de las sesiones plenarias que tendrán lugar del 26 de Febrero al 01 de Marzo de 2017 en el Golden Nugget de Las Vegas con representates de la continuidad de negocio de todo tipo de organizaciones que contarán sus experiencias.

Se celebrará del 26 de Febrero al 01 de Marzo de 2017 en el Golden Nugget de Las Vegas con representates de la continuidad de negocio de todo tipo de organizaciones que contarán sus experiencias.

Actualización de la guía que adicionalmente analiza el estado de las Estrategias Nacionales de Ciberseguridad en la Unión Europea y la Asociación Europea de Libre Comercio (EFTA)

El estándar está en fase de revisión y adopta un enfoque diferente dentro del sector de la tecnología centrándose y apoyando la toma de decisiones apropiadas por la alta dirección en lugar de concentrarse en detalles técnicos. La estructura y la simplicidad se aplica a todos los entornos informáticos y de control actuales y pueden aplicarse a productos y servicios emergentes como Internet de las cosas [IoT].

Borrador de una herramienta de auto-evaluación (prevista su publicación final en 2017) diseñada para determinar el nivel de madurez en seguridad, determinando si es reactivo o temprano y maduro. La evaluación completa puede conducir a un plan de acción para el mejoramiento de las prácticas y la gestión de seguridad y la implementación de estas mejoras.

Visita all CERTSI publicada por El País para ver cómo se controlan y tratan de resolver todos los asaltos, procedentes de todo el planeta, a las redes e infraestructuras españolas.

El video muestra como se construye un ataque típico de ransomware y las consecuencias.

Los expertos de seguridad de EnSilo han detectado una nueva vulnerabilidad que afecta por igual a todas las versiones de Windows, y de la que no nos podemos proteger.

La Universidad de Helsinki, en colaboración con F-Secure han creado Cyber Security Base, una serie de cursos sobre ciberseguridad en idioma inglés.

Qué es y cómo se redacta correctamente un informe pericial informático, punto culminante de la labor de peritaje informático por Pedro de la Torre, perito informático colegiado.

Ánalisis realizado por asesores en diversos de casos de gestión de crisis en empresas (Samsung, Renfe, BP, Germanwings o Volkswagen) que han atravesado graves crisis de reputación y que ratifican la importancia de los requisitos de comunicación incorporados a los sistemas de gestión como ISO 27001 o ISO22301.

El propósito de este documento es proporcionar ejemplos de orientación en seguridad para que las organizaciones adquieran, desarrollen, subcontraten y gestionen la seguridad para sus aplicaciones específicas durante todo el ciclo de vida.

Este es un webinar de una hora que ningún Profesional Certificado del DRI - ni profesional de la continuidad del negocio - debe perderse. Las Prácticas profesionales de DRI, el estándar más utilizado en el mundo y el corazón de los cursos del DRI, se han revisado.

A través de Twitter, explicaron como miembros desde Rusia y China organizaron las redes de computadoras "zombies" que lanzaron en simultáneo la asombrosa cifra de 1,2 terabits de datos por segundo a los servidores gestionados por Dyn, firma que ofrece servicio en EEUU a compañías de gran influencia como Twitter, Spotify y medios de comunicación como CNN, Infobae y The New York Times.

Esta guía básica de protección de Infraestructuras Críticas relativa a la Identificación y Reporte de incidentes de seguridad para operadores estratégicos tiene como finalidad servir de manual de actuación para el reporte y gestión de incidentes relacionados con las Infraestructuras Críticas (IICC) y los Operadores Estratégicos, a través del Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT).

Vehículos hackeados conduciendo erráticamente, robo masivo de dinero, hospitales paralizados por malware, ... New York Magazine ha desarrollado un escenario catastrófico en base a tecnología actualmente en uso para NYC y con servicios afectados desde banca a hospitales pasando por sistemas de distribución del agua en base a 47 incidentes reales recientes.

¿quién desarrolla estos programas, porqué lo hacen y cómo se ponen en circulación?

Los siguientes son cinco errores frecuentes de gestión de riesgos y algunas señales de advertencia de cada uno. Las señales de alarma se dividen en indicadores organizacionales, de procesos y de comportamiento.

Acceso libre a documentación útil para la investigación forense en diversos dispositivos y soportes de información.

Promocionada por CISPE y alineada con la nueva regulación de protección de datos de la UE, los servicios adecuados al CoC podrán identificarse claramente mediante una ?marca de confianza? que los proveedores podrán utilizar para indicar su conformidad con este código de conducta y un registro público.

Es el segundo caso en tres años relacionado con la empresa de consultoría Booz Allen Hamilton. El caso anterior fue Edward J.Snowden que trabajaba para Dell pero dentro de la cadena de subcontratas de la consultora con un impacto entonces del 10% de pérdidas en bolsa.

Aunque no para de aumentar al representación femenina en la continuidad de negocio y en puestos de responsabilidad dentro de sus organizaciones, queda aún mucho trabajo por hacer. DRI Internacional ha creado un Comité formado por mujeres para la Gestión de la Continuidad en el Negocio en torno a varios proyectos para llamar la atención sobre las necesidades, intereses y retos únicos a los que se enfrentan las mujeres en esta profesión..

Aportando noticias e información en español sobre los sistemas de gestión de seguridad de la información desde Octubre 2005 coincidiendo con la publicación de la norma internacional ISO 27001 ese año.

Más de15 millones de votantes pueden quedarse en casa por las dudas en la ciberseguridad el día de las elecciones.

La gestión de riesgos es una prioridad máxima en cualquier sector de actividad industrial, desde la cadena de suministro hasta la ciberseguridad. Última cita el año del 14 a 18 de Noviembre en Madrid.

Guía de seguridad producida por The Cloud Security Alliance (CSA) IoT Working Group.

Un modo óptimo de enfrentarse a la seguridad en cadenas de suministro cada vez más fragmentadas es mediante el uso de modelos que dividen los servicios TI en diferentes capas de arquitectura.

El último informe anual realizado por ISO indica adicionalmente un incremento del 78% en las certificaciones en continuidad de negocio (ISO 22301) y un 77% en gestión de la energía (ISO 50001) con ISO 27001 en el tercer puesto de mayor crecimiento anual.

Muchas organizaciones ya no ven la ciberseguridad como una barrera para el cambio, tampoco como un coste de TI.

Se celebrará en León, 18 y 19 de octubre de 2016 con ponentes destacados como Phil Zimmermann creador de Pretty Good Privacy (PGP), entre otros.

Toolkits modulares que permiten habilitar millones de dispositivos conectados y hackeables con Arduino sumarán igualmente el mismo número de vulnerabilidades si la industria falla en abordar el problema de la seguridad.

Durante 5 años se lucró con la venta de los datos que obtenía de dos sistemas internos de la organización principalmente.

La infraestructura tecnológica que brinda soporte y servicio al proceso de negocio debe estar diseñada para asegurar el cumplimiento de puntos esenciales.

Un informe para cuya tercera edición las Administraciones Públicas deben facilitar sus datos, a través de INES, antes del 31 de enero de 2017.

