//
Archivos

seguridad informática

Esta etiqueta está asociada a 18 entradas

Impresiones de la nueva ISO 27000 para 2013

Hay más de 30 normas de la serie ISO 27000, las cuales están en constante cambio porque la seguridad de la información y las mejores prácticas evolucionan constantemente. Estos son los cambios que probablemente ocurrirán en 2013 con estas normas:
imagesCAJDV1XB
ISO/IEC 27001: dado que esta es la norma principal de la serie, su revisión se espera con gran expectación. Fue publicada en 2005, por lo que los cambios seguramente no serán menores. El cambio más grande (además de los controles del Anexo A, véase la norma ISO 27002 a continuación) será en la estructura de la norma. De acuerdo con las directivas ISO anexo SL (anteriormente denominado ISO Guide 83), la estructura de cada estándar de administración debe ser alineado, por lo que el mismo destino tendrá esta revisión de la norma ISO 27001. Estos cambios son visible en la norma ISO 22301, la norma de continuidad de negocio nuevo, que fue la primera en cumplir con la Guía 83.

La fecha de publicación de la norma ISO 27001 no se ha establecido aún, pero podría ser en la segunda mitad de 2013.

ISO/IEC 27002: la revisión de esta norma se publicará junto con la norma ISO 27001, ya que brinda directrices para la aplicación de los controles de la ISO 27001 Anexo A. Por lo tanto, estas dos normas deben alinearse completamente. ¿Cuáles serán las revisiones?

ISO/IEC 27004: este es el estándar que define las métricas de seguridad de la información, en otras palabras, la forma de medir seguridad de la información en una organización. Se ha publicado inicialmente en 2009 entrará en proceso de revisión durante 2013.

ISO/IEC 27006: esta norma define los requisitos para los organismos de certificación que prestan los servicios de auditoría. Como otras normas de auditoria (ISO 19011 e ISO 17021) están actualmente en proceso de revisión. Se espera que la versión revisada de la norma ISO 27006 se publicará en 2013 o 2014.

ISO/IEC 27011: es el estándar que proporciona directrices para la gestión de seguridad de la información en las telecomunicaciones. Como se basa en gran medida en la norma ISO 27002, se revisará una vez que la nueva versión de la norma ISO 27002 se publique. Puede ocurrir en el 2013, pero es más probable en 2014.

ISO/IEC 27014: define la gobernanza de la seguridad de la información, ya que esta norma está, al momento de escribir este artículo en estado FDIS (final), se espera que se publicará en el primer semestre de 2013.

ISO/IEC TR 27016: es el estándar que define la economía organizacional para la gestión de información de seguridad. Dado que esta norma se encuentra todavía en la versión preliminar, es teóricamente posible que se publicará en 2013, sin embargo, 2014 es mucho más realista como un año de publicación.

ISO/IEC 27017: es el estándar que define la seguridad en Cloud Computing. Ya que dependerá en gran medida de revisar la norma ISO 27001 e ISO 27002, a lo sumo se publicará a finales de 2013 o el primer semestre de 2014.

ISO/IEC 27018: es el estándar que va a proporcionar el código de prácticas para el control de la protección de datos para los servicios públicos de Cloud Computing. Similar a la norma ISO 27017, esta norma debe esperar hasta que se publique la norma ISO 27002.

ISO/IEC TR 27019: es la norma que se centra en las directrices de gestión de seguridad para la industria de la energía. Al estar basado en la norma ISO 27002, no se espera que se publicará hasta finales de 2013 o en 2014.

ISO/IEC 27033-5: se encuentra todavía en la fase de borrador, y define cómo utilizar comunicaciones seguras mediante red privada virtual (VPN). Su publicación se espera hacia finales de 2013.

ISO/IEC 27036: está todavía en la fase de borrador y se especifica la forma de regular la seguridad de la información en las relaciones con los proveedores. Esta norma se publicará en cuatro o cinco partes, tres de los cuales podrían ser publicados en 2013 o principios de 2014.

ISO/IEC 27040: define la seguridad de almacenamiento. Está programado para ser publicado en 2013, pero puede ser empujado hasta 2014.

Como se puede ver, muchas normas se publicarán pronto, o por lo menos van a ser revisadas. ¿Quién dice que la seguridad informática es un negocio aburrido?

