Primer borrador de principios éticos para la inteligencia artificial
22/December/2018
22/December/2018
La Comisión Europea ha publicado un texto provisional que establece una serie de principios rectores como la supervisión por parte de seres humanos y el respeto por la privacidad y la transparencia.
ThiberDigest: Ciberataques Noviembre
21/December/2018
21/December/2018
Entre otros artículos de interés, Thiber nos brinda el análisis e informes sobre ciberseguridad del pasado mes de Noviembre.
Reforzar la ciberseguridad de Europa
21/December/2018
21/December/2018
El Reglamento de Ciberseguridad, propuesto en 2017 como parte de un conjunto de medidas de amplio alcance destinadas a hacer frente a los ciberataques y reforzar la ciberseguridad en la UE
Chile: Nuevo Centro de Respuesta a Incidencias de Ciberdefensa
21/December/2018
21/December/2018
A cargo del Ministerio de Defensa, este centro deberá adoptar las normas y revisión detallada de las redes, sistemas y plataformas digitales de funcionamiento crítico.
Estándares para la protección en aviación
21/December/2018
21/December/2018
Muchas organizaciones comerciales están trabajando arduamente para garantizar la seguridad y protección de la industria de la aviación. Este artículo cubre los estándares relacionados que pueden ayudar a mejorar el nivel de seguridad ante ciberataques.
Proteger las cadenas de suministro contra ciberataques.
10/December/2018
10/December/2018
Además de la familia de normas ISO/IEC 27000 para la gestión de servicios de TI y la serie de publicaciones horizontales IEC 62443 para redes industriales de comunicación y de IACS, una serie de comités técnicos (TC) y subcomités (SC) de IEC han desarrollado estándares y especificaciones técnicas (TSs) y Requisitos para sectores específicos.
Guía CISO para reforzar la ciberseguridad
10/December/2018
10/December/2018
Guía de libre descarga que organiza los temas de interés tratados durante 2018 en las publicaciones del blog de Center for Internet Security (cisecurity.org).
Publicada Ley de protección de datos personales España
25/November/2018
25/November/2018
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales con entrada en vigor el 7 de diciembre de 2018 y que deroga el Real Decreto-ley 5/2018, de 27 de julio y, con las excepciones indicadas, la Ley Orgánica 15/1999.
Publicada formación DRI 2019
25/November/2018
25/November/2018
La formación para 2019 incluye formación de preparación intensiva en buenas prácticas de continuidad para el examen de cualificación oficial del DRI en dos días.( BCP501) y para aquellos ya experimentados en la materia.
Solid, Open source de Internet descentralizado
25/November/2018
25/November/2018
Solid es una plataforma en la que los usuarios almacenar sus datos personales en una especie de llavero USB online ("pod") que guarda toda la información del usuario de forma local, desde su identidad online hasta las fotos que él mismo suba de forma que tiene el control absoluto de su información.
Partidos políticos: «Gran Hermano» de sus ciudadanos
25/November/2018
25/November/2018
Muchas son las voces que se han levantado en contra de la modificación de la Ley Orgánica del Régimen Electoral General (Loreg) que propone el texto del proyecto de la Ley Orgánica de Protección de Datos Personales (LOPD), con el que la legislación española se adapta al Reglamento General de Protección de Datos (RGPD).
Nueva edición ISO 19011:2018
19/November/2018
19/November/2018
Versión aciualizada de la anterior guía publicada en 2011 que introduce cambios clave en esta versión 2018 entre los que se incluye el enfoque basado y orientado al riesgo en la gestión del programa de auditoría y el desarrollo de las auditoías por encima de la verificación de los requisitos individuales en los sistemas de gestión":
Análisis de ciberataques de Octubre 2018
19/November/2018
19/November/2018
Tercer número de THIBER DIGEST, la revista mensual del Think Tank en ciberseguridad y ciberdefensa con contenidos de interés y actualidad.
Ciiberseguridad: Tarea de todos
19/November/2018
19/November/2018
Publicación del Grupo de Trabajo de la Iniciativa Nacional para la Educación en Ciberseguridad (NIST), la guía describe lo que cada miembro de una organización debe hacer para protegerla de las amenazas cibernéticas, en función de los tipos de trabajo que realice cada individuo (liderazgo, ventas, marketing, comunicaciones, finanzas, instalaciones, infraestructuras, RRHH, administración, legal, ...)
Niueva publicación: ISO/IEC TS 19608:2018
19/November/2018
19/November/2018
El alcance de este documento son, inicialmente, desarrolladores que implementan productos o sistemas que tratan con información de identificación personal y desean someterse a una evaluación de seguridad de esos productos utilizando ISO/IEC 15408.
DRI International 2018 Global Risk and Resilience Trends Report
19/November/2018
19/November/2018
Acceso previo logon (registro libre) y desarrollado por el Comité de Visión para el Futuro de DRI, proporciona una perspectiva global y un análisis integral de las tendencias por parte de los profesionales de la resiliencia y los factores externos que la conforman.
Cryptography CC StarAudit Catalogue
16/October/2018
16/October/2018
EuroCloud Europe lanza el nuevo catálogo en criptografía centrado en la privacidad de datos técnicos y evaluaciones criptográficas.
The Big Hack: Chips chinos dirigidos a empresas EEUU
16/October/2018
16/October/2018
Descubierta druante una auditoría, la instalación de microchips durante el ensamblaje por subcontratistas chinos afecta a cerca de 30 empresas estadounidenses, incluidas Amazon y Apple, según entrevistas extensas con fuentes gubernamentales y corporativas.
Center for Security Studies: Cyber Defense Project
16/October/2018
16/October/2018
Análisis de los ciberconflictos en claves stratégicas y políticas, diferenciando de las activades del cibercrimen y enfocando el análisis hacia las guerras de la información y actividades de inteligencia de los estados..
ISO27000.ES: 13 años difundiendo las buenas prácticas
16/October/2018
16/October/2018
Celebramos el cumpleaños de esta iniciativa con todos los 370.000 visitantes únicos anuales de nuestro portal y con la norma ISO 27001 en el tercer puesto mundial con más certificaciones tras ISO 14001 e ISO 9001.
Sistema de Gestión de la Ciberseguridad Industrial
10/October/2018
10/October/2018
El Centro de Ciberseguridad Industrial ha publicado un conjunto de requisitos del SGCI en base a los requisitos de los estándares ISO 27001 (controles ISO 27002) e IEC 62443 y el modelo de madurez del CCI.
Inteligencia Artificial contra ingeniería social
09/October/2018
09/October/2018
KnowBe4 ha desarrollado un "Virtual Risk Officer" con capacidades de informes avanzadas como innovación para gestionar a los usuarios respecto a las amenazas típicas de ingeniería social.
Octubre: Mes de la ciberseguridad en USA
09/October/2018
09/October/2018
Colaboración del U.S. Department of Homeland Security (DHS) con público y partners que ponen a disposición, entre otros, de un toolkit con enlaces y referencias a herramientas y eventos programados.
Octubre: Mes de la ciberseguridad Europa
09/October/2018
09/October/2018
Acceso a la agenda organizada en la UE para actividades de formación y concienciación en Ciberseguridad.
EU: Hacia un proyecto común de ciberseguridad
26/September/2018
26/September/2018
La primera legislación de la UE en materia de ciberseguridad, la Directiva sobre seguridad de las redes y los sistemas de información (Directiva SRI), pasó a ser plenamente vinculante en mayo de este año.Horizonte Europa y el programa Europa Digital tienen asignados 2.000 millones de euros a la ciberseguridad.