Estudio de SANS en las que se da respuesta a: qué medidas implementan los encuestados que creen prevendrán fugas, qué medidas no necesariamente implementadas consderan los encuestados son preventivasy a qué barreras frenan a los encuestados de hacer lo que se debe hacer.

Última cita del año de un curso que permite afrontar el examen de certificación oficial del DRI en gestión de riesgos y obtener el reconomicimiento en alguno de los grados de certificación internacional más reconocido del mundo.

DRI Internacional activó exitósamente sus planes de continuidad y de respuesta ante crisis el ffin de semana de la explosión de una bomba en el barrio de Chelsea de Manhattan al estar las oficinas ubicada a menos de 30 metros de lugar de los hechos.

Síntoma de la desconexión que existe sobre este problema, el 70% declaró que el departamento de TI es responsable del manejo de amenazas a la seguridad, y casi dos tercios creen que la seguridad cibernética no es responsabilidad de su departamento.

Artículo de INCIBE con atención directa a los aspectos más inmediatos ilustrados con referencias a casos reales.

Toma parte en las actividades programadas por los colaboradores activos durante este mes y en los diversos países de la Unión Europea

El nuevo requisito para la protección de los sistemas informáticos de los contratistas de agencias gubernamentales de EEUU entra en vigor a finales de año (NIST 800-171) con penas muy severas en caso de incumplimiento.

Los empleadores a menudo requieren certificaciones como requisito de especialiación de los nuevos empleados. Por desgracia, muchas empresas no verifican estas credenciales, acción peligrosa en la búsqueda de talentos en ciberseguridad ya que en muchos casos no hay certificaciones reales ya que se han incluido para pasar los filtros de selección.

Servicios y formación en ciberseguridad son demandados desde Australia, cuyas autoridades ven una oportunidad de mercado en un sector con una demanda mundial actual de 1 millón de puestos de trabajo.

Se abre el acceso a comentarios para la norma británica que especifica los requisitos de un sistema de gestión para información pesonal.

El curso de Gestión de Riesgos RMLE 2000 se celbrará del 14-18 de Noviembre en Madrid y se centra en la enseñanza de habilidades en gestión de riesgos que deben ser conocidas por responsables, consultores, auditores y asesores relacionados con cualquier sistema de gestión implantado en las organizaciones (p.ej. ISO/IEC 9001, ISO/IEC 14001, ISO/IEC 27001, ISO/IEC 20000, ISO 22301, ISO 50001, ...).

Si estás buscando aprender acerca de TI, la seguridad y hacking vía online hay una gran cantidad de cursos free disponibles que pueden ayudarte como estos seis programas gratuitos para dicho propósito.

Bajo el lema 'El Datacenter en la era del Cloud e Internet of Things' y con más de 90 ponentes y 55 expositores alberga el Mission Critical Security Summit que reune a los actores clave de la cadena de la estrategia de seguridad de las mayores organizaciones latinoamericanas.

Un nuevo informe de Deloitte aborda cuestiones que van más allá de la protección de datos, señalando los costos ocultos que acompañan la respuesta, una vez se ha producido un ataque cibernético.

Alrededor del 47 por ciento de las empresas con ingresos de al menos 100M USD expresó su preocupación por la pérdida de datos privados, mientras que sólo el 26% por ciento mencionó a los piratas informáticos o fallos de seguridad. Las infecciones por virus, vulnerabilidades de software y mantener una buena reputación de la empresa también se encuentran entre las principales preocupaciones.

Compendio completo de toda la normativa que afecta a todos los diversos aspectos de la ciberseguridad y seguridad de la información en la actualidad desde sus diversos enfoques e implicaciones.Sistema de alertas de actualización con suscripción que se puede realizar a través de los servicios de BOE a la carta.

El Informe Global en ISO 27001 de 2016 presenta los resultados de una encuesta de profesionales de seguridad de la información de todo el mundo que han implementado (40%), están poniendo en práctica (40%) o la intención de implementar un sistema de gestión de seguridad de la información (20%) que cumple con el estándar de mejores prácticas internacionales, ISO 27001.

Cisco 2016: Informe anual
12/September/2016
Este informe anual desprende, entre otros interesantes datos, que las PYMES muestran signos de que sus defensas contra atacantes son más débiles de lo que les exigen sus retos.

DHS Infrastructure Security Compliance Division (ISCD) ha publicado un enlace al CFATS (Chemical Facility Anti-Terrorism Standards) Knowledge Center de orientación en seguridad cibernética en los planes de seguridad de estas instalaciones.

El apagón fue causado por un cable de fibra óptica dañado, el resultado de dejar al cargo del ?trabajo aburrido? a una tercera empresa, indican desde la compañía.

Delta Airlines tuvo que cancelar la mayor parte de sus vuelos el pasado 8 de Agosto al resultar imposible realizar las facturaciones por fallo en el sistema informático de soporte.

Guías para establecer pagos seguros, ayudas para identificar los sistemas de pagos más comunes, cuestiones para consultar con los comerciantes y glosario de términos son los pilares de esta iniciativa.

Promovido por Keeper securiy y de libre descarga, Ponemon ha encuestado a 600 responsables TI de pequeñas y medianas empresas. El 50% declara haber tenido incidentes de seguridad en los úlitmos 12 meses y el 59% no garantiza la aplicación de medidas higiénicas y prácticas básicas por los empleados, entre otros datos de interés.

Enlace a videos con la demostración realizada por un grupo de investigadores de la Universidad de Georgetown y la Universidad de Berkeley de cómo se pueden utilzar comandos de voz camuflados en vídeos de YouTube (mientras se están visualizando o incluso a distancias cercanas del emisor) para ataques maliciosos que comprometen teléfonos inteligentes.

Diseñada para permitir a los usuarios finales poner a prueba si una contraseña que utilizan para un sitio se utiliza también en otros como Facebook, LinkedIn, Reddit, Twitter o Instagram. Su creador, Philp O'Keefe declaró que desarrolló la herramienta después de descubrir que las contraseñas de 8 caracteres de sus cuentas y generadas aleatoriamente estaban en varias casos entre las más de 177 millones de contraseñas de LinkedIn que se filtraron en Mayo.

Al 88% de los consumidores les preocupa una conexión a redes Wi-Fi abiertas que compromentan sus datos pero el 57% asume que todas las Wi-Fi disponibles en lugares públicos como aeropuertos, hoteles y cafeterías cuentan con sistemas de seguridad integrados. Nada más lejos de la realidad, el robo de información en estas redes para su venta en el mercado negro y vaciar las cuentas bancarias del consumidor es práctica común.

Las conclusiones de la investigación apuntan a cambiar la mentalidad, ver la seguridad como el facilitador que hace posible la innovación digital generando beneficios y dejando de lado las discusiones sobre hackers y reconocer que nuestras empresas son el blanco de despiadados empresarios criminales con planes de negocio y grandes recursos como: el intento de fraude, la extorsión o el robo de la propiedad intelectual.

La categorizacion de métodos para canales encubiertos comprende métodos electromagnéticos, ópticos, térmicos y acústicos. Éste último es el objetivo de un nuevo documento de investigación que analiza cómo obtener datos de un ordenador aislado de una red de datos y sin altavoces así como contramedidas.