Fuente: ISO 27001 Standard

Fuente: Segu-Info

Herramientas de seguridad gratuitas

Hay una larga historia de software de seguridad gratuito, y aquí están algunos de los productos más conocidos que puede probar dentro de su propia red, aunque sólo sea para descubrir lo vulnerable que eres.

seguridad informatica herramientas gratisObviamente existen decenas de otras herramientas pero el objetivo es identificar al menos las más conocidas:

 

 

  1. Antivirus gratuitos: AviraAvastAVG y Microsoft Security Essentials.
  2. Firewall: Zone Alarm y Comodo
  3. Arpwatch es una herramienta para monitoreo de ancho de banda en redes
  4. Linux Security Toolkit incluye herramientas de seguridad y para el diagnóstico y seguimiento de redes
  5. PacketSquare es herramienta de análisis de protocolos para probar dispositivos de red que incluyen routers, detección de intrusos y sistemas de prevención y switches
  6. Cheops NG, conocido como la navaja suiza de la red, es una utilizada para el monitoreo de la red, con la posibilidad de sondear hosts para analizar lo que está en ejecución.
  7. Hydra Network Logon Cracker se puede utilizar para detectar contraseñas débiles
  8. SNMP Brute es una herramienta para probar contraseñas SNMP por fuerza bruta
  9. Wireshark es un analizador de paquetes y protocolos
  10. Metasploit Framework es la herramienta para realizar pruebas de penetración
  11. Ncat es una herramienta para leer y escribir datos sobre IPv6 e IPv4
  12. NetStumbler es una herramienta de descubrimiento de red inalámbrica
  13. Nmap Security es una utilidad para scanear y realizar auditoría de seguridad sobre redes
  14. Snort es un IDS utilizado para la detección de intrusiones
  15. AirCrack es una suite de herramientas para cracking de 802.11a/b/g/ WEP y WPA
  16. Foca: herramienta para realizar descarga y análisis de metadatos de archivos

Fuente: Networkworld

 

¿Cuál es la madurez de los servicios Cloud?

Imagen_post_madurez_cloudPues si hacemos caso a CSA e ISACA habría que decir que se encuentran en su más tierna infancia. Efectivamente esta ha sido la conclusión del estudio que han realizado ambas organizaciones y en el que he tenido el placer de colaborar. Sobre la base de una encuesta en la que han participado 252 organizaciones de 48 países (principalmente en Norteamérica – 48% – y Europa – 23% – y usuarios de SaaS – 62%) se ha concluido que, considerando cuatro niveles de madurez (infancia, crecimiento, madurez y declive), los servicios de infraestructura y plataforma como servicio (IaaS y PaaS, respectivamente) se encuentran en la etapa inicial y los de software como servicio (SaaS) están entrando en la fase de crecimiento.

Y, aunque la conclusión es que el mercado piensa que los servicios en la nube están cumpliendo las expectativas estratégicas y de servicio y que los problemas serán superados, no es menos cierto que se identifican ciertas preocupaciones:

  • Que la computación en la nube sea considerada un aspecto técnico (una nueva versión del típico outsourcing) y que, como está pasando, sus riesgos sean analizados como riesgos tecnológicos más que como riesgos de negocio, puesto que este tratamiento limitará el potencial la nube.
  • Las dificultades existentes para especificar los riesgos técnicos y de negocio en los contratos.
  • La longevidad del proveedor
  • La comprensión de las responsabilidades del propietario de datos y del custodio
  • Los aspectos legales
  • El lock-in en los contratos
  • La disposición de estrategias de salida en caso de querer volver a un tratamiento in house o ir a otro proveedor
  • Las regulaciones gubernamentales porque sigan una evolución muy diferente al mercado
  • Y, en definitiva, que los usuarios necesitan confiar en los servicios por lo que los mecanismos de garantía y de transparencia deben mejorar

Frente a esto, los participantes en el estudio también han identificado los aspectos que están siendo adecuadamente contemplados por la computación en la nube:

  • La disponibilidad
  • La continuidad del negocio
  • La recuperación en caso de desastres
  • El rendimiento del servicio
  • Los cortes en el servicio
  • La resolución de problemas

Finalmente, destacar que los factores que inciden en la toma de decisiones son, por orden de importancia:

  1. Los facilitadores de negocio (principalmente, fiabilidad y disponibilidad)
  2. Las consideraciones financieras (especialmente, la reducción de costes)
  3. La reducción de la huella en el medio

Como se puede ver, un estudio que nos ayuda a entender la situación actual, que dibuja un futuro esperanzados para la computación en la nube y que nos ayuda a identificar los retos para los próximos años… veremos si somos capaces de superarlos…

Fuente: Inteco

10/10/2012, por Antonio Ramos García

Evita que te rastreen en las redes sociales con estas herramientas

Facebook, Twitter o Google tienen la mayoría de tus datos y hábitos de navegación. También existen cientos de empresas de cobro por publicidad que serían beneficiadas haciendo seguimiento de lo que consumes y compartes en la red. ¿Cómo evitarlo y asegurar tu privacidad?