DRI: Tendencias y Predicciones en Continuidad de Negocio
26/September/2018
26/September/2018
Anota en tu calendario este 12 de Octubre de 2018 en el horario 9:00 a.m. - 10:00 a.m. CDT, para asistir al webinar educacional del DRI. DIR busca entregar beneficios a sus profesionales certificados y a la comunidad del DRI en general.
ISO 20000-1: Publicada versión actualizada 2018
26/September/2018
26/September/2018
Actualiza la versión 2 publicada el 2011 y se adapta al esquema de publicación "Anexo SL" para los sistemas de gestión para una mejor integración con otros esquemas.
THIBER DIGEST: Primer número publicado
26/September/2018
26/September/2018
Revista mensual de ciberseguridad y ciberdefensa con contenidos de interés para el aprendizaje como, entre otros, los informes y análisis sobre ciberseguridad publicados en Agosto de 2018.
Añadir errores de código: retrasando ataques
26/September/2018
26/September/2018
Se trata de un enfoque interesante que tiene el potencial de frenar bastante a los atacantes maliciosos
Guía nacional de estrategia de ciberseguridad
26/September/2018
26/September/2018
Publicada por la Unión Internacional de Telecomunicaciones, organismo de las Naciones Unidas, pretende ayudar a los países a desarrollar e implementar estrategias de ciberseguridad que incluyen la preparación cibernética y la capacidad de recuperación.
ISO 27001: 19% de aumento anual en certificaciones
26/September/2018
26/September/2018
Publicado el informe actualizado de ISO sobre el úlitmo año 2017 con el mantenimiento del crecimiento mundial en un 19% para ISO 27001 pero también de otras certificaciones relacionadas como ISO 22301 (11%) y de ISO 28000 (39%) para la continuidad del negocio y cadena de suministro respectivamente.
Tecnología y Sentido Común
26/September/2018
26/September/2018
Invitamos a todos los seguidores de ISO27000.es al próximo programa del 30 de Octubre en directo (22:00 a 24:00 hora peninsular España) y con acceso posterior de descarga del podcast.
NIST Framework: +129000 descargas en 4 meses
24/August/2018
24/August/2018
Marco adaptable para proporcionar una implementación flexible y basada en el riesgo y que se puede utilizar con una amplia gama de procesos de gestión de riesgos de ciberseguridad como ISO 31000: 2009, ISO/IEC 27005:2011, NIST 800-39 y el Proceso de Gestión de Riesgo (RMP) de Ciberseguridad en el sector eléctrico.
Dispositivos móviles: Guía del comprador y seguridad
24/August/2018
24/August/2018
Guía desarrollada y escrita en conjunto con CESG (autoridad técnica nacional para la seguridad de la información del gobierno del Reino Unido) para informar a los consumidores en los aspectos de seguridad de los diferentes teléfonos inteligentes, tabletas y computadoras portátiles.
Ciberseguridad y cadenas de suministro
23/August/2018
23/August/2018
Hasta el 80% de las brechas cibernéticas pueden tener su origen en las cadenas de suministro. Protegerlas es una prioridad absoluta.
Simuladores de plataformas de almacenamiento
16/August/2018
16/August/2018
Listado de simuladores VSA (Virtual Storage Appliances, SAN y NAS útiles para entornos de desarrollo y la gestión del cambio.
10 modelos de DRPs de libre consulta
16/August/2018
16/August/2018
Crear un plan de recuperación de desastres (DRP) desde cero es una tarea desalentadora. Afortunadamente, hay ejemplos útiles como esta recopilación.
Cracking de redes WPA2 Wi-Fi en 10 minutos
13/August/2018
13/August/2018
Descubierta por casualidad por Jens Steube (creador del open-source software) se puede atacar por fuerza bruta y en base al análisis de un único páquete. WPA3 no estaría expuesto a este tipo de ataque.
Publicada ISO/IEC 27005:2018
26/July/2018
26/July/2018
Actualización de la norma con las guías de ayuda para la gestión de riesgos en seguridad de la información en las organizaciones y alineada con la útima versión de ISO/IEC 27001:2013.
Factor humano y política de seguridad
26/July/2018
26/July/2018
Una buena manera de garantizar que vamos a contar con una plantilla responsable en materia de ciberseguridad es establecer controles en los procesos de contratación y cese.
Cinturón y tirantes para la ciberseguridad
26/July/2018
26/July/2018
Es necesaria una estrategia integral que combine las mejores prácticas con pruebas y certificación como mejor forma de desarrollar la resiliencia cibernética.
RMLE2000-Madrid: Úlitma oportunidad 2018
20/July/2018
20/July/2018
Del 10 al 14 de Septiembre último curso oficial del año en Madrid para los interesados en la gestión de riesgos y en obtener reconocimiento internacional en esta materia
RMLE2000-Madrid: Úlitma oportunidad 2018
20/July/2018
20/July/2018
Del 10 al 14 de Septiembre último curso oficial del año en Madrid para los interesados en la gestión de riesgos y en obtener reconocimiento internacional en esta materia
Pentesting de aplicaciones web
19/July/2018
19/July/2018
Mtetodología para el análisis de seguridad de aplicaciones Web divididas y analizadas en cinco pasos principales: Obtención de información, planificación del análisis, detección de vulnerabilidades, test de penetración y realización de informes.
Guía promovida y coordinada por la AEPD e ISMS Fórum, con la participación de numerosos profesionales y expertos del sector.
Azure: Planes de cumplimiento y seguridad
18/July/2018
18/July/2018
"Azure Security and Compliance Blueprints" son recursos para ayudar a crear y lanzar aplicaciones basadas en la nube dentro del cumplimiento de la normativa y los estándares más estrictos en adminsitración pública, finanzas, sanidad, retail y/o privacidad entre otros marcos.
ISO/IEC 27034: Actualización partes 3, 5 y 7
18/June/2018
18/June/2018
Esta norma es específica para la seguridad en aplicaciones informáticas y consistente en 7 partes. La parte 3 sobre el proceso de gestión de seguridad en aplicaciones y la parte 7 como marco predictivo de en la seguridad son de primera versión de publicación.
Cloud y renovación de las administraciones públicas
18/June/2018
18/June/2018
Cloud ya estuvo en el punto de mira de la última administración EEUU con la iniciativa "Cloud First" y en 2018 se acelara su adopción poniendo en marcha un primer conjunto de protocolos estandarizados de seguridad para Cloud gubernamentales.
NIST: Gestión de activos en sector energía
11/June/2018
11/June/2018
Para permanecer completamente operacionales, las entidades del Sector de Energía deberían ser capaces de identificar, controlar y monitorear todos los activos. Este proyecto proporcionará orientación sobre cómo mejorar la gestión de activos.
10 opciones en Disaster Recovery
11/June/2018
11/June/2018
Crear un plan de recuperación de desastres desde cero es una tarea desalentadora. Afortunadamente, hay ejemplos de libre acceso como punto de partida.
Informe de Riesgos Globales 2018
11/June/2018
11/June/2018
Los riesgos ambientales y la ciberseguridad son dos de las principales preocupaciones y amenazas del mundo en 2018, según el Informe de Riesgos Globales 2018 que elabora anualmente el Foro Económico Mundial en colaboración con diversas compañías.
NIST: Digital Identity Guidelines
10/June/2018
10/June/2018
Este documento proporciona recomendaciones sobre los tipos de procesos de autenticación, incluidas las opciones de autenticadores, que se pueden usar en varios niveles de autentificación del autenticador (AAL). También proporciona recomendaciones sobre el ciclo de vida de los autenticadores, incluida la revocación en caso de pérdida o robo
La gestión del riesgo es una prioridad en todos los sectores, desde la cadena de suministro hasta la ciberseguridad. Los profesionales en este campo deben estar al frente para realizar evaluaciones de riesgos, reducir las vulnerabilidades de la organización, seleccionar controles de riesgos rentables y obtener la aprobación de la alta gerencia.
Los colegas de negocios, no la organización de TI, deben definir la matriz de priorización de incidentes como ejercicio reflexivo y resuelto que produzca resultados que cumplan con los requisitos del negocio, impulse la satisfacción del usuario final y permita que TI tenga éxito en la gestión de un incidente.
CWE/SANS: Top 25 más peligrosos errores software
10/June/2018
10/June/2018
Agrupados en tres categorías se indican los errores en el desarrollo que exponen al software de manera más crítica junto a posibles soluciones.
CSIS: Incidentes Cibernéticos significativos
10/June/2018
10/June/2018
"Center for Strategic & International Studies" pone a disposición en su página web de todos los incidentes importantes en ciberseguridad (agencias gubernamentales, defensa, compañías TIC, pérdidas económicas) que se han producido desde 2006.
CIS: Guías de configuración en seguridad
18/May/2018
18/May/2018
Las guías del Center for Internet Security establecen una configuración efectiva y auditable en difererntes sistemas como Microsoft Windows (XP a Wiwdows 10), Windows server (2003-2016), LINUX (Debian, Ubuntu, CentOS...), Apple, IBM, Oracle, VMware, Tomcat, SQL server, Kubernetes, Azure, ....
A Risk Practitioners Guide to ISO 31000: 2018
18/May/2018
18/May/2018
Revisión de la versión 2018 del estándar ISO 31000 para la gestión de riesgos junto a comentarios del uso de esta guía por parte de los profesionales en materia de riesgos y alineamiento con Anexo SL de estándares ISO.
Artículo con enlace a White Paper Edge intelligence de libre acceso con tendencias relacionadas en las áreas de computación en la nube, redes móviles, IoT, entre otros.
En el traslado de datos a la nube la seguridad no se debe dar por hecho según el tercer informe anual sobre seguridad en la nube de la firma de seguridad cibernética McAfee.
incibe: Herramienta de Autodiagnóstico
01/May/2018
01/May/2018
Evaluación inicial online del riesgo de seguridad de tu negocio en función de cómo utilizas la tecnología: correo electrónico, página web, tabletas, smartphones, etc.Así sabrás por dónde empezar a mejorar.
Los eventos que deberías monitorizar
01/May/2018
01/May/2018
Una violación de la seguridad puede pasar inadvertida durante semanas incluso teniendo logs registrados en el servidor debido a la alta cantidad de información almacenada en el servidor. Ante la ausencia de productos SIEM se pueden aplicar medidas efectivas en estos aspectos.
Del 28 de Mayo al 01 de Junio próximas fechas en España para realizar el curso y examen oficial del DRI, instituto con el mayor número de profesionales certificados (+15 000) en Continuidad de Negocio a nivel internacional.
Todos los incidentes son importantes pero algunos más que otros. El modo en que la departamento de TI puede determinar la importancia relativa de un incidente es mediante el uso de una matriz de priorización de incidentes.
Endgame Malware Benchmark for Research
01/May/2018
01/May/2018
La empresa de ciberseguridad Endgame ha publicado un gran conjunto de datos de código abierto llamado EMBER y un software de IA que puede ser entrenado con ese conjunto de datos para ayudar a los programas automatizados de ciberseguridad a mantenerse al día.
Europol cierra WebStresser
01/May/2018
01/May/2018
WebStresser permitía contratar ataques de denegación de servicio distribuida (DDoS) contra cualquier sitio web indicada (principales usuarios localiados en Holanda, Italia, España, Croacia, el Reino Unido, Australia, Canadá y Hong Kong) a cambio una suscrpción mensual disponible desde 15 euros.
Ante la cercanía de las fechas para la adaptación y las promociones "low-cost" de consultoría/auditoría remota (algunas de ellas mediante colegios profesionales) recordamos la nota ya publicada por la Agencia de Protección de Datos indicando que las auditorías de cumplimiento no se pueden, bajo ninguna excusa llevar a cabo por medios remotos (correo electrónico, teléfono, etc),
Mind Maps en seguridad de la información
29/April/2018
29/April/2018
Información esquemática y herramientas sobre cómo cubrir los requisitos y necesidades de los diferentes marcos (ISO 27001, PCI DSS v3) y actividades en seguridad (forensics, web testing, cifrado, ...)
Toolkit de estándares internacionales para GDPR
30/March/2018
30/March/2018
Las organizaciones de todo el mundo se ven obligadas a cumplir con las nuevas y amplias normas de protección de datos de la UE si llegan a los ciudadanos de la UE con cualquier tipo de información, contenido o servicio on line.
Proteger las redes ferroviarias de ciberataques
16/April/2018
16/April/2018
Los ferrocarriles y los sistemas de metro han sido objeto de una serie de ciberataques en los últimos años y es probable que el problema empeore comprometiendo la seguridad de las personas.
NIST: Gestión de activos en el sector energético
13/April/2018
13/April/2018
Dirigido a instalaciones del sector eléctrico, gasístico y petrolífero para permanecer completamente operacionales siendo capaces de identificar, controlar y monitorear de manera efectiva sus activos tecnológicos operacionales.
Informe Verizon con tres factores clave: aumento en el uso de aplicaciones en la nube, pérdida de control en aplicaciones por parte de TI y los empleados están volviendo a los hábitos de contraseñas débiles por lo incómodo de su gestión.
Riesgos de la conectividad de teletrabajadores
13/April/2018
13/April/2018
El informe sobre 500 CIOs y responsables de TI muestra que el 81% ha experimentado un incidente de seguridad relacionado con redes Wifi y un 57% en la sospecha de trabajdores hackeados o utilizados para lanzarr incidentes de seguridad en el último año, entre otras consideraciones relevantes.
La aplicación de cifrado se incrementa
13/April/2018
13/April/2018
El informe realkzado por el Ponemon Institute en base a encuestas de 5200 profesionales de 12 países de distintas regiones a nivel mundial muestra la evolución en los últimos 13 años en la aplicación de técnicas de cifrado en las orgnizaiciones.
C5: Cloud Computing Compliance Controls Catalogue
06/April/2018
06/April/2018
Guía publicada en inglés por la oficina federal alemana para la seguridad de la información con cirterios de evaluación de proveedores de servicios Cloud.
Ciberseguridad es un prerequisito a la digitalización
06/April/2018
06/April/2018
El aumento en la complejidad de los sistemas TIC proporciona a los atacantes una amplia variedad de oportunidades en el espionaje y/o sabotaje de procesos administrativos y de negocio o el enriquecimiento a costa del esfuerzo de otros.
Proporciona pautas para la prueba de identidad de una persona. Especifica niveles de pruebas de identidad y requisitos para alcanzar estos niveles.
Teletrabajo: Nueve riesgos ocultos
04/April/2018
04/April/2018
Artículo de CIO sobre cómo desarrollar una política integral de teletrabajo para mitigar posibles responsabilidades.
Artículo de Áudea que explica cómo gestionar la seguridad con proveedores en base a ISO/IEC 27018 de seguridad en cloud como facilitador del cumplimiento del Reglamento General de Protección de Datos, en adelante RGPD.
El análisis en incidientes de seguridad hasta el 3T de 2017 indica que, aunque el número de incidentes continúa creciendo, las organizaciones tienen muchas oportunidades para prevenir y evitar en todos los niveles y funciones de trabajo
Del 28 de Mayo al 01 de Junio próximas fechas en España para realizar el curso y examen oficial del DRI, instituto con el mayor número de profesionales certificados (+15 000) en Continuidad de Negocio a nivel internacional.
Forensics en unidades de estado sólido
19/March/2018
19/March/2018
Artículo en el que se aplican herramientas de código abierto y referencias entre las que se incluyen 27037:2016, ISO/IEC 27037:2016.
Caídas en las acciones de cerca el 7% en una jornada y posibles multas multimillonarias por aportar información de 50 millones de usuarios de Facebook en EEUU a la consultora Cambridge Analytica con el objetivo de predecir las decisiones e influir en los votantes.
Dragos realiza un seguimiento de cinco actores que han atacado directamente a sistemas industriales o que han mostrado interés en recopilar información sobre este tipo de sistemas.
Nuevo Consorcio de Ciberseguridad de las Fintech
17/March/2018
17/March/2018
Tras el reciente anuncio de un nuevo Centro Internacional para la Ciberseguridad, el Foro Económico Mundial (WEF) lanza esta nueva iniciativa centrada en las Fintech. Entre los miembros fundadores del nuevo consorcio están Citigroup, Zurich Insurance Group, el prestamista fintech Kabbage y el proveedor de infraestructura financiera DTCC.
Los THIBER REPORTS son un nuevo formato documental desarrollado por THIBER que analizan cuestiones de relevancia y actualidad sobre seguridad y defensa del ciberespacio.
10 consejos para prevenir el Ransomware
17/March/2018
17/March/2018
Si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware tal y como vimos con el ransomware NotPetya.
Primera edición para proporcionar orientación sobre cómo aprovechar las normas existentes en un marco de ciberseguridad
Nueva versión ISO 27000:2018
10/March/2018
10/March/2018
Quinta edición de los términos y definiciones habitualmente utilizados en los sistemas de gestión de la seguridad de la información entre otros estándares. Está disponible para descarga sin coste en inglés y francés.
La Agencia Española de Protección de Datos (AEPD) ha presentado la Guía de Análisis de Riesgo y la Guía de Evaluación de Impacto en la Protección de Datos en un acto celebrado con asociaciones empresariales de los sectores de la banca, energía, gran consumo, seguros, publicidad y turismo, entre otros, y representantes de las Administraciones Públicas.
ISACA: Evaluaciones del impacto en Protección de Datos del RGPD
27/February/2018
27/February/2018
Documento de ISACA de libre acceso en castellano y en inglés sobre las evaluaciones del impacto en Protección de Datos de la nueva RGPD.
Vulnerabilidades en software de gasolineras
27/February/2018
27/February/2018
Tras el análisis por los investigadores de Kasperksy, concluyeron que un atacante que conozca las credenciales hardcodeadas tendría acceso a apagar todos los sistemas de provisionamiento, cambiar los precios de los productos, robar dinero a través de la terminal de pago, obtener información de las licencias de los vehículos y sus dueños, bloquear la estación a cambio de un rescate, entre otras acciones.
Riesgos de usar WhatsApp Web en entornos corporativos
27/February/2018
27/February/2018
Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones.
“4000 nuevos servidores, 45,000 nuevos PCs, 2500 aplicaciones”: El coste de no mantener actualizados los sistemas:TI para una de las muchas empresas afectadas.
Prevenir errores de gestión de identidad con un mapa de datos
27/February/2018
27/February/2018
Las soluciones de gestión de identidad (IAM) a menudo no ofrecen resultados porque las organizaciones no desarrollan un mapa de datos por adelantado como parte de sus requisitos y diseño.
The 2018 Global Cloud Data Security Study
27/February/2018
27/February/2018
La falta de políticas de seguridad en la nube pone en riesgo el 60 por ciento de los datos. Resultados de muestreo de 94.577 profesionales de seguridad TI de los Estados Unidos, el Reino Unido, Australia, Alemania, Francia, Japón, India y Brasil que están familiarizados e involucrados en el uso de sus recursos en nube tanto pública como privada.
Hacker de 15 años actuó como jefe de la CIA
27/February/2018
27/February/2018
Kane Gamble usó métodos de ingeniería social para hacerse pasar por el director de la CIA, John Brennan, y obtener acceso no autorizado a cuentas extremadamente sensibles relacionadas con operaciones militares y de inteligencia en Afganistán e Irán.
Evasive Malware: Learning by Example
27/February/2018
27/February/2018
Los autores de malware están evolucionando tan rápido como los proveedores de antivirus y seguridad. Aquí hay algunos ejemplos de cómo se implementaron técnicas evasivas en ataques que han llegado a ser titular de prensa.
OSI: Tendencias actuales de los correos electrónicos maliciosos
27/February/2018
27/February/2018
El correo electrónico además de una herramienta para el intercambio de mensajes y ficheros, sigue siendo una de las principales vías de infección por virus y malware, así como el elemento en la que se establece un primer contacto para intentar perpetrar multitud de fraudes.
GDPR: Lenta evolución en implantación en España
25/February/2018
25/February/2018
Según un informe del pasado Enero de IDC, entre los obstáculos para poder hacerlo están la limitación de recursos (49%), la ausencia de presupuesto para ello (46%) y la falta de conocimientos sobre cómo realizar el proyecto para lograrlo (42%).
Informe anual BCI Horizon Scan 2018
25/February/2018
25/February/2018
El informe publicado por el Business Continuity Institute (BCI) en colaboración con British Standards Institution (BSI), muestra que el 86% de las organizaciones que han tenido planes de continuidad comercial en funcionamiento durante cinco años o más declararon que aumentarán o mantendrán su inversión en la continuidad del negocio, lo que ha hecho aumentar la demanda de certificación de la norma ISO 22301.
Baker McKenzie: Guía de regulación global
22/February/2018
22/February/2018
Esta guía sobre regulación en servicios financieros proporciona un resumen completo de las regulaciones aplicables a los bancos y otras compañías de servicios financieros en 41 jurisdicciones de todo el mundo y reúne el conocimiento colectivo y la experiencia de más de 700 abogados de banca y finanzas en la red global de Baker McKenzie.
El daño a la reputación o la marca, el delito cibernético, el riesgo político y el terrorismo son algunos de los riesgos que las organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo deben enfrentar con cada vez mayor frecuencia. La última versión de ISO 31000 acaba de ser presentada para ayudar a manejar la incertidumbre.
Riesgos en las empresas europeas para 2018
19/January/2018
19/January/2018
Institutos de auditores internos de siete países europeos identifican ocho áreas principales donde la privacidad y la ciberseguridad son dos factores destacados.
Vulnerabilidades críticas en múltiples CPUs. Meltdown y Spectre
19/January/2018
19/January/2018
Referencias oficiales desde INCIBE sobre uno de los problemas de seguridad de mayor afectación en los últimos años.
¿Es exportable el modelo europeo de privacidad a Latinoamérica?
14/January/2018
14/January/2018
En un momento en el que Europa está haciendo un esfuerzo por adaptarse al nuevo Reglamento Europeo de Protección de Datos (RGPD), una norma consensuada en los últimos años y con cerca de 4.000 enmiendas que pretende homogeneizar la privacidad en el Viejo Continente, conviene saber qué puede pasar en Latinoamérica, donde la privacidad también importa cada vez más.
Revisión de enlaces
14/January/2018
14/January/2018
Iniciamos el presente año con una renovación de todos los enlaces disponibles desde nuestras páginas de modo que algunos se han actualizado y se han eliminado las referencias más desactualizadas introduciendo otras nuevas según el caso.
Incluso cuando las vulnerabilidades quedan expuestas y se producen ataques dañinos, hay pocas repercusiones duraderas. Casi sin excepción, los precios de las acciones se recuperan, los clientes vuelven, los ejecutivos mantienen sus trabajos o salen con paracaídas dorados, mientras el gobierno mira hacia otro lado.
SeguInfo: Entendiendo e implementando la "concientización"
14/January/2018
14/January/2018
Concientizar va más allá que dar un curso de inducción o pegar anuncios en todo el edificio y la realidad es que la mayoría se queda en capacitar y educar. ¿Por que? Pues por que concientizar es llegar al elemento más sensible del ser humano.
Actualización de antivirus en sistemas de control industrial
14/January/2018
14/January/2018
Enlace desde el DHS ICS-CERT al documento de buenas prácticas recomendadas por el Centro nacional de ciberseguridad y comunicaciones (NCCIC) que añadkmos a la sección 12.2 de nuestro apartado ISO 27002. Es interesante por todos los problemas actuales de no poder envíar actualizaciones automáticas a los sistemas que no tienen una clave de registro AV actualizada en ciertos entornos.
Esta edición amplía su alcance y colaboración con la participación de los capítulos Español, Peruano y Argentino y el capítulo de Madrid de ISACA, y con el estreno de los capítulos Chileno, Boliviano, Brasileño y Colombiano de Cloud Security Alliance.
Análisis de la publicación del proyecto abierto de seguridad en aplicaciones Web OWASP en el que los ataques de inyección vuelven a ser el mayor riesgo de seguridad, al igual que en las dos ediciones anteriores de 2013, y 2010.
Hispasec: Un repaso del 2017 en la seguridad
14/January/2018
14/January/2018
Desde 2017 será recordado como el año de Wannacry en España y otros países del mundo, pero también por filtraciones como la de Equifax o el exploit en Apache Struts que la provocó
Whisply: Solución de cifrado de extremo a extremo
14/January/2018
14/January/2018
Herramienta que no requiere de software adicional y que añadimos a las referencias del dominio 13 de ISO 27002.
Desde el pasado mes de octubre está publicada y lista para su libre descarga con actualizaciones y mejoras que lo hacen aún más útil. Los tipos de métricas, la orientación sobre cómo usarlos, los niveles de madurez y las prácticas de gestión ahora están mejor documentados y son más fáciles de usar.
Marco de la ciberseguridad
14/January/2018
14/January/2018
Matriz con el mapeo de los estándares internacionales más reconocidos en seguridad (Cobit, ISA 62443, ISO/IEC 27001:2013, NIST SP 800) respecto un marco para la identificación, protección, detección y respuesta relacionado con las infraestructuras críticas.
La entrevista expone los riesgos de la seguridad en la redes eléctricas y la ayuda que supone el uso de la serie de estándares ISO 27000 (como ISO 27002 o ISO 27019), Common Criteria, serie IEC 62443, entre otros.
El pasado mes de Diciembre se llevó a cabo el primer Día de la Continuidad del Negocio en la instalaciones del Banco Nacional de Costa Rica con el objetivo de crear conciencia con partes interesadas del banco, así como otros miembros del sector financiero, sector privado y otras empresas.
Como orientar tu negocio IT a prueba de desastres
10/December/2017
10/December/2017
Un desastre puede golpear la infraestructura TI de su empresa en cualquier momento. Las pequeñas empresas necesitan un plan de recuperación de desastres para evitar catástrofes y tiempos de inactividad.
DRI Agenda 2018: Certificaciones en gestión de continuidad y riesgos
10/December/2017
10/December/2017
Publicadas las nuevas fechas de los cursos oficiales de preparación y exámenes del DRI en gestión de la continuidad de negocio y gestión de riesgos. DRI es una organización profesional sin ánimo de lucro con más de 13.000 profesionales certificados en más de 95 países. El número de profesionales certificados por el DRI supera el total de profesionales del resto de organizaciones para este sector.
Predicciones WatchGuard 2018
10/December/2017
10/December/2017
Presentada cada una mediante videos individuales y desde un punto de vista algo distinto a otras predicciones.
46 métricas para mejorar la ciberresiliencia en un servicio esencial
06/December/2017
06/December/2017
Este proyecto, que se desarrolla en el marco del Esquema Nacional de Seguridad Industrial (ENSI), dispone de 46 métricas agrupadas jerárquicamente por distintos entornos tecnológicos a proteger, diferenciando entre entornos de Tecnologías de la Información (TI) y entornos de Tecnologías de la Operación (TO), también conocido bajo otros nombres como tecnología industrial, SCADA o ICS.
Publicada estrategia nacional de seguridad 2017
06/December/2017
06/December/2017
La Estrategia actual, que cuenta con el informe favorable del Consejo de Seguridad Nacional de 1 de diciembre de 2017, profundiza en los conceptos y las líneas de acción definidas en 2013, y avanza en la adaptación de dicha Política y de los instrumentos y recursos del Estado que la conforman ante un entorno de seguridad en cambio constante.
Esta ley transpone al Ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
V Estudio del Estado del Arte de la Seguridad en la Nube
06/December/2017
06/December/2017
El Estudio ha sido desarrollado por ISMS Forum y el capítulo español de Cloud Security Alliance, en colaboración con Cloud Security Alliance Perú, Argentina, Chile, Bolivia, Brasil y Colombia, e ISACA Madrid.
¿Qué herramientas usa para administrar cuentas con privilegios?
24/November/2017
24/November/2017
En los detalles del estudio se observa un 18 por ciento que todavía usa un registro en papel para administrar cuentas privilegiadas y un sorprendente 36 por ciento está usando hojas de cálculo igualmente inadecuadas.
Ciberseguridad y Compliance
24/November/2017
24/November/2017
La ciberseguridad y el cumplimiento normativo son dos materias clave para intentar evitar los efectos adversos de la innovación tecnológica y para asegurar la protección de los datos de carácter personal.
Baseline Security: Recomendaciones para IoT
13/November/2017
13/November/2017
Tiene como objetivo establecer el estado de la seguridad IoT en Europa. Sirve como punto de referencia en este campo y como base para futuras iniciativas y desarrollos relevantes.
Cyber Security Awareness Month
13/November/2017
13/November/2017
Dentro de las actividades desarrolladas el pasado mes de Octubre destacamos esta curiosa recopilación de vídeos e imágenes que pueden servir de apoyo a presentaciones, formación y/o programas de concienciación.
Next-Generation Anti-Malware Testing Dummies
13/November/2017
13/November/2017
Explica por qué es necesario probar diferentes soluciones antimalware y proporciona los detalles sobre cómo puedes hacerlo de manera efectiva y segura las soluciones antimalware en su propio entorno además de indicaciones preventivas.
2017: Coste del cibercrimen
13/November/2017
13/November/2017
Estudio realizado por Accenture y Ponemon Institute apunta a un incremento del 22,7% en un sólo año y presenta detalles por países, tamaños de empresa, costes por tipo de ataque, incremento en los tipos de ataque, entre otras variables de interés.
Prácticas seguras en la apertura de documentos Office
13/November/2017
13/November/2017
Se indica mediante un video explicativo el uso de un exploit DDE y medidas para desactivar su posible ejecución en las aplicaciones MS Office.
Actualización ISO/IEC 27019:2017
13/November/2017
13/November/2017
Proporciona una guía basada en ISO/IEC 27002: 2013 aplicada a los sistemas de control de procesos (p.ej. PLCs) utilizados por la industria de la energía para controlar y monitorear la producción o generación, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor y para el control de los procesos de soporte asociados. También incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/IEC 27001:2013 a la orientación específica del sector de servicios de energía.
Estudio de revisón del Riesgo y su gestión
13/November/2017
13/November/2017
Sexto estudio anual de PwC en base a entrevistas de miembros de consejos de administración, nivel "C" de decisión y de alta dirección de todas las regiones del mundo.
Lynis – Open Source Security Auditing & Pentesting Tool
13/November/2017
13/November/2017
Lynis es una de las herramientas de auditoría automatizadas más fiables para la administración de parches de software, escaneo de malware y detección de vulnerabilidades en sistemas basados en Unix/Linux. Da soporte a los auditores de cumplimiento de esquemas como Basilea II, GLBA, HIPAA, PCI DSS y SOX (Sarbanes-Oxley), entre otros.
"Guia de la ciberseguridad" para no expertos
13/November/2017
13/November/2017
El objetivo de la publicación de ISMS Forum Spain y AGERS es disponer de una guía/diccionario básico que permita conocer a personas no expertas a que riesgos nos enfrentamos y qué medidas contamos para prevenirlos.
Es una de las 10 predicciones para los próximos años publicadas por Gardner com aspectos que suponen nuevas amenazas pero también posibles necesidades y oportunidades de negocio analizados en detalle, varios de ellos relacionados con la seguridad de la información.
Nueva publicación ISO/IEC 27034-5:2017
13/November/2017
13/November/2017
La norma describe y explica el conjunto mínimo de atributos esenciales del control de seguridad en las aplicaciones y detalla las actividades y roles del Modelo de Referencia de la Seguridad en el Ciclo de Vida de la Aplicación (ASLCRM).
DRI: Taller BIA online
13/November/2017
13/November/2017
Organizado por DRI International y con media jornada de duración se celebrará el próximo 12 de Diciembre. Este taller está basado en la nueva versión 2017 de las Prácticas Profesionales del DRI Internacional.
Informe anual ISO de certificaciones
28/October/2017
28/October/2017
Sólo superadas por el esquema ISO 50001, el incremento del 21% de certificaciones en ISO/IEC 27001 un 63% de certificaciones en ISO 20000-1 y el 23$ de ISO 22301 son las que más subida registrran en el último año.
ISO/IEC 27007:2017 versión 2
17/October/2017
17/October/2017
ISO/IEC 27007 proporciona una orientación sobre la gestión de un programa de auditoría del sistema de gestión de seguridad de la información (SGSI), en la realización de auditorías y la competencia de los auditores del SGSI, adicionalmente a la orientación fundamnental contenida en ISO 19011:2011.
ISO(IEC 20000-1 disponible revisión pública
17/October/2017
17/October/2017
El Borrador de Norma Internacional (DIS, por sus siglas en inglés) de ISO/IEC 20000-1 ha sido publicado siguiendo el formato de Anexo SL de estándares como ISO 22301, ISO/IEC 27001, ISO/IEC 9001 o ISO(IEC 14001. Es en este estadio,se puede revisar el borrador y hacer comentarios por parte de empresas, partes interesadas y particulares.
Mapeo de ISO 27001 y GDPR
16/October/2017
16/October/2017
El plazo para la aplicación de la nueva ley de protección de datos entra en su tramo final y las empresas que ya tienen implantado un SGSI tienen buena parte del trabajo hecho. Esta comparativa permite revisar los aspectos relevantes para evitar que no se apliquen requisitos necesarios de manera inadvertida.
DRI en Español: análisis de últimas afectaciones climáticas
16/October/2017
16/October/2017
Primero Harvey, seguido de Irma y María, y ahora conocimos a Nate… el planeta nos está hablando y debemos escuchar.
OWASP Top10 Web security risk
16/October/2017
16/October/2017
Workshop online de Hack2Secure sobre los 10 principales riesgos en seguridad Web de OWASP (2013 y propuesta RC1: 2017) que enfrentan las organizaciones. Estas sesiones gratuitas sirven de guía en la toma de conciencia de las consecuencias pero también cómo aplicar análisis de riesgos y técnicas de protección relacionadas.
Informe debilidades Web 2017
16/October/2017
16/October/2017
Informe anual de la firma Acunetix en base a una muestra aleatoria de 11600 sites escaneados sobre brechas de seguridad de alta y media gravedad en aplicaciones web, así como en datos de seguridad en la red interna. Los resultados nuevamente confirmaron este año que las aplicaciones Web suponen un gran vector de ataque, viable y de bajo nivel de entrada para los atacantes.
Código de prácticas en Ciberseguridad para barcos
07/October/2017
07/October/2017
Este Código publicado por Institution of Engineering and Technology (UK) proporciona un marco de gestión que puede utilizarse para reducir el riesgo de incidentes que puedan afectar la seguridad del buque, a su tripulación, pasajeros o carga.
El riesgo operacional resume los riesgos a los que una empresa se expone cuando intenta operar dentro de un campo o industria determinados. El riesgo operacional es el riesgo no inherente al riesgo financiero, sistemático o de mercado. Es el riesgo que queda después de determinar el riesgo financiero y sistemático, e incluye los riesgos derivados de los desgloses en los procedimientos internos, las personas y los sistemas.
¿Qué hacer cuando te roban el móvil?
07/October/2017
07/October/2017
Uno de los mayores problemas que solemos tener con nuestro smartphone es el robo o pérdida del mismo, y esto nos supone, por un lado el coste de reposición del dispositivo y por otro, la pérdida de la información almacenada en el dispositivo y fuga de datos, personas desconocidas podrán acceder a dicha información si no teníamos implementadas unas medidas de seguridad preventivas en el teléfono.
Hackers rusos roban herramientas a la NSA
07/October/2017
07/October/2017
El incidente reportado por The Wall Street Journal apunta al uso del software de Kaspersky como modo de acceder a herramientas avanzadas de espionaje e inflitración en redes telmáticas almacenadas en el ordenador personal de un empleado subcontratado por la NSA.
Recursos para el Reglamento General de Protección de Datos
13/September/2017
13/September/2017
Enlace que agrupa las diferentes iniciativas que la Agencia Española de Protección de Datos ha puesto en marcha sobre el RGPD, de forma que ciudadanos y organizaciones puedan localizar con mayor facilidad materiales de utilidad en relación a la nueva normativa.
El objetivo principal de esta Guía complemento de “CCN-STIC-802 Esquema Nacional de Seguridad – Guía de auditoría”, es servir tanto de itinerario, como de registro, a aquella persona designada como auditor de los requisitos del ENS.
La AEPD e ISMS Forum Spain publican este documento como punto de partida de referencia práctica para asesorar a aquellas entidades que estén desarrollando o tengan previsto implementar proyectos de este tipo y en consideración al nuevo Reglamento Europeo de Protección de Datos aplicable el 25 de mayo de 2018.
Reglamento General de Protección de Datos (GDPR) y COBIT® 5
07/September/2017
07/September/2017
En el presente documento se examina el papel de COBIT® 5 en el establecimiento de un marco para la gobernanza, las conexiones entre COBIT 5 y el cumplimiento los requerimientos de GDPR, y consejos claves y sugerencias para los esfuerzos de implementación para GDPR usando COBIT 5.
El rol del Auditor Interno como asesor de confianza
07/September/2017
07/September/2017
La Fábrica de Pensamiento del IAI España aporta un interesante documento sobre el papel del Asesor y la figura del Auditor Interno como aporte de valor dentro de la organización, promoviendo la mejora continua de los Sistemas de control y gestión de riesgos.
El DPO, entre la privacidad y la seguridad
07/September/2017
07/September/2017
Artículo de Sonia Morales en redseguridad.com sobre el nuevo Reglamento Europeo de Protección de Datos (GDPR, General Data Protection Regulation), que entrará en vigor el 25 de mayo 2018 y el requisito de nombramiento de un DPO para la mayoría de las organizaciones.
European Compliance & News
07/September/2017
07/September/2017
Revista para los profesionales del Compliance editada por la Asociación Europea de Abogados y Economistas en Compliance
Riesgos de las extensiones en los navegadores
07/September/2017
07/September/2017
Ciertas funcionalidades añadidas a la propia navegación pueden convertirse en útiles herramientas que aporten funcionalidades extra pero algunas de ellas también podrían incorporar funcionalidades maliciosas sin que lo sepamos.
NISTIR 8176 DRAFT Security Assurance Challenges for Container Deployment
07/September/2017
07/September/2017
Los contenedores de aplicaciones están encontrando lentamente adopción en las infraestructuras TI de las empresas. Este borrador considera aspectos de seguridad relacionados con estas plataformas y específicamente al documento "NIST Special Publication 800-190 (2nd Draft), Application Container Security Guide",
Primer Webinar DRI en Español
07/September/2017
07/September/2017
El 10 de Octubre de 2017 en el horario 14:00 - 15:00 CDT, Mariana Quirós (Directora de Continuidad de Negocio en Copa Airlines) nos guiará a través de la innovación, el soporte de la Alta Administración, la gestión del cambio, entre otros, como aspectos fundamentales en la implementación exitosa de Programas de Continuidad de Negocio, alineado a las Prácticas Profesionales del DRI Internacional.
Deadline PCI DSS 3.2
07/September/2017
07/September/2017
PCI Data Security Standard versión 3.2 se publicó en Abirl de 2016 y el 1 de Febrero de 2018 pasa de mejores prácticas a plena vigencia.
ISO/IEC TR 27015:2012 retirada
31/July/2017
31/July/2017
La interpretadción de los controles de seguridad para entornos financieros no será actualizada en relación a las novedades de la norma ISO/IEC 27002:2013 aunque seguirá disponible para su adquisición por parte de los interesados.
El único requisito para participar en este curso es poseer conocimientos básicos de uso de las tecnologías en el día a día en una empresa. Además, cada alumno podrá elegir cuándo, dónde y cómo realizar el curso.
Las víctima del Ransomware disponen de dos herramientas más aportadas por empresas de segurudad para la recuperación gratuita de los datos.
DRI: nueva presidenta Chloe Demrovsky
31/July/2017
31/July/2017
Chloe Demrovsky se ha incorporado al cargo de Presidente y CEO del DRI Internacional, a partir del 1 de julio de 2017.
Según informa Bloomberg, el hacker aprovechó la identidad digital de Goransson para solicitar un préstamo de una cantidad que no ha sido revelada, tras la cual se presentó una solicitud de bancarrota a su nombre.
Planificar y desplegar de forma segura una VPN
31/July/2017
31/July/2017
Publicada la Guía CCN-STIC 836. Guía de seguridad en VPN del Esquema Nacional de Seguridad.
Nuevo capítulo de la serie #MundoHacker, con varias de las estrategias habituales para obtener información crítica de la víctima, ganar su confianza, y luego tomar el control de los sistemas informáticos donde están almacenados los datos que de verdad nos interesan.
La AEPD se convierte así en la primera Autoridad europea que realiza un Esquema de certificación de Delegados de Protección de Datos (DPD) aunque la certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema,.
Fuentes para gestionar nuevas vulnerabilidades
27/July/2017
27/July/2017
Repositorios de información y bases de datos de vulnerabilidades principalmente de EEUU.pero de alcance de uso más amplio.
TOP 10 Deep Web Search Engines
27/July/2017
27/July/2017
Buscadores que proporcionan información de la Deep Web que no se puede obtener en Google y Bing y con diferentes grados y aspectos de privacidad.
La empresa responde por el ciberdelito de sus empleados si no ha adoptado las medidas de prevención necesarias.
Sólo el 17 por ciento de las grandes empresas en España tienen articulados procedimientos técnicos sobre brechas de seguridad y el 25 por ciento de las empresas españolas continúan utilizando Windows XP, según datos del Centro de Ciberseguridad Industrial.
En un momento en que los sitios web falsos engañan a las Autoridades de Certificación confirmando Certificados SSL, merece la pena revisar los signos para identificar sitios falsos y permanecer lejos del robo de información valiosa.
Es fácil imaginar que la amenaza más grande para una empresa es externa. Un reciente reporte de Haystax Technology descubrió que el 74% de las organizaciones se siente “vulnerable a amenazas internas” y que el 56% de los profesionales de seguridad está seguro de que estas “se han vuelto más frecuentes” en el último año.
Protección de datos para proyectos de Big Data
31/May/2017
31/May/2017
La Agencia Española de Protección de Datos (AEPD) e ISMS Forum Spain han editado conjuntamente este código de buenas prácticas en colaboración con empresas y profesionales independientes,y con referencia al nuevo Reglamento Europeo de Protección de Datos aplicable el 25 de mayo de 2018.
¿Cuáles son los adecuados Key Risk Indicators (KRIs) y los Key Performance Indicators (KPIs) que deberíamos medir, monitorear, reportar y usar como desencadenantes de acciones?
Revisón de siete casos en los que, a pesar de aplicar controles de seguridad para el cifrado de información, los errores humanos son un factor significativo en los incidentes de seguridad.
De acuerdo a un estudio realizado por expertos en seguridad [PDF], estos discos duros son al menos vulnerables a dos ataques.
13 aspectos prácticos que garantizan que la configuración del correo es segura ante los ataques más frecuentes.
Riesgos: El idioma de la gerencia
23/May/2017
23/May/2017
Según una encuesta realizada por Osterman Research, los riesgos cibernéticos son una prioridad similar a los financieros, regulatorios y legales. Más de la mitad de los miembros de la junta directiva declara que los puestos ejecutivos de TI y de la seguridad perderán sus puestos de trabajo por no proporcionar información útil y relevante.
Data Privacy Around The World
23/May/2017
23/May/2017
Una visión de la privacidad de datos en diferentes partes del mundo y la forma en que la transformación digital está permitiendo una nueva legislación.
INCIBE: Itinerarios educativos en ciberseguridad
23/May/2017
23/May/2017
Selecciona el sector al que pertenece tu empresa para acceder a los aspectos personalizados en cibersguridad.
ISO/IEC 27003:2017 Publicación de 12 de Abril
15/May/2017
15/May/2017
Revisión menor y actualización de la guía de implantación de un SGSI alineada con la norma ISO/IEC 27001:2013.
Ransomware, fallos eléctricos, .... el informe anual realizado por ISO muestra el incremento del 78% en el número de certificaciones en continuidad de negocio (ISO 22301) y del 20% en ISO 27001 ocupando el primer y el tercer puesto de mayor crecimiento en un único año.
El rápido aumento refleja la creciente demanda de formación y certificación en profesionales de la continuidad de negocio a nivel mundial.
El rápido aumento refleja la creciente demanda de formación y certificación en profesionales de la continuidad de negocio a nivel mundial.
Horizon Scan Repor 2017
25/April/2017
25/April/2017
Por primera vez en los seis años de historia del informe, la amenaza de incertidumbre en torno a la introducción de nuevas leyes y regulaciones ha entrado en la lista de las diez principales preocupaciones de continuidad de negocio en el Horizon Scan Report.
Una respuesta es políticamente correcta y otra es la correcta.
OWSAP TOP 10 – 2017 publicado
25/April/2017
25/April/2017
OWASP Top 10 se centra en reconocer los peligros más reales para un amplio grupo de ataques.
Juego de rol. ¿Estás preparado para ser atacado?
25/April/2017
25/April/2017
Con estos retos de libre acceso del INCIBE, se entrenan las capacidades para afrontar los ataques o incidentes de seguridad y ejercitar la toma de decisiones y las medidas adecuadas.
ISMS Forum: XIX confererencia internacional
24/April/2017
24/April/2017
La Jornada Internacional de Seguridad de la Información se celebrará el próximo 11 de mayo en el Círculo de Bellas Artes de Madrid, en C/Alcalá 42.
Este post demuestra como utilizando una combinación básica de lenguajes de scripting y herramientas de cifrado, un ransomware como el LovxCrypt puede ser fácilmente escrito y se espera que más de este tipo salga próximamente.
10 mitos en ciberseguridad que deben ser desterrados
24/April/2017
24/April/2017
Este post cubre algunos conceptos erróneos acerca de la ciberseguridad. Hay muchos mitos más pero una comprensión precisa de estos 10 es esencial para adoptar una postura adecuada como individuo, negocio, o gobierno.
Winterman: Informe anual de fraude corporarivo 2016.
03/April/2017
03/April/2017
La tipología de fraude interno que más ha aumentado (casi un 60% con respecto al año anterior) es el relacionado con la fuga de información de carácter confidencial.
CIP: Conocimiento en la gestión de riesgos y crisis
28/March/2017
28/March/2017
Presentación con registro gratuito del CIP Institute y sus actividades durante una sesión de trabajo, presentando la 4ª Conferencia Internacional de Lisboa el 16 de junio de 2017 bajo el título: Managing Crisis Today: Insights on dealing with complexity.
USB: Realmente se conectan dispositivos "perdidos"
28/March/2017
28/March/2017
Prueba de concepto de Google donde se dejaron 297 dispositivos, el 98% cambio de ubicación, del 45% se abrieron ficheros y la primera conexión se registró en menos de 6 minutos.
Se disparan los ataques en infraestrucutras críticas
28/March/2017
28/March/2017
Aumento del 357% en ataques el año pasado sólo hace falta darse una vuelta con Shodan para obtener un listado de sistemas vulnerables, incluída su ubicación GPS.
Con tu cuenta MyDRI puedes acceder a todas las presentaciones de la conferencia 2017 desde el apartado Resources
Pruebas de caja negra: Ejemplos
19/March/2017
19/March/2017
Las pruebas de caja negra, es una técnica de pruebas de software en la cual la funcionalidad se verifica sin tomar en cuenta la estructura interna de código, detalles de implementación o escenarios de ejecución internos en el software.
¿Cómo se audita un Algoritmo?
19/March/2017
19/March/2017
Hoy apenas somos conscientes de hasta qué punto, algoritmos (procedimientos de decisión automatizada) deciden de manera automatizada cada vez más aspectos relevantes..
Responsabilidad penal de las empresas ante delitos informáticos, cometidos por empleados o directivos.
Hoy en día, la correcta gestión y protección de la información de una organización es un asunto de máxima relevancia. La disponibilidad de los datos es hoy tan importante como disponer de un buen cashflow.
Informe de Riesgos Globales 2017
18/March/2017
18/March/2017
Riesgos, tendencias y retos que elabora el propio Foro Económico Mundial.
Nuevo caso de un "Timo del CEO"
24/February/2017
24/February/2017
Estafa de cinco millones de Euros a cuatro empresas de Sevilla suplantando la personalidad de directivos de empresas y ordenar a trabajadores del departamento de gestión económica de la compañía que hagan transferencias bancarias mediante el uso de ingeniería social o hackeando el correo electrónico del directivo.
DRI: Nuevas fechas 2017
20/February/2017
20/February/2017
Disponibles las nuevas fechas de formación del DRI para 2017 en la web oficial para cursos en España.
Informe Anual de Seguridad Nacional
20/February/2017
20/February/2017
En 2016 han aumentado los ataques contra los sistemas de información nacionales, siguiendo la tendencia alcista internacional.
Reglamento General de Protección de Datos (RGPD)
20/February/2017
20/February/2017
Esta sección, que se actualizará progresivamente, agrupa las diferentes iniciativas que la Agencia Española de Protección de Datos ha puesto en marcha sobre el RGPD, de forma que ciudadanos y organizaciones puedan localizar con mayor facilidad materiales de utilidad en relación a la nueva normativa.
Trump despide al CISO de la Casa Blanca
20/February/2017
20/February/2017
La constante interrupción del programa de ciberseguridad de la Casa Blanca por el nuevo presidente ha llevado a "la frustración y a la burla por igual" de los expertos en seguridad porque Trump queda más expuesto y vulnerable a los hackers, según su opinión.
Informe que aporta una visión de las interdependencias en las redes de comunicaciones en entornos industriales con recomendaciones de buenas prácticas y medidas de seguridad.
¿Sabes cuál es el nivel de riesgo de tu pyme?
10/January/2017
10/January/2017
INCIBE pone a su disposición un kit de autodiagnóstico especialmente diseñado para ayudar a la empresa a evaluar su estado de ciberseguridad y, así, poder mejorar su nivel de protección frente a posibles riesgos y amenazas.
Semejanzas ISO 27001 y Reglamento Europeo de Protección de Datos
08/January/2017
08/January/2017
El número 31 del newsletter de Qualiwork incluye varios artículos sobre la norma internacional y la seguridad de la información.
ISO/IEC 30105-1: Outsourcing de Procesos de Negocio
08/January/2017
08/January/2017
La primera de las cinco partes publicadas, especifica los requisitos y métricas para un proceso de ciclo de vida realizados por un proveedor de servicios TI que cubre procesos de negocio en base a la tecnología y de modo externalizado.
Industria aeronaútica: El número secreto peor guardado del mundo
10/January/2017
10/January/2017
"75.000 personas publicaron fotos de sus billetes de avión en Instagram en las últimas dos semanas", dice Nohl.. Con ttu PNR se tiene acceso a todos los datos personales que te ha pedido la aerolínea, incluyendo tu correo (goloso para phishing), tu número de pasaporte o DNI, tu dirección física, los lugares en los que vas a estar durante tu viaje, tu tarjeta de crédito (con su fecha de caducidad) y tu dirección IP, si compraste el vuelo online.
Top 50 de productos con más cantidad de vulnerabilidades en 2016
08/January/2017
08/January/2017
Interesante referencia que permite distinguir el grado de exposición de los productos, su evolución a lo largo de los años asi como la importancia de mantener actualizado el software en producción.
INCIBE: Nuevo servicio Antiransomware
08/January/2017
08/January/2017
Si estás afectado por ransomare no pagues el rescate y contacta con el centro de respuesta a incidentes, CERTSI para mitigar los efectos del incidente y saber cómo actuar mediante el servicio de análisis y descifrado de ficheros afectados por algunos tipos de ransomware en determinadas condiciones.