ISO27000.es estuvo en Atmosphere Europe 2016 en el que la compañía presentó distintas soluciones a empresas con especial atención a la seguridad de la información que almacena. Myactivity permite revisar y administrar tus actividades, como las búsquedas que has realizado, los sitios web que has visitado o los vídeos que has visto.

La donación de más de 26 500 USD en esfuerzos de socorro y recuperación en todo el mundo en colaboración con 26 organizaciones asociadas junto a actividades de ayuda en New York por 21 000 USD para ayuda al Nepal, entre otros.

El marco para la regulación de flujos de datos transaltánticos entre las dos regiones ha sido aprobado. DigitalEurope, el grupo de presión del sector de la tecnología que incluye a Google, Apple, AWS y otras 10.000 empresas más, ha celebrado la noticia.

Primera versión de la norma que define los requisitos para el uso de la norma ISO/IEC 27001 en cualquier sector específico (campo, área de aplicación o sector industrial). El documento explica cómo refinar e incluir requisitos adicionales a los de la norma ISO/IEC 27001 y cómo incluir controles o conjuntos de control adicionales a los del Anexo A.

Entregable del DRI con seis casos de estudio reales y lecciones aprendidas. Próximos cursos oficiales en España disponibles.

Crónica internacional de Víctor Guerrero de cómo Facebook y Google manipulan las elecciones norteamericanas en base a la análitica de datos de sus usuarios.

Si los teléfonos celulares introdujeron problemas en la seguridad años más tarde aún no resueltos eficazmente en muchas organizaciones, ¿se repitirán los mismos errores con el internet de las cosas?

Como los equipos de seguridad de la información pueden proporcionar el apoyo más eficaz a las empresas y a la gestión de riesgos.

Aprender el negocio del hacking ayuda a una mejor protección del negocio propio.

Artículo publicado por Datacenter Dynamics de Karen James, directora general de PHS Data Solutions.

La seguridad no se puede garantizar al 100% pero un estudio de PECB señala que en el listado de las empresas que han sufrido las violaciones más significativas en la seguridad de sus datos en el periodo 2014-15 no se localizan organizaciones certificadas en ISO 27001.

Todos los pasos de la infección con el nuevo ransomware realizado 100% en JavaScript y descubierto por investigadores en seguridad junto a medidas de protección.

La empresa alojaba en su centro de datos de Oregon al desarrollador de juegos Machine Zone, que canceló su contrato después de una interrupción del juego "Game of War" durante dos horas en Octubre.

Al menos eso indican las estadísticas del ICO (Information Commissioner?s Office) en el Reino Unido con un 62% de los incidentes por errores humanos y lejos del 9% de páginas web inseguras y hacking. El más común es el error en los destinatarios en el envío de información.

Un nuevo estudio de Kaspersky Lab detectó que los puntos de recarga gratuitos ?ubicados en aeropuertos, cafeterías o estaciones de autobús? comprometen los datos de celulares o tablets.

Análisis de Información proporcionada por Eleven Paths en base a recopilación de las fugas de información que han tenido lugar a lo largo de los cuatro primeros meses de 2016 y que proceden exclusivamente de fuentes abiertas.

Este estudio pone en cuestión la efectividad de la educación en seguridad para prevenir fugas de información al no encontrarse diferencias demográficas, de conocimientos en seguridad y formación en aquellos que conectaron los dispositivos USB.

Esta innovadora iniciativa de la Agrupación Empresarial Innovadora de Ciberseguridad y Tecnologías Avanzadas (AEI) ha transcendido en Bruselas, donde se está organizando una asociación europea de ciberseguridad a petición de la Comisión Europea, con el objetivo de generar la agenda estratégica de I+D en ciberseguridad.

Funcionarios del Ministerio de Defensa enviaron el documento adjunto por error en un correo electrónico el pasado 29 de marzo. La fuga del documento de 192 páginas clasificado de alto secreto y "restringido OTAN" con las frecuencias de radio, las reglas de interferencia de radiocomunicaciones, coordenadas GPS, códigos clave militares, identificativos de llamada, información aérea crítica, tablas de descifrados, protocolos de autenticación y nombres, números de teléfono y los identificadores de correo electrónico de todos los funcionarios involucrados en los dos juegos de guerra.

Shodan como motor de búsqueda donde extraer dispositivos conectados a Internet e identicar propietarios de edificios como hospitales, iglesias y muchas más instalaciones.

El objetivo de este informe es proporcionar información de seguridad que lleva a una mejor comprensión del panorama de amenazas y proporcionar los recursos que pueden ayudar en minimizar los riesgos de seguridad.

DRI International alcanza los 14,000 profesionales certificados en continuidad de negocio en todo el mundo como síntoma de la importancia de esta materia en la resiliencia y supervivencia de las organizaciones.

Dividido en doce unidades ayuda a estos colectivos e impulsar una cultura de seguridad en el entorno digital.

La reforma pretende devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital.

Acceso a más de 1 Petabyte de información dispuesta por Department of Homeland Security en proyectos de colaboracion con diversos países como "IMPACT" (Australia, Canada, Israel, Japón, Reino Unido y Holanda).

Presentación realizada en el evento DRI 2016 correspondiente al estándar 31000 con los datos de adopción por país y otra información relevante sobre el contenido del estándar y su adopción. Acceso a presentaciones del DRI gratuita previo registro.

La Asociación Colombiana de Ingenieros de Sistemas (ACIS), realiza esta encuesta anualmente. Investigación neutral y académica, que busca conocer y medir la realidad de la seguridad de la información en todos los países latinoamericanos y con ello construir referentes regionales sobre esta temática.

"Uno de los asuntos recurrentes del disco es la ambigua relación que establecemos con la tecnología. Por un lado tenemos el mundo en nuestro bolsillo, pero por otro este no deja de espiarnos. Snowden se ha convertido en un héroe moderno, no por decir "basta", sino por alertarnos de los peligros que conlleva la tecnología. Nuestro futuro necesita más gente valiente como él", ha dicho Jarre.

Expertos de Kaspersky Lab avisan de los incidentes de seguridad registrados en el presente año 2016 en hospitales y equipos médicos. Ataques ransomware a un hospital de Los Ángeles y dos de Alemania, una intrusión al monitor y dosificador de medicinas de un paciente y otro ataque a un hospital de Melbourne, entre otros casos en aumento por IoT.

El pasado 4 de Noviembre, la administración de aviación civil Sueca anunció la cancelación del tráfico aéreo por más de una hora por una tormenta solar. Una nueva investigación apunta sin embargo a un grupo hacker relacionado con los servicios rusos de inteligencia.

CISSP Free Project
17/April/2016
Material de utilidad para aquellos que tengan intención de preparar el examen en un futuro pero también para aquellos que buscan material útil de referencia en seguridad de la información y la continuidad del negocio.

Esponsorizado por DRI International, asociación líder con más 13 000 socios activos certificados en el mundo, la jornada tendrá lugar el próximo 16 de Mayo en Londres.

Artículo de Lorenzo Martínez en "securitybydefault.com" sobre una herramienta que en base a permite el análisis con Spamassassin, comprobaciones de SPF, DKIM, DMARC, resolución inversa, verificación del contenido del correo y de verificación en listas negras o blacklists.

"El elevado número de violaciones de la seguridad y y alto perfil de los datos han dominado los titulares en los últimos meses. Esto ha llevado a un aumento en el interés de los consumidores y los departamentos de TI en querer saber cómo mejorar la protección ante el mundo digital", dijo el presidente de BT en seguridad, Mark Hughes.

El Informe se basa en una encuesta realizada por 451 Research durante Octubre y Noviembre del 2015 a más de 1 100 responsables senior de seguridad de todo el mundo, incluidos los claves en mercados regionales de los EE.UU., Reino Unido, Alemania, Japón, Australia, Brasil y México y de segmentos clave como el gobernamental, retail, finanzas y salud.

Curiosa Infografía con una relación generica de tipos de herramientas software relacionadas con las cláusulas de la norma.

Esponsorizado por DRI International, asociación líder con más 13 000 socios activos certificados en el mundo, la jornada tendrá lugar el próximo 16 de Mayo en Londres.

Artículo de Lorenzo Martínez en "securitybydefault.com" sobre una herramienta que en base a permite el análisis con Spamassassin, comprobaciones de SPF, DKIM, DMARC, resolución inversa, verificación del contenido del correo y de verificación en listas negras o blacklists.

"El elevado número de violaciones de la seguridad y y alto perfil de los datos han dominado los titulares en los últimos meses. Esto ha llevado a un aumento en el interés de los consumidores y los departamentos de TI en querer saber cómo mejorar la protección ante el mundo digital", dijo el presidente de BT en seguridad, Mark Hughes.

El Informe se basa en una encuesta realizada por 451 Research durante Octubre y Noviembre del 2015 a más de 1 100 responsables senior de seguridad de todo el mundo, incluidos los claves en mercados regionales de los EE.UU., Reino Unido, Alemania, Japón, Australia, Brasil y México y de segmentos clave como el gobernamental, retail, finanzas y salud.

Curiosa Infografía con una relación generica de tipos de herramientas software relacionadas con las cláusulas de la norma.

Los "Papeles de Panamá" han puesto de manifiesto la falta de protección básica que existe en muchas empresas, en concreto en bufetes de abogados, junto a la falta de atención a medidas básicas de seguridad.

Criptoransomware está amenazando la campaña en EEUU y con otras campañas ya lanzadas como en España aportamos un enlace de concienciación.

Artículo sobre las técnicas empleadas por "AnonSec" en tomar el control de un Drone de la Nasa y cómo se pudo evitar por una rápida actuación

Documento técnico de Joseph J. Januszewski con análisis de vulnerabilidades por el propio diseño del protocolo TCP/IP junto a algunas soluciones.

Informe anual de Kaspersky Lab en riesgos de seguridad con respuestas de 5564 profesionales de 38 paises que arroja valores importantes tanto para Pymes (coste medio 11 000 USD) como grandes empresas (84 000USD).

Para poder entender quién son estos intrusos y por qué suponen un riesgo, hay que comenzar por observar la raíz del problema.

Las llamadas vulnerabilidades de ?día cero? hacen referencia a ataques totalmente desconocidos por las víctimas y por los propios fabricantes de software, lo preocupante es que este tipo de ataques es una nueva tendencia.

Los prestigiosos miembros del Future Vision Committee del DRI discuten las tendencias principales de resiliencia que se esperan en el 2016 en gestión de riesgos y continuidad de negocio, seguridad cibernética, la cadena de suministro y la recuperación global.

Amenaza Ransomware
19/March/2016
La reciente paralización de cuatro computadoras por ransomware en el Hospital de Ottawa es otro recordatorio de que la formación en concienciación no puede ser un evento anual.

Aunque el foco de atención sea la legislación en UK, se dispone de información de interés general para organizaciones de diversos sectores y la forma de cumplir con la protección de datos personales y el acceso a la información oficial del sector público.

Recopilación de blogs relacionados con la seguridad informática.

Según el CEO de DataCenterDynamics, este mapa de países neutrales y no neutrales tendrá una repercusión directa en la localización de los data center.

Según un estudio de IBM, no tienen claro quién es su auténtico adversario en la ciberdelincuencia y falta coordinación entre los directivos de las áreas de negocio y los directores de seguridad.

El informe encargado por Veeam muestra que el 84% de los responsables TI senior encuestados en todo el mundo admiten una brecha en la disponibilidad deseada y la real.

ISO/IEC 27000: 2016 aporta la visión general de los sistemas de gestión de seguridad de la información junto a los términos y definiciones que se utilizan comúnmente en la familia de normas para los SGSI.

La asociación líder con más 13 000 socios activos certificados en el mundo celebra del 06 al 09 de Marzo su conferencia anual en Atlanta.

Al analizar el malware descubierto durante un incidente de seguridad, el investigador formula a menudo indicadores de compromiso (IOC) que son los signos de infección y que pueden ayudar a la empresa a determinar qué sistemas pueden haber sido comprometidos.

Un equipo de investigadores de seguridad de la Universidad de Tel Aviv y Technion han descubierto un nuevo método para robar datos sensibles desde un ordenador situado en otra habitación con una pared de separación de 15 centímetros de grosor de revestimiento metálico.

Informe del Ponemon Institute con porcentajes de reducción en base al estudio en diversas regiones el mundo.

FDIC (Federal Deposit Insurance Corporation) ha creado 7 ejercicios con videos y material de apoyo a modo de reto para entidades financieras con el objetivo de valorar adecuadamente los riesgos en aspectos operacionales TI.

Este kit tiene por objetivo facilitar a los empresarios y directores la tarea de fomentar buenos hábitos de seguridad entre sus empleados y colaboradores. Adicionalmente, INCIBE desarrolla talleres gratuitos de Ciberseguridad para micropymes y autónomos por toda España.

Formaciones tipo Masterclass, de 45 minutos de duración, donde profesionales de primer nivel ofrecerán conocimientos y experiencias prácticas a los asistentes sobre lo último en Seguridad Informática

El virus Zika ya ha infectado a más de un millón y medio de personas en Brasil y se calcula que al menos medio millón de turistas viajen a Río de Janeiro por los Juegos Olímpicos.

Gartner predice que en 2017 el 50% de las grandes empresas tendrá uno.

Museo Malware
10/February/2016
Creado el pasado 05 de Febrero está formado una colección de programas que se distribuyeron en los años 80s y 90s en PC. El Museo permite revivir de forma segura sus efectos en aquellos tiempos.

Cloud Maturity Model 3.0
05/February/2016
Proporciona una visualización de extremo a extremo para evaluar la madurez de una organización de TI en dominios específicos y a través de modelos de servicios en la nube.

Interesante presentación del estudio en distintos dispositivos IoT realizado por dos investigadores de la Universidad de Princeton y las implicaciones en la seguridad.

Miles de impresoras con dispostivos de almacenamiento desprotegidos permanecen expuestas desde Internet.

El ataque dirigido a las cuentas de E-mail de los ejecutivos de la empresa FACC provocaba la transferencia de dinero desde los departamentos financieros a cuentas bancarias de otros países. Este tipo de ataques dirigidos a cargos directuvos se ha incrementado significativamente en los últimos meses.

Dentro del sector de TI el más cotizado es el experto en seguridad y datos de la información con salarios de referencia entre 60 000 y 90 000 EUR.

La encuesta a clientes y proveedores y análisis del mercado de la industria de la Ciberseguridad forma parte de las actividades previstas en el marco "Digital Single Market (DSM) Package" lanzada por la comisión Junkers.

Averigüelo con esta simulación en línea del DRI que contiene 3 escenarios y recursos de apoyo: DRI es la mayor organización internacional en formación y certificación de profesionales en el mundo de la continuidad de negocio.

La valoración estimada de posibles perjuicios económicos para las compañías afectadas oscila entre 400.000 y 500.000 Euros, a falta de confirmación pericial

Sin cambios aparentemente significativos en el texto, la cláusula 6.1.3 d) presenta ahora los requisitos en formato de listado y especifica la necesidad de indicar el estado de implementacion de los controles necesarios.

Los eurodiputados votan nuevas normas que garantizarán que las empresas de sectores críticos, como la energía o la sanidad, protejan sus redes informáticas e informen detalladamente de todos los ataques.

La única versión del navegador que seguirá recibiendo actualizaciones será Internet Explorer 11

¿Me han hackeado?
17/January/2016
Indicadores típicos que sugieren una respuesta afirmativa.

Informe con información de unos 200 modelos y riesgos asociados según sus funcionalidades y autonomía. El proyecto de control remoto de la Red de Cambio Social organizada por Oxford Research Group examina y reta a los cambios en el ámbito militar del uso de aviones no tripulados, las fuerzas de operaciones especiales, empresas privadas militares y de seguridad y actividades cibernéticas y de inteligencia.

Mientras que la mayoría de los usuarios de aplicaciones y ejecutivos de empresas indican que creen que sus aplicaciones son seguras, casi todas las evaluadas e incluyendo apps populares de banca, de salud aprobadas por la FDA y de pago, demuestran ser vulnerables al menos a dos de Top 10 de riesgos de OWASP.

La adopción de la nube no tiene por qué significar la apertura de la organización a un aumento de los riesgos y amenazas en seguridad si las políticas correctas están adoptadas, de acuerdo con la nueva encuesta de CSA.

El panorama del riesgo para las empresas descrito en el quinto barometro anual del riesgo de Allianz apunta cambios sustanciales para 2016. Información global y por paises de acceso abierto.

Un nuevo informe de Accenture advierte que el uso empresarial de los datos personales de los consumidores está en riesgo y recomienda estrategias y principios para proteger adecuadamente los datos de consumidores, generar confianza y crecer simultáneamente en negocio.

Iniciativa del INCIBE para mejorar la seguridad de las empresas, negocios y proveedores de los diferentes sectores de actividad. Los 70 talleres se impartirán de Enero a Mayo en diferentes ciudades de toda la geografía española.

Añade el curso RMLE 2000 y certificación internacional del DRI en gestión de riesgos dirigido a responsables, consultores, auditores y asesores aplicable a los nuevos requisitos de los sistemas de gestión ISO/IEC 9001, ISO/IEC 14001, ISO/IEC 27001, ISO/IEC 20000, ISO 22301, ISO 50001, ...).

Vulnerabilidad reportada por Checkpoint como nuevo ejemplo y anticipo de soluciones IoT que no consideran la seguridad en su diseño pero exponen gravemente información personal y/o corporativa.

INCIBE, Red.es y el CDTI darán apoyo financiero a empresas de ciberseguridad mediante un convenio de doce años de duración y 5 millones de euros de presupuesto para el apoyo de iniciativas de inversión en pymes tecnológicas españolas.

El problema reside en la ausencia de un mecanismo de generación de certificados y claves en los dispositivos afectados. Todos incluyen el mismo certificado y claves únicas.

Según contaba @GreekAnalyst al parecer el Ministro del Interior griego posó para la típica foto oficial en su despacho delante del ordenador... en el que podía verse un post-it con su usuario y contraseña apuntados.

Las organizaciones españolas están sufriendo algunas de las peores pérdidas de datos que se están produciendo en Europa, estando relacionadas en su mayoría con el robo de tarjetas de crédito y datos personales.

Las versiones específicas de ScreenOS que se ven afectados son ScreenOS 6.2.0r15 en adelante y la empresa urge en aplicación del parche a sus clientes. La explotación de esta vulnerabilidad queda demostrada en los logs del sistema porque el registro contendría una entrada con el ususario 'system'.

Tras las consideraciones iniciales de Mozilla y luego de Microsoft, Google también considera poner fin al apoyo de los certificados TLS y SSL que utilizan el algoritmo hash SHA-1 para el año 2016. Los servidores seguros que sólo soportan este algoritmo quedarían inservibles para el acceso con los tres navegadores.

Los controles de seguridad SANS crítico (CSC) proporcionan 20 controles que las organizaciones de cualquier tamaño pueden utilizar para reducir el riesgo de las amenazas cibernéticas a los activos críticos y aumentar su capacidad para detectar y responder a las amenazas.

Una nueva encuesta del Ponemon Institute estima que casi el 80 por ciento de las empresas declaran que las aplicaciones de su organización se ha vuelto más vulnerable a los ataques.

Este documento describe un marco para la presentación de informes de incidentes de seguridad en base a los requisitos establecidos por el artículo 19 del Reglamento eIDAS (regulación UE nº 910/20141 de los servicios electrónicos de identificación y confianza).

La Agencia Española de Protección de Datos (AEPD) en base al fallo del Tribunal de Justicia de la Unión Europea del pasado mes de octubre avisa de la necesidad antes del 29 de Enero de 2016 de acciones de revisión y declaración a la AEPD por aquellas empresas españolas que utilicen plataformas tecnológicas (p.ej. Facebook, Dropbox, Google Apps, Flickr entre otras).

Código de prácticas para la organización en la gestión de la estabilización, mitigación y restauración de las propiedades, contenidos, servicios y activos después del daño porducido por un incidente.

Olof Sandstrom, miembro de CSA España y director de operaciones de Arsys, presentó el tercer Estudio de 2015, una labor de recolectar y comparar 21 marcos de referencia (normas, regulación y códigos de buenas prácticas) atendiendo a tipología, ámbito, cumplimiento obligado o no, alcance, sector, orientación, certificación y aplicabilidad.

La nueva edición de la norma ISO/IEC 27001 puede ayudar a las empresas de cualquier tamaño a protegerse. En esta conversación con expertos como Angelika Plate, Edward Humphreys, y Rob Norwell se responden a preguntas claves.

Busca tu estado de amenaza en tiempo real en cualquier parte del mundo y en 3D.

Test para medir reacción de los usuarios

Como novedad destaca la aparición por primera vez el estándar ISO 22301 para sistemas de gestión en continuidad de negocio con 1757 certificados.

Casi el 70 % de los gerentes de compras de grandes organizaciones creen que las PYME proveedoras podrían hacer más para proteger los datos sensibles de los clientes.

KeePass al descubierto
04/November/2015
La herramienta open source "KeeFarce" accede a las password cifradas almacenadas en KeePass.

Disponible en Google play, cuando se descubre una vulnerabilidad, Google recibe la noticia y se aplica un parche para Android.

A nivel global se ha estimado un déficit de más de un millón de profesionales de ciberseguridad.

¿Por qué no aplicar los principios Lean a la estrategia de implantación del SGSI y de gestión de riesgos atendiendo ar la norma ISO 27001?

La protección de los dispositivos para que no lleguen a estar comprometidos y evitar dispositivos como fuente de ataque son los dos ejes de este artículo de Ben Desjardins (Director de Security Solutions, Radware).

Este y otros artículos de interés en el mundo de los data centers ya disponibles en el último número de la revista DatacenterDynamics.

Hack a las pulseras FitBit que en 10 segundos permite convertirlas en distribuidoras de malware

Las organizaciones que hasta ahora han venido basando sus transferencias a destinatarios en los EE.UU. adheridos al sistema de Puerto Seguro (p. ej., compañías matrices, proveedores de servicio, etc.) han de buscar ahora alternativas, tales como el consentimiento, las cláusulas contractuales tipo o las reglas corporativas vinculantes

Panda Security ha consultado a compañías como Adecco y Michael Page para ver cuáles son los roles más buscados, qué certificaciones tienen y cuánto cobran.

Malwarestats
28/October/2015
El propósito de MalwareStats.org es proporcionar una valiosa ayuda a la fase de análisis en la exploración de las características del código permitiéndo tomar decisiones más concretas,motivadas por estadísticas estructuradas.

?La rápida digitalización de la industria de la salud, en combinación con el valor de los datos que se manejan en ella, ha aumentado considerablemente el número de ataques dirigidos contra dicho sector?, asegura Carl Leonard, analista de seguridad de Raytheon | Websense.

Prueba gratuita de cumplimiento de las directrices del NIST, de los requisitos de PCI DSS, de las vulnerabilidades y debilidades más recientes de SSL/TLS y de contenido de terceros inseguros que pueden exponer la privacidad del usuario.

El objetivo es universalizar el acceso a los servicios públicos de seguridad ciudadana, de modo que cualquier persona, con independencia de su idioma, origen o de sus discapacidades auditivas o vocales pueda comunicar a las Fuerzas y Cuerpos de Seguridad del Estado (Policía y Guardia Civil) una alerta sobre un acto delictivo o incidencia de seguridad del que está siendo víctima o testigo.

Presentado por el Despacho de Abogados con especialización en tecnología y protección de datos:ABANLEX con referencias a la legislación española y análisis de obligaciones.

¿Qué ocurre después de un ataque que ha conseguido su objetivo? El informe muestra ejemplos de cómo los datos robados son colocados en paquetes según su categoría.

Novena edición de la publicación de Deloitte con la evaluación del estado en la gestión del riesgo en la industria de servicios financieros.

iOS 9 está fuera, y es el momento de actualizar tu iPhone o iPad a la última versión del sistema operativo móvil de Apple.

Revision de los riesgos y retos en la cadena de provisión de servicios en las tecnologías de la información las comunicaciones.

Herramienta de consulta del estado de la regulación en materia de protección de datos para países del todo el mundo con posibilidad de comparación entre países.

Dentro de la serie con 6 publicaciones, esta parte define y describe los conceptos y guía en la gestión asociados con la seguridad en las redes de comunicaciones.

KRiO homologada por ENISA
20/September/2015
La Agencia Europea de Seguridad de las Redes y de la Información ha includo en su Catálogo de Soluciones de Análisis de Riesgos la herramienta basada en la metodología internacional de análisis y gestión del riesgo ISO 31000,

El evento, que se celebra el próximo día 8 de octubre, será de acceso gratuito tanto para asociados de ISACA Madrid, como para no asociados.

La operadora española, a través de su filial ElevenPaths, ha cerrado la adquisición de la solución tecnológica GesConsultor, especializada en los sistemas de gestión y cumplimiento normativo (Governance, Risk & Compliance o GRC)

Mobile Malware Report
15/September/2015
Informe trimestral de amenazas de la empresa G Data que llama la atención sobre las apps dedicadas al espionaje de los dispositivos móviles, especialmente en el malware pre-instalado de fábrica en el firmware de algunos terminales.

Desglosa aspectos en "MOBILE & IOT", "WEB THREATS", "SOCIAL MEDIA & SCAMS", "TARGETED ATTACKS", "DATA BREACHES & PRIVACY", "E-CRIME & MALWARE". Las publicaciones de Symantec Security Response están realizadas por un equipo internacional de ingenieros de seguridad, investigadores y analistas de amenazas que desarrollan una variedad de contenidos sobre las amenazas más recientes y su impacto en las organizaciones y los usuarios finales.

El objetivo de la norma es mostrar la relación correspondiente entre las versiones revisadas de la norma ISO/IEC 27001 e ISO/IEC 27002 además de ser de utilidad para todos los usuarios que migran de las versiones de 2005 a las de 2013 en ambos estándares.

Proporciona directrices para la implementación de sistemas para la gestión de la información relacionda con la identidad y especifica los requisitos para la implementación y operación de un marco para la gestión de identidades.

Proporciona orientación sobre el análisis e interpretación de la evidencia digital con enfoque a cuestiones de continuidad, validez, reproducibilidad y repetibilidad.

Proporciona orientación sobre mecanismos para asegurar que los métodos y procesos utilizados en la investigación de los incidentes de seguridad de la información son apropiados.

La comunicación vía e-mail puede exponer a individuos y a organizaciones al robo de información personal y económica y ser atacados en el momento más crítico.

Alternativa de una compañía británica al tradicional código PIN de cuatro dígitos utilizado para acceder a la banca en línea. Intelligent Environments indica que su servicio con emoticonos es más seguro porque hay más posibles combinaciones posibles (44 emoticonos en vez de números 0-9).

Iniciativa dedicada a la destilación de datos sobre fugas, violación y hackeo de información de todo el mundo con hermosos, interesantes y, sobre todo, útiles visualizaciones, infografías y diagramas.

Informe de libre acceso por expertos en seguridad de Trustwave sobre el rendimiento de la inversión en relación con actividades ilegales online y que aumenta significativamente en su retorno de la inversión.

Parte de la demostración realizada a políticos de Reino Unido que confirmaron utilizar estas redes de modo habitual y de no haber recibido formación en seguridad para mitigar los riesgos al respecto.

Publicadas nuevas guías PIAs en inglés (Privacy Impact Assessments) por el CNIL francés como método de ayuda a los responsables de los datos en implantar medidas de privacidad desde el diseño.

El pasado 1 de julio ha entrado en vigor la reforma del Código Penal con cambios sustanciales en relación a Internet y las nuevas tecnologías.

DRI con apoyo de Marsh estudia el estado de resiliencia en empresas Europeas. Se premia con 30EUR en Amazon.com a los 50 primeros colaboradores en la breve encuesta anónima (10min.). Resultados finales previstos para Octubre 2015.

¿Cuál es el impacto en el rendimiento general del sistema que introduce una solución antivirus? Estudio de AV Comparatives con benchmarks sintéticos en 20 soluciones distintas.

ECSA entrega certificaciones Cloud y herramientas de evaluación de libre acceso aprobadas por ENISA y desarrolladas bajo el programa European Cloud Strategy.

Estudio encargado por el Department for Business, Innovation and Skills (BIS) de UK y revisado por asociaciones independientes para inspeccionar empresas e incidentes de seguridad cibernética y tendencias emergentes.

Últimos días para el próximo curso en España e idioma español previsto del 22 al 26 de Junio en Madrid - España.

Recopilación realiada por varios CERT de todo el mundo junto a refeencias útiles de parcheo a aplicar.

Guía de ayuda útil psra identificación de riesgos en activos críticos publicada por el Departamento de Energía de los EEUU y alineada con otras guías más genéricas de ciberseguridad publicadas por NIST.

"Mientras no mejoremos la concienciación de nuestros empleados con la formación adecuada, los cimientos de la seguridad en nuestras empresas seguirán siendo frágiles".

Esta guía quiere ayudar a las PYME a comprender los riesgos y oportunidades de seguridad que deben tener en cuenta al adquirir los servicios de nube.

Incibe pone a disposición de tu empresa un servicio gratuito que permite saber de manera fácil y sencilla si algún equipo de tu empresa está infectado por una botnet.

El propósito de este documento de Cloud Security Alliance es examinar las cuestiones relacionadas con la investigación forense en entornos de nube para describir de modo resumido la integración actual de requisitos forenses en servicios Cloud con los acuerdos de nivel de servicio (SLA)

DRI es la organización que más profesionales en calidad de miembros certificados activos en continuidad de negocio registra en todo el mundo. La cifra se ha doblado desde 2008 y el crecimiento refleja el creciente interés y necesidad de profesionales adecuadamente formados en este campo. Próxima fecha de formación y examen oficial en Madrid disponible: 22 al 26 de Junio.

Se inicia la revisión de la norma junto a ISO Guide 73 por el grupo de trabajo ISO/TC 262/WG 2 con fecha de publicación prevista a mediados 2016. ISO 31000, adoptado por más de 50 organismos nacionales de normalización (70% de la población mundial), sirve de base para el desarrollo de normas y políticas en áreas de reducción y la gestión de riesgo en las organizaciones.

¿Puede la empresa perder un concurso público por utilizar software sin licencia? ¿Puede tener impacto el uso de software sin licencia en una fusión o adquisición? ¿Puede afectar el uso software sin licencia al acceso de la empresa al crédito y a otros recursos financieros? ¿Puede perder la empresa una subvención o una ayuda pública por utilizar software sin licencia? ¿Puede ser la causa directa o indirecta de una sanción de la Agencia Española de Protección de datos?...

Con la colaboración de iso27000.es, en los contenidos este whitepaper publicado por Netwrix desarrolla la situación de falsa seguridad en el cumplimiento de la protección de datos en muchas empresas junto a algunos consejos y herramientas clave para evitar sorpresas y abordar mejor el control sobre servicios externos de consultoría.

El enfoque para la gestión del riesgo en los sistemas de gestión se amplía más allá de ISO 27001, ISO 22301, ISO 20000 a otros esquemas como ISO 9001, ISO 14001. Desde iso27000.es colaboramos con ThinkTIC de Logroño en una formación conjunta a empresas de la región con fechas posteriores en Madrid y Barcelona con cursos oficiales del DRI.

Whitepaper de descarga gratuita de Anixter en colaboración con Datacenter Dynamics que presenta una metodología estructurada, flexible y adaptable de seguridad física en Data Centers que ayuda a mitigar el riesgo de posibles brechas en aproximación por capas.

Un informe publicado por US Government Accountability Office (GAO) advierte a Federal Aviation Administration de los problemas graves para la seguridad cibernética a los que se enfrenta.

Tras la extraña finalización el pasado año del desarrollo del proyecto más popular en software de cifrado llega la duda de los usuarios en la migración a soluciones alternativas que no les expongan a vulnerabiliades de seguridad.

El informe "Secunia Vulnerability Review" revela 15.435 vulnerabilidades en 3.870 aplicaciones diferentes y desarrollados por 500 proveedores distintos durante 2014.

A celebrar los días 2 y 3 de Julio en Amsterdam con el objetivo de reunir las mejores intervenciones de expertos de nivel mundial y sesiones de carácter práctico en materia de gestión de riesgos y crisis.

Informe con recomendaciones que analiza el papel de las compañías aseguradoras británicas como un medio para que las empresas sean más resistentes a los ataques cibernéticos, ademas de una nueva forma de exportar el liderazgo desde Londres en servicios de seguros cibernéticos y otros relacionados.

Seguir unas sencillas buenas prácticas permite proteger tu información más valiosa y asegurar tu empresa.

Próximo curso en España e idioma español previsto del 22 al 26 de Junio en Madrid - España.

Ya están disponibles las presentaciones del pasado congreso anual del DRI además de nuevos whitepapers y presentaciones de pasadas ediciones en temas de gestión de la continuidad del negocio. Acceso mediante registro previo de cuenta de usuario gratuita.

Marco de gestión en la mejor manera de preparar una organización para afrontar investigaciones digitales antes de que ocurran. Esta norma se aplica para el desarrollo de procesos estratégicos (y decisiones) relativas a la conservación, la disponibilidad, el acceso y la efectividad en la divulgación de pruebas digitales. Aplicable a todos los tipos y tamaños de organizaciones.

Diversos planes de suscripción y acceso a las 36 normas de la serie ISO 27000 y actualizaciones que se vayan publicando incluyendo ISO/IEC 27001. Diversos planes anuales o mensuales (p.ej. un usuario por 32EUR/mes) con renovaciones automáticas voluntarias según necesidad.

El objetivo de este documento publicado por Mozilla es ayudar al personal técnico de operaciones a configurar TLS en los servidores del modo más seguro. Se incluye herramienta de generación de ficheros de configuración para diversos tipos de servidores.

Seguridad Móvil
09/March/2015
"Security in a box" recopila una serie de aplicaciones Freeware y de código abierto para Android y mantener la privacidad en las comunicaciones móviles. Los usuarios iOS disponen de herramientas similares como la recien publicada Signal 2.0.

Memex busca desarrollar la próxima generación de tecnologías de búsqueda y revolucionar el descubrimiento, organización y presentación de los resultados de búsqueda en alcances más amplios de los actuales y de manera individualizada o segmentada. El programa aplica búsquedas definidas según el usuario y orientadas a dominios específicos de información pública y planea utilizar su innovadora investigación para combatir la trata de personas.

La compañía ha conseguido la acreditación Silver para el complejo RediT de Tultitlán Fases 1 y 2 y la certificación Gold para KIO Santa Fe, Fases 5 y 6. Certified Energy Efficiency in Data Centres Award es un programa de ámbito internacional, independiente y no relacionado con proveedores o fabricantes específicos que proporciona una evaluación auditada y certificada de la implementación de las mejores prácticas en eficiencia energética dentro de un data center sin poner en riesgo la disponilidad de la operativa.

Incluímos VEGA en nuestro repositorio ISO27002.es como escaner free y open source para testar la seguridad en aplicaciones Web (SQL Injection, Cross-Site Scripting (XSS), fuga de informacion, entre otros). Escrita en Java, GUI y disponible para Linux, OS X y Windows.

Interesante post de Ingertec sobre los cambios propuestos en el ENS en base a información recopilada de todas las administraciones Públicas por el Ministerio de Hacienda y con la colaboración del Centro Criptológico Nacional,

A pesar del alto procentaje de personas que lo practica, no es una buena práctica aceptar sin leer previamente los términos y condicioes de alta en un servicio, Esto es esencial en el caso de organizaciones ya que la aceptación de un servicio sin revisar los términos puede incumplir leyes, términos de contratos y regulaciones con multas, pérdidas económicas y propiedad intelectual de la empresa y de clientes de alto impacto.

ISO/IEC 27039 proporciona directrices de ayuda a las organizaciones en la implantacion de sistemas de prevención y detección de intrusiones (IDPS), específicamente, en las actividades de su selección, implementación y operativa.

EUROCLOUD es la asociación líder europea de empresas de SaaS y Cloud Computing con 27 capítulos nacionales. Evento de 2 días, ISO27000.es presente el viernes 13 de Marzo con la conferencia "Data Center: Los pilares de la nube" información procedente en exclusiva de estudios de inteligencia de mercado y de la amplia experiencia de DataCenterDynamics en el sector de los Data Center

DatacenterDynamics Converged presentará el próximo 9 de abril en Kinépolis, Madrid la primera edición de Mission Critical Security Summit 2015, el congreso de referencia en seguridad convergente que ya ha triunfado en el resto del mundo. ISO27000.es colabora activamente en la organización de estas conferencias y para toda región LatAm.

Documento en el que ha colaborado ISO27000.es dentro del grupo internacional de traducción y con acceso previo registro gratuito desde la página de DRI.

Publicada ISO/IEC 27040
19/February/2015
ISO/IEC 27040: 2015 proporciona orientación técnica detallada sobre cómo las organizaciones pueden definir un nivel apropiado de mitigación de riesgos mediante el empleo de un enfoque bien probado y consistente para la planificación, diseño, documentación e implementación de seguridad en el almacenamiento de datos.

Interensante entrada con aplicación de controles ISO 27002 por parte de Toni Grimaltos, Licenciado en Informática e integrante del Servicio de seguridad de la información DGTI de la Generalitat Valenciana.

Esta versión del CCSM contiene: 27 objetivos de seguridad, un mapeo para el sistema de certificación ISO 27001, y la norma ISO27018 (como primeros ejemplos), una visión general de 29 documentos relevantes con los requisitos NIS de 11 países (Reino Unido, Italia, Países Bajos, España, Suecia, Alemania, Finlandia, Austria, Eslovaquia, Grecia, Dinamarca).

Plataformq que muestra en un mapa interactivo y en tiempo real millones de ataques cibernéticos en todo el mundo.

Desde el punto de vista del personal TI encuestado, el 78% apunta al descuido de los empleados en la aplicación de las medidas de seguridad como mayor amenaza, seguido del 68% en el incremento de dispositivos conectados a la red y un 66% por el uso de aplicaciones comerciales en la nube en el puesto de trabajo.

El virus ha sido creado un grupo de investigadores de la Universidad de Liverpool y demuestra la vulnerabilidad de las redes inalámbricas.

ENISA ha publicado el análisis anual sobre el panorama de las amenazas. El documento analiza en detalle las amenazas cibernéticas actuales y proporciona información útil sobre tendencias.

ISO: Beneficios tangibles
19/February/2015
Los beneficios que aporta la implantación de las Normas ISO pueden ser medidos y confirmados, Existen varios estudios que constatan los beneficios de su implantación y recopilados en este artículo de modo sumarizado.

Radar CND
19/February/2015
Recurso de libre acceso que permite estar actualizado sobre el estado actual de la seguridad en base a distintos mapas. Dispone de versión para smartphone.

Documento del Centro de Ciberseguridad Industrial (CCI) para la desarrollo de un marco general de un SGCI.

Aprobada originalmente en 2002 como marco para el desarrollo y mantenimiento de controles mínimos de seguridad y protección de los sistemas de información federales. FISMA introduce desde Diciembre de 2014 varios cambios clave en la supervisión de políticas y prácticas en seguridad de la información.

En la biblioteca de presentaciones (registro gratuito) Crosswalk? del estándar de ISO 22301 y los diez prácticas profesionales de DRI International donde se explica como los dos estandares están relacionados.

El grupo conocido por sus ataques a Microsoft Xbox Live y Sony Playstation ha lanzado una herramienta DDoS para que cualquiera pueda tirar una website o servicio online en 8 paquetes de contratación que parte de los 6USD para 100 seg. de indisponibilidad. La entrevista de Sky News a uno de sus miembros desvela lecciones aprendidas sobre seguridad.

Móviles, ordenadores portátiles, tabletas y teléfonos inteligentes están presentes en las reuniones, en el aeropuerto, en el coche y en casa preparados para responder a cualquier necesidad instantáneamente, ¿Cómo lidiar con dispositivos multifunción, documentos y separar propiedad personal y laboral?, ¿Cómo gestionar proveedores?

Según estudios de la industria, la devaluación en la venta de datos de tarjetas de crédito en el mercado negro junto a las deficiencias en el tratamiento de la información en los servicios de salud ganan atractivo para los atacantes en el 2015.

Las "esperanzadoras" noticias en diversos medios sobre la sustitución de las farragosas contraseñas por sistemas biométricos constrastan con el reciente "robo" de huellas digitales a la ministra de defensa alemana Ursula von der Leyen por The Chaos Computer Club; Por favor no rompan aún sus post-it y papeles diversos...

Interesante documento en el que se representan diferentes modelos y técnicas utilizadas para resolver y mejorar la seguridad de los sistemas de correo electrónico y evalúa cada uno desde el punto de vista de la seguridad.

Nuevo acceso integrado en nuestro portal a las referencias y utilidades para la versión 2013 de los controles del portal iso27002.es. Los contenidos con video información y nuevas sorpresas se irán publicando en próximas fechas.

La aplicación de las metodologías de análiiss del riesgo se extienden a otros sistemas de gestiòn como ISO 9001 con nuevas posibilidades de integración entre normas ISO y con negocio.

Como es habitual por estas fechas ISO ha publicado la encuesta que cuenta el número de certificados expedidos por organismos de certificación que han sido acreditados por los miembros del Foro Internacional de Acreditación ( IAF ).

Rrenovada visión sobre la seguridad en la Nube en el mercado español e hispanoamericano.

Publicación en España de la traducción de la norma ISO/IEC 27001:2013 y que se une a otras traducciones al español de países como Colomibia, Chile y Uruguay.