Puedes bloquear el acceso a tu contenido con estas aplicaciones:
1.Do Not Track Plus: La herramienta permite bloquear Facebook y otros anunciantes en la red. Asimismo, te informa sobre los espacios que quieren obtener tus datos. Después de instalarlo bloqueará las redes. La extensión está en la página principal, disponible para Chrome.
2.Disconnect: Es otra buena opción para bloquear redes de forma específica. El sitio principal tiene extensiones para detener el seguimiento en la web de Facebook, Twitter y Google. Se incluye la app Collusion —para Chrome, Safari y Mozilla—, que genera mapas con los sitios que intentan obtener información de tus movimientos en la red.
3.Ghostery: Es una herramienta con más opciones. Aparece en la barra de navegación y muestra cuántas empresas se han bloqueado cuando estás visitando una página web. Ghostery da a conocer más sobre las empresas. Además, identifica el tipo de datos que recogen.
Fuente: Cryptex

Guía sobre las tecnologías biométricas aplicadas a la seguridad

La biometría consiste en el uso de ciertos rasgos o características del ser humano, sean estrictamente físicas o relativas al comportamiento, para identificar a las personas. El avance tecnológico ha permitido la automatización de este reconocimiento, existiendo diversas tecnologías ya aplicadas a la identificación biométrica, como puede ser el reconocimiento de huellas dactilares, de iris, de retina o de voz.

Estas tecnologías serán de gran relevancia en el futuro ya que aportarán mayores niveles de seguridad en el acceso a instalaciones y sistemas, pero también cuentan con una serie de riesgos que es necesario conocer. Frente a estos riesgos, existe una serie de buenas prácticas recomendables que ayudan a mitigarlos, así como ciertas cuestiones legales que, además de ser de obligado cumplimiento, garantizan mayores niveles de seguridad y la salvaguarda de la privacidad de los usuarios.

INTECO, a través de la publicación de esta guía, que ha sido elaborada por el Observatorio de la Seguridad de la Información, quiere ofrecer la información necesaria y de utilidad al respecto tanto para aquellas organizaciones que consideren la implantación de estas tecnologías como para sus usuarios finales, con el objetivo de ayudar a que la extensión en el uso de estas tecnologías se lleve a cabo respetando la privacidad de los ciudadanos al tiempo que se mejoran los niveles de seguridad.

En esta guía se detallan y comparan las diferentes tecnologías biométricas existentes, su funcionamiento, sus usos actuales y futuros, los beneficios que aportan, los riesgos existentes y las buenas prácticas que los mitigan, además de una serie de recomendaciones para los distintos actores implicados.

La guía completa está disponible en castellano.

Documentos asociados

Fuente: Inteco

Hackean la base de clientes del operador japonés Korea Telecom

Dos hackers venden los datos de 8.7 millones de clientes de Korea Telecom a varias empresas de telemarketing.

El operador de telecomunicaciones japonés Korea Telecom, ha reconocido que sus servidores han sido atacados sustrayendo millones de datos sensibles de sus clientes.

Korean Telecom 

Credit: Korea Telecom.

Al parecer los hackers se habrían estado infiltrado en sus servidores durante meses con el objetivo de obtener esta información para posteriormente venderla.

Se calcula que los hackers habrían robado información de más de 8.7 millones de clientes de Korea Telecom. La información sustraída contendría información como nombres, números de registro de residencia o números telefónicos entre otras cosas.

Los datos del número de clientes que se han visto comprometidos durante el ataque se determinaron tras una investigación que finalizó con la detención de las dos personas que hackearon los sistemas de KT. La información sustraída fue vendida a varias empresas de telemarketing.

La investigación dio comienzo tras detectarse información de clientes de KT que había sido filtrada. Aunque las investigaciones dieron comienzo a principios de julio, el proceso se mantuvo en secreto hasta que se produjeron las detenciones. Durante la operación fueron detenidas un total de siete personas.

Korea Telecom es el segundo operador de telecomunicaciones más importante de Japón. Este operador cuenta actualmente con más de 16 millones de suscriptores.

Fuente: Gigle.net

Dar seguridad, el desafío del cloud computing

Una encuesta realizada entre más de 1.200 funcionarios de gobierno y ejecutivos de 10 países reiteró que el almacenamiento de la información en la nube es lo que detiene la migración hacia ese tipo de servicios

Dar seguridad, el desafío del cloud computing

El 47% de los participantes de una encuesta realizada por KPMG mostró que la seguridad es el desafío más significativo al que se enfrentarán empresas y gobiernos al momento de migrar los servicios y los procesos a las plataformas de cloud computing.

Las inquietudes en torno a la seguridad fueron particularmente importantes entre las principales entidades gubernamentales, donde el 56% de los encuestados mencionó estar preocupado por este tema.

Sin embargo, casi el 80% de todos los encuestados mencionó que su confianza en los servicios de cloud computing aumentaría si un organismo gubernamental los certificara.

“Las entidades gubernamentales, por lo general, tienen acceso a información extremadamente confidencial y, por lo tanto, son objetivo habitual de los crackers”, advirtió John Herhalt, presidente Global de Gobierno e Infraestructura de KPMG.

“Los líderes del área de TI del sector público necesitarán asegurarse de que sus proveedores de servicios de cloud computing pueden brindar protocolos de seguridad y protección sólidos antes de migrar los servicios e información clave a estas plataformas”, mencionó Herhalt.
“Al prestar los servicios mediante una plataforma de cloud computing, los gobiernos comprueban cada vez más que pueden mejorar la manera en que los ciudadanos acceden a la información y –a la vez–lograr una experiencia más transparente y receptiva en la interacción con las áreas clave del sector público,” afirmó Herhalt.

“Sin embargo, garantizar la seguridad de la información será fundamental, particularmente, en relación con la información personal de los ciudadanos y la información gubernamental crítica”, finalizó.

Privados, al frente
Los resultados de la encuesta se resumen en el informe Análisis de los servicios de cloud computing: un estudio global de la adopción de estos servicios por parte del sector público.

La encuesta comprueba que el avance de las entidades gubernamentales es significativamente menor al que experimentan las empresas con fines de lucro según la relación 9-13 por ciento.

Solamente 12% de los funcionarios del gobierno manifiesta que más del 10% de los gastos totales de TI de dichas instituciones fueron destinados a los servicios de cloud computing en 2011. Se prevé que esta cifra aumente más del doble alcanzando el 28% hacia fines de 2012.

“La era de la nube ha comenzado y la pregunta no radica en si las organizaciones se decidirán o no por su adopción, sino más bien en qué tan rápido y en qué modalidad. Tanto en los sectores público como privado existe aún escepticismo, mostrándose el sector público como el más cuidadoso. Aún así, las crecientes experiencias a nivel mundial en ambos sectores y la incremental madurez de los proveedores  terminarán de disipar el escepticismo en el corto plazo”, afirmó Walter Risi, director de IT Advisory de KPMG en Argentina.

“La nube presenta una oportunidad de mejora que va más allá de los ahorros en infraestructura, abarcando también la agilización en los modelos operativos y la optimización del esquema de relacionamiento con los proveedores de servicios de IT. Estas promesas darán sus frutos en la medida de que las organizaciones adecúen su arquitectura empresarial para aprovechar los beneficios de la nube, elijan a los proveedores de servicios de IT más adecuados para acompañarlas y transformen sus modelos de gobierno de proveedores consecuentemente”, agregó Risi.

Por otro lado, casi un tercio de los encuestados del sector público se inclinó hacia la adopción de un entorno privado de cloud computing, mientras que el 22% afirmó que está analizando la posibilidad de utilizar una plataforma pública.

El informe de KPMG también identifica ciertas jurisdicciones que han ocupado una posición de liderazgo en la adopción de los servicios de cloud computing.

Especialmente, los gobiernos de Australia, Italia, Dinamarca, Singapur y los EEUU parecen haber progresado considerablemente en la implementación de esta tecnología, ya que casi el 30% de los encuestados de estos países señalaron que ya han implementado los servicios de cloud computing parciamente o en su totalidad.

Fuente: http://www.infobae.com

Sigue leyendo

Día de internet… recomendaciones desde Inteco

Desde la Oficina de Seguridad del Internauta con motivo de la celebración del día de Internet, se han lanzado tres páginas de sensibilización con consejos para fomentar el uso seguro y responsable de Internet.

 Este año, con motivo del Día de Internet, queremos compartir con vosotros una nueva iniciativa que la Oficina de Seguridad del Internauta ha puesto en marcha. Se trata de 3 páginas de sensibilización (a modo de páginas evangelizadoras) con las que facilitar a los internautas seguros la promoción entre sus conocidos de buenas prácticas en el uso de las TIC.

En concreto las páginas pretenden cubrir las siguientes situaciones:

  • ¿Estás recibiendo mensajes sospechosos de tus contactos y piensas que puede ser un virus? Notifica a tus contactos rápida y cómodamente de una posible infección. Explícales las razones por las que es posible que tengan un virus, pasos para eliminarlos y recomendaciones para evitarlos en el futuro. ¡Estás enviando spam, tu ordenador podría estar infectado! http://avisovirus.osi.es
  • ¿Cansado de que te envíen bulos y mensajes en cadena? Ayúdales a entender los riesgos de seguir difundiendo falsas noticias y enséñales a identificarlos. Stop bulos, no alimentes las leyendas urbanas  http://stopbulos.osi.es
  • ¿Otro correo con cientos de direcciones en el asunto? Promueve el uso del campo CCO cuando se envían correo a múltiples destinatarios, de forma que se proteja su privacidad y se evite divulgar sus direcciones de correo innecesariamente http://concopiaoculta.osi.es

Os invitamos a poner en práctica las recomendaciones de seguridad que en estas páginas os trasladamos y recuerda: la seguridad en Internet depende de todos, tú también puedes ayudarnos a difundir los mensajes entre tus contactos.

Fuente: Inteco

Los mensajes de Whatsapp en Android, al descubierto…

Teniendo en cuenta el creciente flujo de datos de la aplicación de mensajería instantánea Whatsapp, en las últimas horas ha crecido la polémica en torno al hecho de que, como todos esos contenidos no se encuentran encriptados, y por lo siguiente, tampoco, protegidos, cada uno de los mensajes, fotos o ubicaciones enviados a través de una red Wi-Fi pueden ser interceptados gracias a una nueva aplicación para Android.

El hecho es que la mayoría de dispositivos móviles en la actualidad disponen de Whatsapp, y quienes no poseen los aparatos de la misma empresa, poseen realmente un aliado de lujo a la hora de comunicarse gratis mediante estos medios. Desde allí, uno puede transferir mensajes, fotografías o vídeos de forma gratuita con otros usuarios de la aplicación de una forma sumamente rápida y sencilla.

Más allá de esto, para quienes evidentemente el uso de Whatsapp reviste algún que otro peligro es para quienes poseen dispositivos que funcionan mediante el sistema operativo Android, ya que se trata de un producto operativo de código abierto, y como los desarrolladores de la aplicación no ofrecen una transmisión de datos segura por encriptación, sus mensajes podrían ser leídos con sólo utilizar otra aplicación.

De hecho, los especialistas ya han alertado que, para poder tener acceso a las conversaciones privadas de otros usuarios de Whatsapp, sólo se requiere disponer de un dispositivo Android conectado a la misma red Wi-Fi con una aplicación específica, sin ir más lejos, las que ofrece cualquier bar o confitería en la actualidad.

Ya habiendo sido informados por parte de distintos consultores independientes, los propios expertos de Android se comprometieron a trabajar en conjunto con los desarrolladores de Whatsapp para encontrar una solución fiable en el corto plazo. Sin embargo, la última actualización de Whatsapp, la 2.7.7532 para Android sigue siendo vulnerable al “sniffing”, es decir, la recuperación de estos datos por dispositivos externos.

Fuente: Zonavirus

http://www.zonavirus.com/noticias/2012/los-mensajes-de-whatsapp-en-android-al-descubierto.asp

Los hacker ponen al descubierto 55.000 contraseñas de cuentas de Twitter

Mala noticia con la que desayunamos en la mañana de hoy para los usuarios de redes sociales, en especial para Twitter. 

Esta noticia ha sido publicada por Airdemon y en la misma se comenta que la incidencia o ataque es conocida por Twitter y se estarían tomando las medidas de seguridad oportunas a fin de minimizar el impacto sobre la información contenida en las cuentas afectadas por este hack.

Cómo han conseguido las 55.000 contraseña es algo que aún no se ha revelado, lo que sí que podemos consultar todas las cuentas en 5 páginas de Pastebin y, la verdad, recomendamos a los usuarios de esta red realizar una búsqueda para comprobar que su correo electrónico no se encuentra dentro de las cuentas comprometidas por este hack:

Estamos ante uno ataque en regla, pero en el fondo, uno mas de los muchos que se producen a diario. ¿Qué aprendemos de este incidente?. Que debemos usar siempre contraseñas seguras, fuertes. Estas deben estar formadas por números y letras, e incluir signos, y debe ser lo suficientemente larga para permitir garantizar su integridad y la integridad de la información alojada.

Fuente: 55.000 cuentas de Twitter hackeadas (Fuente: Alt1040)

Estadística del blog

  • 108,148 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: