La intensa vida del consultor de Calidad y Seguridad

¿Actuará la AEPD ante el posible robo de datos personales a SONY?

2011-04-29T12:28:00.001+02:00

Entre el 17 de Abril al 19 de Abril, SONY se dio cuenta de que habían penetrado de forma no autorizada en su sistema de red. Nada más darse cuenta de dicha brecha de seguridad, apagaron los servicios de PlayStation Network and Qriocity para llevar a cabo una invistigación exhaustiva para verificar el estado y la seguridad de los servicios online que ofrecen a través de su plataforma de videojuegos PS3. El usuario cuando intentaba acceder al PSN se le ofrecía la siguiente información "PlayStation Network está en labores de mantenimiento", por lo que en primer lugar se podía pensar que era una de las numerosas labores de mantenimiento que se llevan a cabo por parte de SONY.

Pero esta vez la cosa era más grave, los usuarios veían que pasaban los días y que dichas "labores de mantenimiento" seguían aún activas. Las críticas de los millones de jugadores que hacen uso de estos servicios no paraban de llover, y SONY decidió dar la información que iba rondando por los foros y blogs de videojuegos: "Entre el 17 de Abril y el 19 de Abril, descubrimos que había habido una intrusión no autorizada ilegal en nuestro sistema de red", declaraba SONY en su página oficial.

Esta información junto que los datos personales de millones de usuarios (nombre, apellidos, dirección, tarjeta de crédito, nombre de usuario,dirección de correo, contraseña..) han podido ser robadas han dejado a la seguridad del sistema de entretenimento por excelencia por los suelos. Está claro que la PS3 de SONY va perder millones de euros por tener dichos servicios apagados, pero también ha perdido reputación/marca frente a sus competidores (X-BOX o WII), pero los usuarios también han salido perjudicados porque posiblemente sus datos personales (incluso mail y contraseña) estarán en posesión de vete tu saber quién, ¿estará la AEPD al tanto de dicho suceso? ¿cómo calificará la posible sanción teniendo la gravedad de la situación?

Esperemos que todo se solucione lo antes posible y que puedan encontrar a los responsables de dicho delito, y por supuesto que los usuarios puedan volver a disfrutar de su PS3 sin tener que poner en tela de juicio la seguridad de la red de PSN y Qriocity.

Fuente: Novedades mantenimiento PSN

FAQ sobre incidencia PSN

Noticia oficial de SONY

Formación “OBLIGATORIA” en Protección de Datos

2011-04-19T11:23:00.004+02:00

“No, no es obligatorio asistir a un curso para dar cumplimiento a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, ni, por supuesto, la Agencia Española de Protección de Datos te va a llamar por teléfono para hacerte hincapié en el deber de asistir al próximo curso online que está disponible en la plataforma www.teestoyengañando.com“.

La semana pasada tuve que repetir estas palabras hasta la saciedad seguramente porque, alguna de “estas empresas” que juegan con la interpretación de la LOPD y su Reglamento, se dedicó a hacer telemarketing sobre un sector concreto.

Si bien es cierto que, en el Artículo 89. Funciones y obligaciones del personal, del Reglamento de Desarrollo de la LOPD (Real Decreto 1720/2007), se establece la obligación por parte del Responsable del Fichero de informar al personal sobre “las medidas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”, esto se puede llevar a cabo, entre otras muchas, de las siguientes formas;

• establecer las cláusulas pertinentes en el contrato laboral,

• anexar un documento explicativo de los extremos oportunos junto a la entrega de la nómina,

• realizar un mailing a todo el personal afectado,

• establecer un mensaje de advertencia previo al acceso a los sistemas,

• y por supuesto, con una acción formativa.

Dicho esto, todos hemos oído la frase (u otra similar); “la seguridad de una cadena la establece su eslabón más débil”, y en este caso, los usuarios suelen condicionar en gran medida la seguridad de “la cadena de la protección de datos”.

Es por ello que siempre establezco en todo proyecto de implantación de protección de datos realizar diversas acciones formativas orientadas a los distintos roles: Responsable de Seguridad, administrador de sistemas, usuarios, etc…, organizando el proyecto en las siguientes fases:

De esta forma garantizamos que todas las partes afectadas conozcan sus implicaciones y sean conscientes de las medidas de seguridad tanto técnicas como organizativas a las que deben dar cumplimiento, así como las tareas específicas que les han sido asignadas dentro de “la cadena de la protección de datos”.

En definitiva: formación y concienciación, SI, por imperativo legal, NO, sino por buenas prácticas.

Particularidades de MAGERIT en el ENS

2011-03-03T09:41:00.000+01:00

En el anexo 1, se especifica claramente que “Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el nivel del sistema en cada dimensión será el mayor de los establecidos para cada información y cada servicio”.

Esto nos sugiere que empleemos el criterio de dependencias absolutas del modelo cualitativo de MAGERIT, no relativas, al menos para hacer depender un Sistema de activos de tipo información y servicios, mientras que deja libertad para emplear un criterio de dependencias relativas para hacer depender los activos de información y servicios de otros activos que intervienen en el sistema.

Además, nos sugiere que hagamos depender un Sistema directamente de activos de tipo información, cuando lo usual en MAGERIT es hacer depender las funciones de la organización (Aquí SISTEMAS) de los Servicios y procesos, y estos a su vez de activos de tipo información. Mi opinión es que ambas posibilidades serían válidas, eso sí, teniendo en cuenta el criterio anterior de dependencias absolutas.

El análisis de riesgos en el Esquema Nacional de Seguridad

2011-02-24T09:43:00.000+01:00

Mucho se ha hablado de las similitudes y convergencias del reciente ENS con la ya madura ISO 27001 y su set de controles ISO27002, si bien al ser un Real Decreto muy joven, existen determinados puntos que requieren un rodaje para consolidarse, ya que pueden inducir al error.

Uno de esos aspectos es el del análisis de Riesgos. Las referencias al mismo en el ENS son las siguientes:

1. Conjunto de medidas a adoptar según Anexo II --> Marco operacional--> op.pl.1

Si la categoría del sistema es:

• BAJA, “Bastará un análisis informal, realizado en lenguaje natural.”.

Hay que puntualizar que para concluir que la categoría del sistema es BAJA, sí hemos debido de realizar un análisis formal inicial que incluya: inventario de activos de tipo información, servicios y sistema, dependencias entre ellos y valoración de los activos información y servicios. Esto serían los requisitos mínimos en el caso de AAPP con Sistemas de Información de categoría BAJA.

• MEDIA, “Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida”.

No tiene por qué seguirse metodología MAGERIT, y podría ser suficiente con un análisis en tablas de Excel sencillo.

• ALTA, “Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento matemático reconocido internacionalmente.”

Se recomienda MAGERIT y se exige un inventario de “vulnerabilidades”, que no es exigido en las categorías anteriores.

2. En el resto de medidas exigibles por el ENS, se toma como referencia el análisis de riesgos para:

3. Más allá de los controles:

En la auditoría obligatoria también debe comprobarse que se realiza el AARR, revisa y aprueba anualmente.
En el plan de adecuación se debe incluir el AARR realizado hasta la fecha.
En la política de Seguridad se debe incluir un apartado donde la organización se compromete a realizar el AARR y atender a sus conclusiones, además de nombrar a los responsables.
El Análisis de Riesgos será elaborado y validado por el Responsable del Sistema, que puede delegar su elaboración.

Finalmente, existe una guía específica del CCN que explica la metodología a seguir en el Análisis de Riesgos en Sistemas de la Administración (CCN-STIC-410).

En el próximo artículo profundizaremos en algunos aspectos particulares que hay que tener en cuenta al aplicar Magerit como metodología de AARR del ENS.

¿Hacia donde caminan los Sistemas de Gestión en normas ISO?

2011-02-18T14:47:00.001+01:00

El mundo de las Normas ISO relacionadas con los Sistemas de Información (ISO20000, ISO27001, BS25999…) ha experimentado un “boom” en la última década, a raíz de la dependencia cada vez mayor de las funciones de Negocio de la organización de los Sistemas de Información.

El aumento de esta dependencia ha sido espectacular, y habitualmente al no formar parte de la cadena de valor tradicional de la empresa (siempre se han considerado procesos de soporte), han sido excluidos del alcance de las normas ISO tradicionales enfocadas a Gestión (ISO9001, ISO14001…).
Tal ha sido el contraste de enfoques que los consultores de Sistemas de Gestión tradicionales rara vez han dado el salto a la consultoría en normas tecnológicas, puesto que parecía haber una gran dependencia de éstas de los conocimientos técnicos con una curva de aprendizaje larga.

A su vez, los consultores informáticos tradicionales, habituados a una auditoría informática muy técnica pero alejada de la gestión de la empresa, han visto la posibilidad de ampliar estas auditorías técnicas a los controles Organizativos, Técnicos, Físicos y Legales de las normas ISO de carácter tecnológico.

Finalmente, hemos asistido en la última década a la especialización de consultores legales (principalmente abogados) en derecho aplicado a Nuevas Tecnologías de la Información, especialmente en la Ley Orgánica de Protección de Datos y el Real decreto 1720/2007 que la desarrolla. Los aspectos coincidentes con un Sistema de Gestión de la Información han animado a estos últimos a dar el salto como consultores de Información más amplia que “el dato de carácter personal” (más ahora con la aparición reciente del “Esquema Nacional de Seguridad”).

Un esquema de esta evolución se muestra en el gráfico siguiente:

¿Qué nos deparará el futuro?

Parece ser que la empresa no puede ser víctima de estos diferentes enfoques aplicables a todas las materias, con lo que en el plazo razonable que marque el entendimiento y la sinergia entre todos los colectivos que intervienen en la gestión de la empresa, deberán acabar existiendo grupos de consultores que trabajen sincronizados para permitir a las organizaciones gestionar un único Sistema de Gestión Integral, que ayude a la organización a conseguir sus objetivos, y no que se convierta en una amalgama de procedimientos administrativos diversos para dar cumplimiento a todas las normativas vigentes.

Lo que no está aún definido por los organismos internacionales (ISO especialmente) es… ¿Cuál será el estándar que logre unificar los demás Sistemas de Gestión? De momento BSI ya ha tomado la delantera…

“Integrated Management PAS 99”

Safer Internet Day 2011

2011-02-08T10:00:00.002+01:00

El DIA INTERNACIONAL DE LA INTERNET SEGURA es un evento que tiene lugar cada año en el mes de febrero, con el objetivo de promover en todo el mundo un uso responsable y seguro de las nuevas tecnologías, especialmente entre menores y jóvenes.

La asociación PROTEGELES, de protección y fomento de un uso responsable de las nuevas tecnologías entre los menores, http://www.protegeles.com/, participa activamente en la organización y difusión de este evento.

PROTEGELES promueve la difusión del spot que ha creado y adaptado a cada idioma y país, lanzando el mismo mensaje en todo el mundo con ocasión de ese día, ¡Piénsalo antes! (Think B4 U post!), apelando a la responsabilidad del usuario a la hora de publicar y gestionar recursos en Internet, especialmente fotografías y vídeos.

Baile de sillas en la consultoría

2011-01-31T10:19:00.004+01:00

Accenture, Roland Berger y Atos Origin han cambiado a sus primeros espada en 2010. KPMG ha fichado a 9 rivales, mientras que Ernst & Young, Deloitte y PwC han incorporado a 5 directivos de la competencia. A Indra, le han quitado 5.

Las consultoras que operan en España recrudecen la guerra de fichajes. Las principales firmas del sector han cerrado un año negativo para el negocio con tres cambios de máximo dirigente, ascensos y 44 incorporaciones estrella para reforzar sus plantillas. Parece que la preocupación por la caída del 5% en los márgenes ha dado paso a la acción.
Accenture y Roland Berger han renovado durante 2010 a sus consejeros delegados mundiales con la entrada de Pierre Nanterme y Martin C. Wittig, respectivamente. Ambos son hombres de la cantera y tienen un fuerte perfil financiero, un matiz interesante dado el contexto económico.

Atos Origin también renovó al primer espada de su filial española para intentar remontar una racha adversa en los resultados. La firma promocionó al francés Patrick Adiba en el lugar de Diego Pavía, que llevaba nueve años en la firma y era presidente de la AEC (Asociación Española de Empresas de Consultoría).
Durante 2009, la filial ibérica de Atos facturó un 10,1% menos que en el año anterior, tendencia que se agravó en el primer cuarto de 2010, con una caída del 12%.
Además de los cambios de entrenador y promociones internas, las firmas de consultoría que juegan en las alturas han fichado a expertos y directivos para hacer frente al ejercicio 2011.
Las Big Four se han tomado en serio el refuerzo de sus divisiones de consultoría. Todas han nombrado un nuevo director y han tirado de chequera para completar equipos.
KPMG ha demostrado el mayor apetito en el mercado con nueve fichajes, de los que tres son de perfil financiero. El más importante para España es Francisco Uría, que deja la Asociación Española de Banca (AEB) para liderar el equipo de finanzas. La firma también incorporó a Yvo de Boer, que, después de abandonar el liderazgo de la ONU para asuntos de cambio climático, se convirtió en asesor Global de esta área en KPMG. Deloitte, Ernst & Young y PwC han contratado a cinco jugones cada uno, mientras que a Indra le han quitado cinco galácticos en el mercado de 2010.
¿Qué áreas de juego han reforzado estos equipos? Deloitte ha optado por los expertos del sector público, un sector muy castigado por la rebaja de las tarifas, y el área de consultoría de consumo.
Servicios financierosPor su parte, PwC ha puesto el foco en los servicios financieros y de deuda, que, dado el contexto económico, han registrado un incremento en la demanda. Además, Joaquín Coronado, que se incorporó a la firma en 2008, se convirtió en el socio responsable de todo el área de consultoría.
Ernst & Young ha promocionado al socio Manuel Giralt para dirigir la división consultora y se ha reforzado con cuatro especialistas y un fichaje estrella para el equipo de Cambio Climático: el exministro de Ciencia y Tecnología, Juan Costa, que ocupa el puesto de líder global.
La francesa Altran ha decidido confiar en sus profesionales españoles con el nombramiento de un vicepresidente mundial y el ascenso del anterior director general de España a jefe de división internacional. A otro nivel, las firmas Oesía, Mercer, Booz y Axesor se han hecho con los servicios de tres profesionales de sus rivales cada uno.

Fuente: http://www.expansión.com/
Foto: http://www.designboom.com

La AGPD invita a celebrar la 5ª edición del Día de la Protección de datos el 28 de Enero

2011-01-27T12:06:00.002+01:00

El próximo 28 de Enero se celebra por 5ª vez el "Día de la Protección de Datos" en Europa, una jornada impulsada por la Comisión Europea, el Consejo de Euripa y las autoridades de protección de datos de los Estados miembros de la Unión Europea.

Tiene por objeto impulsar el conocimiento entre los ciudadanos de sus derechos y responsabilidades en materia de protección de datos.

El evento celebra su 5ª edición y conmemora el 30 aniversario de la firma del Convenio 108 del Consejo de Europa.

Con motivo de la celebración de esta jornada, la AEPD hará entrega de los "Premios de Protección de Datos 2010", que este año alcanzan su XIV edición.

Fuente: https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2011/notas_prensa/common/enero/110124_NP_dia_prot_datos_previa.pdf

Ya tenemos los PODCAST de los cursos!!

2011-01-14T10:04:00.004+01:00

Desde que empezó el año, son cada día más las personas que buscan formación para optar a mejores puestos de trabajo o mejorar sus conocimientos en diferentes ámbitos. Hay diferentes métodos para dicha formación, desde apuntarse a una academia hasta iniciarse en una nueva aventura universitaria. Pero también hay otras opciones, que es la que os proponemos desde aquí: la formación online. Tiene muchísimas ventajas, lo único que necesitas es un ordenador y acceso a internet, el resto lo planificas tú. Y eso es así, porque te puedes planificar tus horarios como mejor te convenga y poder realizarlo desde casa y poder compaginarlo con tu trabajo. A continuación os dejamos con un pequeño podcast del curso online "Sistemas de Gestión de la Seguridad de la información ISO 27001 y LOPD" que está disponible en la plataforma virtual de SGS. Espero que sea de vuestro agrado e interés!!

Un saludo!

"No seas pardillo": la Policía aconseja a los jóvenes contra los timadores

2010-12-28T10:15:00.002+01:00

La Policía Nacional y la Guardia Civil colgarán mañana en la plataforma social Tuenti un mensaje -que forma parte de la iniciativa "Plan Contigo", dirigida a los jóvenes- con advertencias contra los timadores que venden "productos milagro", ofrecen dinero fácil o se hacen pasar por "ligues" en internet.
Bajo el título de "No seas pardillo" y coincidiendo con el Día de los Santos Inocentes, las Fuerzas de Seguridad alertan contra quienes no se contentan con gastar bromas y pretenden "abusar de la buena fe o desconocimiento de los otros para engañarles" mediante prácticas que algunas veces no pueden ser consideradas legalmente como delictivas.
La Policía cita entre otros trucos el de los supuestos directores de casting que buscan modelos o actores con el objetivo de obtener dinero o favores sexuales a cambio de entrar en el mundo del espectáculo; así como el de quienes ofrecen trabajos sencillos y bien pagados, salvo por el hecho de que siempre hay que adelantar un dinero "para realizar algún trámite previo e imprescindible".

En ocasiones, esos falsos empleadores pedirán a los jóvenes que faciliten sus datos a través de un número telefónico de tarificación especial; mientras que otras veces las víctimas del engaño recibirán un sms o un e-mail diciendo que han ganado un premio, pero que deben llamar a uno de esos números, que comienzan por las cifras 803, 806 y 807.
Las Fuerzas de Seguridad alertan también contra las ofertas de productos de marcas prestigiosas a precios increíblemente bajos y contra los "productos milagro" que solucionan casi cualquier problema físico y que pueden ser incluso perjudiciales para la salud o, en el mejor de los casos, no tener ningún efecto beneficioso, como las famosas "pulseras holográficas".
Atención también a las "historietas raras" que llegan a través de reenvíos masivos de e-mails supuestamente desde instituciones serias -como la propia Policía- y con las que los "timadores" consiguen hacerse con miles de direcciones a las que luego mandar el llamado "spam" o "correo basura".
Entre los mensajes que llegan por la red están el de los supuestos "ligues" -chicas o chicos muy atractivos que dicen vivir lejos de España- que contactan con los jóvenes por correo o a través de las redes sociales y que, al cabo de unos días, piden dinero para comprar un billete de avión y venir a visitar a sus nuevos amigos.
"No te deja comprarlo a ti, tienes que enviarle el dinero. Si eres tan ingenuo de hacerlo, ahí desaparecerá. Si no, insistirá durante un tiempo... por si logra engañarte", dice la Policía.
Como consejo general, las Fuerzas de Seguridad recomiendan estar informado y ser precavido -"o, si lo prefieres, desconfiado"- con los supuestos chollos y evitar facilitar datos personales o adelantar ninguna cantidad de dinero en esas situaciones.

Fuente: ADN

Los creadores de virus cambian sus tácticas en busca de ingresos

2010-12-27T10:24:00.003+01:00

La detección de un virus para el sabotaje industrial y la guerra cibernética, el Stuxnet, ha confirmado a los expertos en seguridad que el panorama de los patógenos digitales está cambiando. En 2000 alcanzó una gran notoriedad el virus I love you por su millonaria capacidad de contagio. Se instaló en unos 50 millones de ordenadores. Estos contagios masivos para dañar la máquina no son la prioridad de los creadores de virus. No buscan que su criatura salga en las noticias. Prefieren que pase inadvertida y la dedican al daño selectivo. Son los nuevos cibermisiles.

Para Manuel Medina, director del exCert de la Politécnica de Cataluña, "los creadores de virus buscan como objetivo prioritario el robo de información, no la destrucción de la máquina", y ello conduce a que eviten para sus creaciones la notoriedad que parecían buscar en otras épocas.
Ha cambiado la arquitectura de los virus y su autoría. Los más dañinos no son obra de un informático malicioso. "Son tan complejos que piden mucha inversión. Se necesita un fuerte patrocinio", comenta Luis Corrons, del laboratorio de Panda, "y eso conduce a servicios secretos, grupos terroristas, mafias... Antes, el virus aprovechaba una vulnerabilidad. Stuxnet recurre a varias para un mismo ataque y eso dispara el coste".
Este espécimen, además, busca ser invisible a la máquina infectada. "El bicho está diseñado con un especial poder de propagación". En este caso singular, el objetivo era lesionar gravemente una instalación industrial. Las centrales nucleares iraníes lo han padecido.
Panda ha hecho un estudio sobre el panorama de las intrusiones y contagios. De momento, 2010 se cierra con una producción de malware (programas maliciosos) superior a 2009. Su base de datos almacena 60 millones de amenazas.
Por otra parte, no siempre el éxito se basa en un código intruso. La llamada ingeniería social -engaño a una persona para que suministre datos y contraseñas personales- sigue siendo una táctica muy usada.
Durante 2010 ha habido ataques que han usado Twitter y Facebook como "cuartel general". Para 2011 el uso de redes sociales como método de distribución crecerá.
"En 2011 veremos no solo cómo se consolidan las redes sociales como herramienta para los hackers, sino que seguirán creciendo en cuanto a ataques distribuidos. Las tabletas no serán, por el momento, un objetivo prioritario y crecerá el malware en los móviles, pero no en una cantidad llamativa".
Por su parte, Fortinet, proveedor de dispositivos de seguridad de red, en sus predicciones para 2011 destaca una batalla entre los propietarios de botnets (red de ordenadores infectados al servicio de quien los controla). La empresa destaca la "preocupación entre los cibercriminales por crear su propio imperio del malware, en el que el control sobre las infecciones realizadas puede convertirse en dinero. Se han implementado asesinos de bots dentro de los nuevos bots para eliminar otras amenazas que puedan encontrarse en el mismo sistema".
Al igual que una guerra territorial, los clanes de cibercriminales persiguen la destrucción de la competencia y su propio crecimiento. "A medida que los atacantes infecten más máquinas en 2011, el valor de estas se irá incrementando. La consecuencia fundamental es que se producirá un incremento en el precio de los servicios criminales, como es el alquiler de bots que permiten cargar software malicioso en máquinas".
Fortinet está convencido de que se crearán nuevos programas de afiliación dirigidos a contratar gente que se comprometa a distribuir código malicioso. Los operadores de las redes zombis, que hasta ahora eran los encargados de aumentar los miembros de sus propias botnets, comenzarán a delegar este trabajo a sus afiliados en 2011. "Botnets como Alureon e Hiloti son dos claros ejemplos de este nuevo estilo de trabajo, pagando a cualquiera que les ayude a infectar más sistemas. A través de este ejército de distribuidores, las botnets continuarán creciendo".

Fuente: http://www.elpais.com/

Las principales paginas de descargas cierran en protesta por la 'ley Sinde'

2010-12-21T10:14:00.003+01:00

Webs como Seriesyonkis o Divdxtotal se quedan en negro para denunciar que el Congreso aprueba el martes sin debate la ley 'antidescargas'. Silenciosa pero eficaz. Las principales páginas web de enlaces de descargas y streaming (visionado online ) de música y películas se han apagado a partir de este mediodía en protesta por la disposición adicional de Ley de Economía Sostenible (LES) -la llamada ley Sinde- que prevé el cierre de estas páginas y que se aprobará previsiblemente este martes, día 21, en el Congreso de los Diputados.

Los internautas que acceden a estas populares páginas se han encontrado una página en negro con el lema "Si se aprueba la ley Sinde, esta página desaparecerá", en la mayor acción conjunta que se recuerda desde que en diciembre del año pasado se suscribiera el Manifiesto a favor de Internet al tener conocimiento de la ley, y mayor también a la que protagonizaron algunas de estas webs en enero pasado. De hecho, estas páginas concitan varios millones de visitas y generan más del 70% del tráfico de Internet en España, según datos de las operadoras.Páginas y webmaster tan conocidos como Seriesyonkis, Seriespepito, series danko, Peliculasyonkis, Divxtotal, Mydescarga, Cinetube, Subtorrents y otras tantas (la práctica totalidad), se han sumado simultáneamente a la protesta bajo los siguientes lemas: "Si se aprueba la ley Sinde, esta página desaparecerá. Internet será una tele más, al servicio del poder. Por la libertad de expresión en la Red. No a la censura. No a la ley Sinde. No al cierre de webs".El motivo concreto de esta protesta, centralizada en la página noalcierredewebs.com, es la decisión del Congreso de aprobar la LES en una única reunión de la Comisión de Economía que se celebrará el próximo martes, día 21, bajo la fórmula de competencia legislativa plena, que permite aprobar la ley en su conjunto sin discutir ninguna enmienda, ni el articulado de la ley, y sin pasar por el pleno del Congreso Además, aunque la ley pase por el Senado, el Congreso puede ignorar las enmiendas allí introducidas y dejar intacto el proyecto.El anteproyecto de la LES, cuyo articulado trata sobre las más variadas materias, fue aprobada en marzo pasado por el Consejo de Ministros. Posteriormente, el 23 de septiembre, el Congreso rechazó las enmiendas a la totalidad presentadas por PP, CiU, IU-ICV y UPyD y BNG. Posteriormente, en el plazo de enmiendas parciales, el grupo de tres partidos (Izquierda Unida, Esquerra Republicana e Iniciativa per Catalunya Verds) presentó 19 enmiendas distintas, la primera de ellas era de supresión del articulado. Más matizadas fueron las enmiendas del Grupo Popular, que piden una mayor judicialización del proceso en detrimento de los poderes de la comisión administrativa (Comisión de Propiedad Intelectual) encargada de llevar a cabo los expedientes de cierre de webs.Ni CiU, ni PNV ni Coalición Canaria han dejado clara su posición, por lo que asociaciones, profesionales y grupos de activistas en Internet, como Red Sostenible, piensan que pueden pactar su apoyo al PSOE para sacar adelante la ley.La denominada ley Sinde, llamada así porque su principal impulsora es la ministra de Cultura, Ángeles González-Sinde, prevé la creación de una Comisión de Propiedad Intelectual, dependiente del Ministerio de Cultura , que se encargará de tramitar las denuncias contra las páginas webs que enlacen con archivos (películas, música, videojuegos o software) protegidos por derechos de autor, en un procedimiento rápido, que incluye el bloqueo y el cierre de las páginas infractoras.La tutela judicial corre a cargo de la Sala de lo Contencioso-Administrativa de la Audiencia Nacional, que deberá tramitar las denuncias de la Comisión en un plazo de cuatro días.

Fuente: El País

Visto: http://blog.segu-info.com.ar/

Una filtración del FBI revela el coste y el modo de actuar en un ataque informático a gran escala

2010-12-17T09:26:00.004+01:00

¿Cuánto le puede costar a una compañía como Google o Visa un ataque informático? ¿Cómo actúan las compañías ante tales ataques? Ahora que todos los medios comentan y parecen saber sobre los ataques informáticos, llegando a exponer de manera exhaustiva de qué se trata un ataque DDoS gracias a la relevancia de WikiLeaks, el New York Times (PDF) ha conseguido unas notas de control interno del FBI detallando el coste de un ataque y su “curiosa” resolución. Las notas adquieren hoy un valor más relevante. Por un lado veremos cómo actúa una compañía como Google ante un ataque así, por otro, nos podemos imaginar que los acontecimientos de estas semanas, con los ataques a Mastercard, Visa o PayPal deberán estar dando más de un quebradero de cabeza a las compañías.Las notas conseguidas se remontan al año 2005. No sé si os acordaréis del nombre de Santy. Se trataba de un gusano, un software malicioso que infectó miles de ordenadores introduciéndose automáticamente en las consultas de las búsquedas. Durante varios meses Google se vio abrumada, presentando el 22 de diciembre del 2005 una reclamación al FBI en el que explicaban el bajo rendimiento del motor de búsqueda por los continuos ataques.Tal y como explica Google en el informe, durante 18 meses vieron como su sistema se plagaba de gusanos que utilizaban las consultas para encontrar sitios web vulnerables, aprovechando un agujero de seguridad que se encontraba. Lo curioso del caso es que Google intentó tapar estas acciones a la voz pública debido a las presiones de varios grupos de antivirus. Evidentemente, al final no ha sido así.En una de las notas que expone el diario, una agente del FBI escribió en medio de la investigación abierta:

A medida que Google filtra ciertas frases en la cadena de búsquedas, en cuestión de minutos, los sujetos modifican la frase de búsqueda, evitando los filtros de la compañíaLa compañía intensificó la defensa debido a la gravedad del ataque. Un equipo entero de ingenieros para contrarrestar las acometidas. Pues bien, se cifra en los datos filtrados que alrededor de 500.000 dólares fue el coste para la empresa en pérdidas de ingresos. Unos datos que si bien son altos, hoy no lo serían tanto para el activo de la compañía, aunque se trata del año 2005.La resolución del caso fue, cuanto menos, extraña. El gusano Santy y sus variantes fueron finalmente contrarrestados. Al examinar el código de software utilizado, los ingenieros encontraron una ventana que les llevaba al responsable. En el código se incorporaba una dirección de Gmail para un contacto técnico. Se redactó la dirección de correo y se envió al FBI.El FBI emitió varias citaciones para comparecer en el juzgado de San José, supuestamente los responsables de los ataques. Poco después, el 31 de enero del 2006, Google le dice a la agencia que ya no está interesada en continuar con la investigación y el FBI cierra el caso.¿Por qué? Hasta ahí llega el diario y las notas reveladoras. Aunque todo son suposiciones, podría haberse tratado de un tema de espionaje entre compañías, unas vez hablado y solucionado entre ambas partes, lo cerraron. O bien se podría tratar de un ingeniero que actualmente trabaja en las oficinas de Google, no sería el primer caso ni el último.

Fuente: DDS Media

Visto en:http://blog.segu-info.com.ar/

La cultura de la seguridad en la empresa

2010-12-14T09:42:00.003+01:00

El martes 30 de Noviembre se celebró el Día Internacional de la Seguridad Informática, hecho que Cisco aprovechó para publicar algunos datos interesantes sobre amenazas y riesgos para la seguridad de la información de las empresas. El spam, el malware, los ataques de ingeniería social o las nuevas amenzas a través de las redes sociales, son las amenazas a las que se enfrentan los responsables de seguridad de las empresas, que, según Cisco, suponen unas 130 amenazas potenciales al mes por cada trabajador. Y ante esta cifra, ¿cómo reaccionan las empresas?
Los responsables de IT de las empresas implementan medidas y controles de seguridad (gestión de permisos, perímetros de seguridad, controles de acceso, zonas seguras, firewalls, antivirus, etc), sin embargo, este tipo de medidas por sí solas, necesitan complementarse con factores algo más humanos. Lo normal es que cada empresa mantenga una política de seguridad, ya sea mediante procedimientos internos o, directamente, alineados con un sistema de gestión, como puede ser la norma ISO 27001, pero ni las medidas tecnológicas ni los procedimientos lo son todo, nos sigue faltando algo: la concienciación del personal y el establecimiento de una cultura alrededor de la seguridad.
Recientemente, el fabricante de software de seguridad Clearswift ha publicado un estudio, realizado entre unos 2.000 empleados de diversas empresas, con un dato que me ha parecido muy interesante; un 74% de los participantes afirmó que conocía y comprendía las políticas de seguridad de la información establecidas en sus empresas, sin embargo, de este grupo, más de dos tercios afirmaban, además, que no habían recibido nunca ningún tipo de formación o charla sobre la seguridad de la información o la política de la seguridad.
Precisamente es la falta de concienciación de los empleados de una organización uno de los mayores riesgos para las empresas; riesgo que, por cierto, se suele olvidar. La falta de una cultura de la seguridad dentro de las organizaciones es un problema, por desgracia, demasiado común.
¿Cómo concienciar a una organización? ¿cómo implantar esa cultura de la seguridad en la empresa? ¿mediante una formación regular? ¿un curso muy completo tan sólo una vez?. Tras implantar un sistema de gestión de la seguridad, la norma ISO 27001, por ejemplo, indica que se deben impartir sesiones formativas al personal para concienciarlos y familiarizarlos con el sistema y sus procedimientos, un aspecto que todas las empresas cumplen; sin embargo, tras esto, rara es la organización que realiza jornadas de reciclaje o las repite para el personal de nueva incorporación.
La mayoría de incidentes de seguridad que suceden en las empresas podrían haberse evitado, simplemente, prestando un poco de atención a lo que se estaba realizando, por tanto, un personal bien instruido y concienciado puede ser tan eficaz como un antivirus, o al menos, un buen complemento de éste.
En definitiva, no sólo las medidas físicas de seguridad van a garantizar la integridad de los activos de la compañía, por tanto, las empresas además de invertir en soluciones de seguridad deben invertir en el capital humano de la compañía, implantando planes de concienciación en torno a la seguridad de la información y asumiéndolos como parte de la cultura de la organización.

Vía: PC World y Cibersur Imagen: Tecnicias

Visto en: http://www.bitelia.com/

Escribir mal Twitter lleva a falsa encuesta y a estafa

2010-12-10T10:11:00.006+01:00

Se trata de otro caso de Typosquatting esta vez que afecta a quienes intentan visitar Twitter... y cometen un error al tipear la dirección web.Este tipo de ataques consiste en que los delincuentes registran un dominio de nombre muy parecido al original para realizar algun tipo de engaño a quienes comentan un error al tipear el nombre del sitio. En este caso al tipear equivocadamente el nombre del sitio de Twitter poniendo 'twiter' en lugar de 'twitter', uno es enviado a otro sitio que propone una encuesta a cambio de un 'regalo' en efectivo por participar. Todo esto es falso, una estafa.Esta es una captura del sitio falso:

En caso de acceder a la encuesta y realizarla uno será redirigido al sitio donde se concreta la estafa donde uno pagará unos modestos 31,95 dólares para (supuestamente) recibir el regalo de u$s 2.741,88.

Desde Segu-Info han denunciado a Phishtank, Google SafeBrowsing y WOT los sitios involucrados en este engaño. Si bien algunos están denunciados desde hace más de un año atras, otros de los sitios no estaban reportados.Del mismo modo y abusando del mismo engaño se da el caso al escribir con error el sitio de Facebook. Gracias a estos nuevos reportes, ahora el acceso en general es bloqueado en lo navegadores FireFox, Chrome y bloqueadores que usan servicios relacionados a los descriptos.Recomendamos tener cuidado al tipear los nombres de sus sitios favoritos y dudar de cualquier situación inusual que pueda presentarse. En este caso recordar el sabio y muy vigente refrán "Cuando la limosna es grande ... hasta el santo desconfía"

Fuente: http://blog.segu-info.com.ar

Manifiesto por una Red Neutral

2010-12-09T09:28:00.002+01:00

(Si te sientes cómodo y representado por este texto, dale toda la difusión que puedas y quieras: reprodúcelo, enlázalo, tradúcelo, compártelo, vótalo… todas esas cosas que puedes hacer con total tranquilidad y libertad gracias, precisamente, al hecho de que tenemos todavía una red neutral. Hagamos posible el seguir teniéndola)
Los ciudadanos y las empresas usuarias de Internet adheridas a este texto manifestamos:
1. Que Internet es una Red Neutral por diseño, desde su creación hasta su actual implementación, en la que la información fluye de manera libre, sin discriminación alguna en función de origen, destino, protocolo o contenido.
2. Que las empresas, emprendedores y usuarios de Internet han podido crear servicios y productos en esa Red Neutral sin necesidad de autorizaciones ni acuerdos previos, dando lugar a una barrera de entrada prácticamente inexistente que ha permitido la explosión creativa, de innovación y de servicios que define el estado de la red actual.
3. Que todos los usuarios, emprendedores y empresas de Internet han podido definir y ofrecer sus servicios en condiciones de igualdad llevando el concepto de la libre competencia hasta extremos nunca antes conocidos.
4. Que Internet es el vehículo de libre expresión, libre información y desarrollo social más importante con el que cuentan ciudadanos y empresas. Su naturaleza no debe ser puesta en riesgo bajo ningún concepto.
5. Que para posibilitar esa Red Neutral las operadoras deben transportar paquetes de datos de manera neutral sin erigirse en “aduaneros” del tráfico y sin favorecer o perjudicar a unos contenidos por encima de otros.
6. Que la gestión del tráfico en situaciones puntuales y excepcionales de saturación de las redes debe acometerse de forma transparente, de acuerdo a criterios homogéneos de interés público y no discriminatorios ni comerciales.
7. Que dicha restricción excepcional del tráfico por parte de las operadoras no puede convertirse en una alternativa sostenida a la inversión en redes.
8. Que dicha Red Neutral se ve amenazada por operadoras interesadas en llegar a acuerdos comerciales por los que se privilegie o degrade el contenido según su relación comercial con la operadora.
9. Que algunos operadores del mercado quieren “redefinir” la Red Neutral para manejarla de acuerdo con sus intereses, y esa pretensión debe ser evitada; la definición de las reglas fundamentales del funcionamiento de Internet debe basarse en el interés de quienes la usan, no de quienes la proveen.
10. Que la respuesta ante esta amenaza para la red no puede ser la inacción: no hacer nada equivale a permitir que intereses privados puedan de facto llevar a cabo prácticas que afectan a las libertades fundamentales de los ciudadanos y la capacidad de las empresas para competir en igualdad de condiciones.
11. Que es preciso y urgente instar al Gobierno a proteger de manera clara e inequívoca la Red Neutral, con el fin de proteger el valor de Internet de cara al desarrollo de una economía más productiva, moderna, eficiente y libre de injerencias e intromisiones indebidas. Para ello es preciso que cualquier moción que se apruebe vincule de manera indisoluble la definición de Red Neutral en el contenido de la futura ley que se promueve, y no condicione su aplicación a cuestiones que poco tienen que ver con ésta.
La Red Neutral es un concepto claro y definido en el ámbito académico, donde no suscita debate: los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación ni de cualquier otra consideración ajena a la de su propia voluntad. Ese tráfico se tratará como una comunicación privada y exclusivamente bajo mandato judicial podrá ser espiado, trazado, archivado o analizado en su contenido, como correspondencia privada que es en realidad.
Europa, y España en particular, se encuentran en medio de una crisis económica tan importante que obligará al cambio radical de su modelo productivo, y a un mejor aprovechamiento de la creatividad de sus ciudadanos. La Red Neutral es crucial a la hora de preservar un ecosistema que favorezca la competencia e innovación para la creación de los innumerables productos y servicios que quedan por inventar y descubrir. La capacidad de trabajar en red, de manera colaborativa, y en mercados conectados, afectará a todos los sectores y todas las empresas de nuestro país, lo que convierte a Internet en un factor clave actual y futuro en nuestro desarrollo económico y social, determinando en gran medida el nivel de competitividad del país. De ahí nuestra profunda preocupación por la preservación de la Red Neutral. Por eso instamos con urgencia al Gobierno español a ser proactivo en el contexto europeo y a legislar de manera clara e inequívoca en ese sentido.
Te recomiendo visitar: http://redneutral.org/

Fuente: http://elblogdecalles.blogspot.com/

El FBI acusa a un ruso de haber utilizado Mega-D para inundar al mundo con spam

2010-12-02T12:50:00.000+01:00

El FBI ha identificado a un ciudadano ruso de 23 años como el cibercriminal que manejaba la famosa red zombi Mega-D, que llegó a ser la causante de un tercio del total de mensajes spam que rondaban en Internet.
El FBI acusó a Oleg Nikolaenko de violar las leyes estadounidenses contra el fraude y el spam. Sin embargo, es posible que el país norteamericano no llegue a juzgarlo porque Rusia tiene reglas muy estrictas que prohíben la extradición de sus ciudadanos. Pero, por supuesto, esto no impide que Rusia lo procese con sus propias leyes.
A finales del año pasado la policía australiana detuvo a Lance Atkinson, un neozelandés que reclutaba a spammers para difundir sus productos de forma masiva.
Atkinson empleaba los servicios de Mega-D, así que cuando las autoridades lo arrestaron decidió suavizar su sentencia ayudando a atrapar al miembro de Mega-D con el que hacía negocios. La policía utilizó los registros de las transacciones financieras entre Atkinson y el spammer y las copias de sus mensajes instantáneos para rastrear a Nikolaenko.
El FBI consiguió una orden judicial que le permitía revisar los registros de Google e ePassport. Esto permitió a las autoridades relacionar a Nikolaenko con las cuentas que se utilizaron para negociar con Atkinson.
La red Mega-D llegó a controlar más de 500.000 ordenadores infectados y a enviar más de 10.000 mensajes spam al día. La mayoría de los correos basura que enviaba Mega-D ofrecía medicinas naturales, mercancía falsificada, medicamentos de dudosa procedencia y curas para los problemas sexuales.
La empresa de seguridad FireEye logró derrotar a Mega-D el año pasado y desactivar los servidores de comando y control y los dominios que utilizaba para controlar a sus víctimas, aunque la red pudo recuperarse del ataque.

Fuente: http://www.virulist.com/

Día internacional de la Seguridad Informática

2010-11-30T12:42:00.000+01:00

El día internacional de la seguridad informática, el 30 de noviembre, tiene un especial valor en los tiempos actuales en cuanto a la información del usuario se refiere. Con Internet nos encontramos en un momento en el que la información privada de los usuarios cada vez tiende a ser más pública, un momento en el que los niveles de información alcanzan límites históricos y en el que la sociedad en general se ha dado cuenta del poder de Internet y la información que circula.

La seguridad de la información, tan en peligro en la era informática, en todo caso no es una cuestión ni mucho menos reciente. Las alusiones en la Historia a la protección de la información son muy numerosos. Como casos más conocidos están la 'máquina enigma' de la II Guerra mundial o la defensa de archivos estatales en cualquier país. Pero, ¿cuándo aparece la preocupación por la seguridad de la información en la informática o en Internet?

La respuesta puede ser que desde el principio ha sido un tema que los creadores han tenido en cuenta, pero no es hasta 1980 cuando se fundamentan sus bases. En este año, James P. Anderson escribe un documento titulado 'Computer Security Threat Monitoring and Surveillance'. Lo más interesante de este documento es que James Anderson da una definición de los principales agentes de las amenazas informáticas.

Entre sus definiciones se encuentran términos base de la seguridad informática como Ataque o Vulnerabilidad. En la definición de Vulnerabilidad hace referencia a "una falla conocida o su sospecha, tanto en hardware como en el diseño de software, o la operación de un sistema que se expone a la penetración de su información con exposición accidental". En cuanto al Ataque, lo define como "una formulación especifica o ejecución de un plan para levar a cabo una amenaza".

El documento relaciona estos términos en un contexto informático y de transmisión de datos. Estas definiciones serán algunos de los pilares para lo que hoy conocemos como seguridad informática. A partir de aquí el desarrollo de medidas de defensa de la información en la informática se ha desarrollado casi al mismo tiempo que la creación de amenazas. Los términos virus y antivirus ya forman parte de nuestro lenguaje común, se han convertido en algo cotidiano de nuestra sociedad.

Como hecho curioso en la historia de la seguridad de la información informática, uno de los primeros ataques en este sentido se le atribuye al ex-presidente Ronald Reagan. Supuestamente el antiguo presidente de EEUU habría vendido a la URSS una serie de equipos que contenían un software para controlar distintos aspectos. Se trataría de uno de los primeros ataques, que hoy queda en la historia como una anécdota de la seguridad informática.

Fuente:http://www.portaltic.es

Ares, el sucesor del troyano ZeuS, va a causar estragos en los próximos días

2010-11-23T13:07:00.000+01:00

Los expertos en seguridad alertan de la llegada de un nuevo troyano que promete dar mucha guerra en los próximos días. Se trata de Ares, que se presenta como un malware muy peligroso debido a su gran versatilidad.

Y es que el propio creador de este troyano ha confirmado que Ares no estará centrado sólo en atacar a la banca, sino que cada una de sus copias “puede ser única y puede configurarse en función del comprador”, lo cual multiplica las dificultades para su detección.
También ha advertido que “tiene las mismas capacidades como troyano bancario que Zeus”, una de las amenazas más peligrosas, que a principios de noviembre consiguió pasar de los ordenadores a los móviles.

Pero los ciberdelincuentes no sólo van a poder utilizar este troyano para infectar equipos, sino que hay todo un kit de desarrollo circulando por el mercado negro del cibercrimen.

Este kit se vende de manera gratuita a “desarrolladores de confianza”, pero puede llegar a costar hasta 6.000 dólares a los ciberdelincuentes extraños. Si los cibercriminales no disponen de tanto presupuesto también pueden adquirir un “paquete de inicio”, con funciones reducidas, por 850 dólares.

Desde G-Data alertan de que Ares está a punto de iniciar su “distribución masiva”.

Fuente:http://www.theinquirer.es

Curso presencial del ITI sobre Sistemas de Gestión de la Seguridad de la Información (ISO 27001) y LOPD

2010-11-22T10:28:00.000+01:00

En la actualidad, en todas las empresas, los activos de información se están volviendo una parte vital y fundamental para el desarrollo del negocio. Por ello, cada vez más, las empresas se preocupan para que su información quede lo más resguardada posible y cumplir con la ley de protección de datos, evitando así ataques indeseados (con la consiguiente pérdida/robo de nuestra información) en el primer caso y sanciones económicas impuestas por la Agencia Española de Protección de Datos.

Es recomendable que en todas las empresas, ya sean grandes o pequeñas, exista una persona encargada de estas labores, y éste suele ser el Responsable de Seguridad. En este caso, el personal debe estar formado en ámbitos de Seguridad de la Información y Ley Orgánica de Protección de Datos.

Respecto a esto último, el Instituto Tecnológico de Informática va realizar un curso presencial en Valencia, desde el 13 de Diciembre hasta el 22 de Diciembre,que contará con experimentados consultores en dicho ámbito para la impartición del curso. El curso es muy práctico, y durante varios años sigue teniendo mucho éxito e interés por parte de los usuarios que lo realizan. A continuación, os dejamos la información del curso.

El curso versa sobre como implementar una arquitectura sólida respecto a la seguridad de la información en las empresas y entidades públicas y profundiza en torno a la norma ISO/IEC 27001, la cual define una aproximación formal y práctica a su vez a la seguridad en el mundo de las organizaciones y aporta el enfoque necesario para establecer un Sistema de Gestión de Seguridad de la Información en función de las necesidades de negocio.

También se hace especial hincapié en el apartado de cumplimiento legal, especialmente en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y el nuevo reglamento de la LOPD (RD 1720/2007) que son de obligatorio cumplimiento por todas las empresas y organizaciones públicas y privadas españolas, incluyendo a los autónomos. A su vez el curso no se queda solo en una aproximación teórica sino que se realizan supuestos prácticos y también se profundizará en el Análisis de Riesgos, que consiste en determinar las principales amenazas que puedan afectar a la infraestructura IT de nuestra organización.

FORMULARIO DE INSCRIPCIÓN: http://www.iti.es/training/annual-training-plan/training/resource/7127/index.html
Fecha de inicio y de fin: Desde el día 13 dic 2010 hasta el día 22 dic 2010

Duración: 20 horas

Horario: Lunes, Miércoles y Viernes de 16 a 20 horas

Lugar: Instituto Tecnológico de Informática (ITI). ITI - Ciudad Politécnica de la Innovación, Universidad Politécnica de Valencia, Edificio 8G.. Valencia (Valencia)

Precio: 280 €

Consulta nuestra política de precios actualizada aquí:http://www.iti.es/media/training/docs/Precios_y_Descuentos_Cursos_ITI_v2.pdf

Período de inscripción: Desde el día 24 jun 2010 hasta el día 05 dic 2010

Objetivos:

El curso nos introduce en el mundo de la seguridad de la información (SI) aplicada a las empresas y entidades públicas y profundiza en torno a los Sistemas de Gestión de Seguridad de la Información (Norma ISO 27001) y la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

Público objetivo:

Ingenieros Técnicos y Superiores en carreras técnicas, Directores Financieros y de Sistemas, Administradores, y en general cualquier persona relacionada con el mundo de los sistemas de información con ganas de introducirse o ampliar conocimientos en el área de seguridad de la información.

Más información:

Puede obtener una bonificación, de hasta el 100% de dicho importe, mediante el crédito disponible de las empresas con respecto a su cotización a la Seguridad Social a través de la Fundación Tripartita. En el ITI podemos ofrecerle asesoramiento sobre la bonificación pero no tramitamos la gestión administrativa de la misma.

El precio indicado deberá incrementarse con el correspondiente IVA (18%).

Número mínimo de alumnos para realizar un curso: 8

Programa:

* Introducción a la Seguridad de la Información
* Presentación de la norma ISO/IEC 27001: Sistema de Gestión de Seguridad de la Información (SGSI)
* Análisis y Gestión de Riesgos
* Controles orientados a la Seguridad Organizativa y Política de Seguridad según la norma ISO 27002
* Controles orientados a la Seguridad Física según la norma ISO 27002
* Controles orientados a la Seguridad Lógica y Operativa según la norma ISO 27002
* Controles de Seguridad de Red y aplicativos Web: Técnicas de Hácking Ético
* Controles orientados al Cumplimiento Interno y Regulatorio: LOPD y Reglamento de la LOPD
* Supuestos prácticos

Dirección de contacto: formacion@iti.upv.es
Página web: http://www.iti.es/training/annual-training-plan/training/resource/7127/index.html

Mitos y recomendaciones para una navegación segura a día de hoy

2010-11-17T18:41:00.000+01:00

Os dejamos a continuación una serie de consejos para poder llevar a cabo una navegación web segura así como los 10 mitos sobre la seguridad en Internet. Muchos usuarios no conocen si navegan de forma segura, no saben evitar los sitios peligrosos, no utilizan una política sólida de acceso a Internet ni utilizan un navegador seguro, o no cuentan con la experiencia suficiente para reconocer un sitio peligroso con tan sólo verlo. Con que una sola de estas condiciones se cumpla, ya debería ser consciente de que se encuentra en un grave peligro.

Además, a pesar de encontrarnos en el siglo XXI, todavía están generalizados una serie de mitos sobre la seguridad en Internet que Sophos ha resumido en un informe y a los que ofrece la respuesta definitiva”,comenta Pablo Teijeira, Corporate Account Manager de Sophos Iberia. Los 10 mitos sobre la navegación segura por Internet:

Mito 1: Internet es seguro porque no he sufrido nunca una infección por malware.

Esta idea está muy extendida, aunque lo que puede ocurrir en realidad es que el usuario no sea consciente de que ya está infectado. Muchos ataques provocados por los programas maliciosos están diseñados para robar información personal y contraseñas, o para utilizar el equipo para distribuir correo no deseado, malware o contenido inapropiado sin que el usuario sea consciente de ello.

Mito 2: Mis usuarios no pierden el tiempo navegando por contenidos inapropiados.

Más del 40% del uso de Internet en entornos corporativos es inapropiado y no se comprueba, lo que equivale a una media de 1 a 2 horas por día y usuario. Además, el número de casos de adicción a Internet va en aumento, y los cálculos actuales indican que hasta entre un 5 y 10% de los usuarios de la Red de redes, sufren algún tipo de dependencia de la web.

Mito 3: Controlamos el uso de Internet y nuestros usuarios no pueden evitar esta política.

Gracias a los servidores proxy anónimos, para los empleados es muy fácil eludir la política de filtrado web y visitar cualquier sitio que quieran.

Mito 4: Los únicos sitios que son peligrosos son los de pornografía, juegos de azar y otras páginas “raras”.

Las páginas de confianza que han sido secuestradas representan más del 83% de los sitios que alojan programas maliciosos. La mayoría de los sitios infectados son páginas web en las que el usuario confía y, de hecho, puede que visite diariamente y que son secuestradas para la distribución de malware.

Mito 5: Sólo los usuarios ingenuos son víctimas de infecciones causadas por el malware y virus.

Los programas maliciosos procedentes de descargas no autorizadas se activan de forma automática sin ninguna acción por parte del usuario que no sea, simplemente, visitar ese sitio.

Mito 6: Sólo se puede ser víctima de infecciones si se descargan archivos.

Actualmente la mayoría de infecciones provocadas por el malware se producen mediante una descarga no autorizada. El código malicioso se puede encontrar oculto en el contenido de la página web y descargarse y ejecutarse de manera automática en el navegador con el simple hecho de visitar la web en cuestión.

Mito 7: Firefox es más seguro que Internet Explorer.

Todos los navegadores están expuestos a los mismos riesgos porque, básicamente, todos ellos, son un entorno de ejecución de JavaScript, que es el lenguaje de programación que se usa en Internet y que, por tanto, utilizan los creadores de malware. Además, muchos ataques van dirigidos a complementos que se utilizan en todos los navegadores, como por ejemplo, Adobe Acrobat.

Mito 8: Cuando aparece el icono de candado en el navegador, es seguro.

El icono de candado indica que hay una conexión cifrada con SSL entre el navegador y el servidor, pero no ofrece ningún tipo de seguridad contra el malware.

Mito 9: La seguridad en Internet obliga a hacer un sacrificio entre seguridad y libertad.

A pesar de que Internet se ha convertido en una herramienta vital para muchas funciones empresariales no hay ninguna necesidad de sacrificar el acceso o la seguridad. Una solución de seguridad en Internet ofrece la libertad de conceder acceso a los sitios que los usuarios necesitan al tiempo que se protege la empresa.

Mito 10: Las soluciones de seguridad para estaciones de trabajo no pueden ofrecer protección contra las amenazas de Internet.

En esencia, el navegador de Internet es su propio entorno de ejecución: descarga contenido, lo genera y ejecuta scripts, y todo ello sin ninguna visibilidad por parte de productos de seguridad para estaciones de trabajo. No obstante, esto está cambiando, y se está abriendo todo un nuevo enfoque a la seguridad en Internet, sobre todo para trabajadores móviles que realizan sus tareas fuera de los límites tradicionales de las redes corporativas.

Cinco consejos definitivos para hacer frente a las amenazas web modernas

La educación y la concienciación de los usuarios, medidas preventivas y una solución moderna de seguridad en Internet son componentes integrales de una defensa completa con las amenazas web actuales. Desde MuySeguridad.net corroboramos los consejos de Sophos, que:

Se mantengan los sistemas actualizados y con todos los parches instalados.Una de las mejores maneras de hacerlo es mantener activada la función de actualización automática.
Se estandarice el software web. Se puede reducir de forma drástica la exposición a riesgos mediante la limitación o la estandarización de un conjunto básico de aplicaciones para interactuar con Internet: navegador, lector .pdf, reproductor multimedia, etc.
Se protejan los navegadores. Se debe familiarizar con los parámetros de seguridad, privacidad y contenido presentes en todos los navegadores. Algunos supondrán una molestia sin aumentar la seguridad, mientras que otros son importantes para limitar los ataques y amenazas.
Se aplique una política sólida de contraseñas. Una política eficaz consiste en hacer que nos e puedan adivinar ni descifrar fácilmente las contraseñas. Es importante que éstas sean largas, que incluyan números, símbolos y caracteres en mayúscula y minúscula, sin información personal y cambiarlas con frecuencia.
Se utilice una solución de seguridad eficaz para Internet. Una solución de seguridad adecuada reduce la exposición a las amenazas, protege contra sitios de confianza que pueden ser objetos de secuestros, y ayuda a proteger los recursos contra los abusos provocados por el intercambio de contenidos ilegales o la transferencia de contenido multimedia.

Fuente: http://muyseguridad.net/

¿Por qué hay que certificar la seguridad informática bajo la norma ISO 27001?

2010-11-11T09:14:00.000+01:00

Al momento de explicar por qué certificar una norma internacional enfocada en la gestión de riesgos asociados a la seguridad de la información, como lo es la serie de normas ISO 27000 y en particular su capítulo certificable, es decir la norma ISO 27001, uno podría comenzar justificando su posición desde distintos ángulos.

Por ejemplo, analizando retornos de inversión en distintos escenarios de implementación, ventajas desde el punto de vista de costos, reconocimiento de la marca, aspectos regulatorios, relación entre la norma internacional y otras regulaciones locales, mostrar la sinergia entre distintos sistemas de gestión que probablemente ya se encuentren implementados o en camino de estarlo como ISO 9000, ISO 14000 o ISO 20000 entre otros.

Podríamos comenzar también por algo mucho más complejo: detallando cuáles son los riesgos que la norma ayudaría a mitigar, a partir de los cuales todos los demás aspectos se deducen de forma mucho más sencilla.

¿Pero por qué resultan tan difícil de describir los riesgos? Justamente porque no se quedan quietos, es decir, constantemente evolucionan.

Siempre están latentes, aunque no se dejan ver tan fácilmente.

De esta manera, si el día de hoy, como sugiere la norma, realizáramos una lista de activos, detalláramos todas las amenazas que los afectan, las vulnerabilidades asociadas a esas amenazas, y por último hiciéramos una valoración de los riesgos resultantes en función de su impacto y probabilidad de ocurrencia, podríamos asegurar que al otro día, esa valoración estaría desactualizada.

Y es por ese motivo que la norma comienza definiendo el sistema de gestión que servirá de base para administrar los riesgos, antes de comenzar a tocar siquiera cuestiones relacionadas a la seguridad: sistematizar el descubrimiento, tratamiento y mitigación de los riesgos, y sostener esas actividades en el tiempo, es condición necesaria para considerarse "mínimamente seguro", con todas las dificultades (y críticas justificadas) que expresarlo de esa manera podría acarrear.

Luego de haber implementado un sistema de gestión del riesgo, con todas las consideraciones mencionadas, incluyendo revisiones periódicas de un Comité de Seguridad que asigne recursos, verifique la implementación de los controles, propicie la mejora continua de los procesos, y ajuste políticas organizacionales que complementen las medidas de seguridad incorporándolas a un plan de capacitación y concientización para todos los actores que interactúan con la información de la compañía, tendremos apenas un vistazo a lo que significa contar con ISO 27001 en una organización.

Esta norma se relaciona con todas las áreas y procesos de la empresa, incluyendo Recursos Humanos, Tecnología y Legales, produciendo también uno de los cambios culturales (y políticos) más importantes de los últimos 10 años en las organizaciones en general, que es la separación de funciones entre las áreas de Tecnología y Seguridad, que debe reportar idealmente en forma directa al CEO y/o al Directorio.

Pero el objetivo de la nota no es hablar solamente de ISO 27001, sino también de por qué conviene certificar la implementación de la norma: ¿es que solamente con implementarla no basta?

Desde mi experiencia, la certificación agrega un componente fundamental, que son las auditorías externas: éstas son realizadas (idealmente) por auditores profesionales que día a día van ganando experiencia en auditar organizaciones en distintos mercados, países y tipos de negocio, aportando objetividad al sistema de gestión implementado a través de las observaciones y no conformidades que detectan.

En un sistema de gestión ISO, es deseable que aparezcan aspectos a mejorar, ya que de otra forma para qué desearía uno contar con un sistema basado en la mejora contínua, y cuando solamente se realizan auditorías internas, estamos perdiendo una oportunidad inmejorable para validar la efectividad de las gestión de riesgos.

Ahora sí podemos volver al inicio de la nota y listar todas las ventajas que con seguridad contaremos luego de obtener la certificación, siendo conscientes que detrás de un certificado, hay muchos más beneficios para la organización aunque a veces: "lo esencial es invisible a los ojos.

Fuente:http://tecnologia.iprofesional.com/

Spam ruso. De las novias por correo a las estufas de leña

2010-11-09T09:14:00.000+01:00

Cuando hablamos de correo no deseado, a lo largo de los años se han ido creando tendencias o modas recurrentes, tales como la venta de viagra o medicamentos a una fracción de su precio, replicas de artículos de lujo, ofertas de empleo o, en el caso del spam que proviene de países de Europa del este (especialmente Rusia), proposiciones para establecer relaciones sentimentales por parte de señoritas supuestamente en busca de una pareja. Hasta hace pocos meses era frecuente ver como nuestra bandeja de entrada se llenaba de proposiciones de relaciones por parte de bellas jóvenes. Asimismo, era frecuente encontrarnos con una foto adjunta al mensaje que mostraba a la señorita que buscaba su media naranja fuera de su tierra natal.

No obstante, estos últimos días hemos recibido en nuestro laboratorio un nuevo tipo de correo no deseado desde Rusia que apela a nuestra caridad. Veamos un ejemplo:

Como vemos, el engaño clásico que consistía en entablar una relación a distancia con una joven rusa y, seguidamente, enviarle dinero para que pudiese salir de su país (cosa que nunca se producía) se ha visto sustituido por una historia bastante más dramática. Esto puede ser debido a la disminución del éxito del engaño anterior o a una prueba en el cambio de estrategia. En el mensaje se observan detalles, como la inclusión de una nota que explica el lenguaje usado, el no indicar de que localidad es la afectada, la mención de sucesos recientes como los incendios acontecidos en Rusia este verano y, por último, se juega con el temor al inminente invierno y las gélidas temperaturas que acarrea en esas latitudes.

Asimismo, la cantidad solicitada se especifica desde el principio y esta es menor que las solicitadas con los engaños anteriores. Es posible que este tipo de spam sea una prueba estacional, buscando depurar las técnicas usadas en este tipo de engaños, y que los ciberdelincuentes estén lanzando estos correos a modo de sonda, para ver si los beneficios son mayores que usando el método anterior.

De cualquier forma, desde el laboratorio de ESET en Ontinet.com aconsejamos a nuestros lectores que no caigan estos engaños ya que solo buscan apelar a nuestros sentimientos para hacernos caer en la trampa y estafarnos.

Fuente:http://blogs.protegerse.com/laboratorio/

Europa quiere proteger a los usuarios de Internet

2010-11-08T09:32:00.000+01:00

La irrupción de las redes sociales online en el panorama tecnológico y social ha motivado grandes polémicas respecto a la privacidad de sus usuarios, además de establecer un nuevo panorama ante el que, muchas veces, las legislaciones nacionales e internacionales no han estado a la altura de su evolución en todos los momentos.

El proceso que se encuentra cerca de culminar, empezó en 2002 y terminará con la reescritura de la directiva europea de protección de datos, marco que cada país adapta en su propia legislación dando lugar, por ejemplo y entre otras, a la LOPD (Ley Oficial de Protección de Datos) española.

En un documento de unas 20 páginas que puede consultarse en el sitio web de la Unión Europea (http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_es.pdf), se resumen los principales retos que afronta la protección de datos actualmente y que no se daban en la anterior redacción de la ley marco europea (que data de 1995). Principalmente, estos consisten en las redes sociales, la publicidad online y el cloud computing.

En el documento, titulado Un enfoque global de la protección de los datos personales en la Unión Europea, se indica la forma en que se propone que los servicios online avisen de la recolección y tratamiento de la información a los internautas, así como las obligaciones que tendrán en cuanto al tratamiento y la seguridad de los datos y las condiciones de baja de un usuario.

En el caso de sufrir una filtración que lleve a hacer públicos datos personales de los usuarios del servicio o que estos caigan en manos de terceras partes, la propuesta de nueva legislación obliga a la empresa a dar a conocer públicamente el incidente.

El creciente uso de los servicios online de todo tipo, lo que se ha dado en llamar computación en nube o cloud computing, también ha provocado un fuerte cambio en el panorama de la privacidad de los datos de los internautas, puesto que ahora servicios como Google Docs o similares, pueden contener no solamente datos como nombres, apellidos y números de documentos nacionales de identidad, si no textos que hagan, incluso, referencia a terceras personas, situaciones e informaciones sobre empresas y organizaciones.

“Los métodos de recogida de los datos personales son cada vez más complicados y se detectan con más dificultad”, afirma el documento elaborado por la Comisión Europea, lo que da a entender que, actualmente, existe una gran actividad “oscura” de recopilación de datos, no informada ni al propio interesado ni a las autoridades. El documento europeo busca acabar con dicha actividad o, por lo menos, tener más y mejores armas contra aquellos quienes la practiquen.

Los servicios que emplean geoposicionamiento son también un fenómeno reciente que permite a las empresas conocer la situación del usuario y, por lo tanto, penetrar mucho más en su intimidad que solamente con el conocimiento de unos pocos datos. La propuesta de directiva europea también repara en dichos servicios.

Este documento será discutido, interpretado, reinterpretado y reconstruido para, finalmente, ser presentado al Parlamento Europeo para su discusión y aprobación. Es por ello que aún nos queda bastante hasta que el trabajo de la Comisión Europea se concrete en un marco legislativo, y más aún para que los diferentes estados que componen la Unión lo adapten a sus respectivas legislaciones. Estaremos hablando de unos ¿cuatro años, tal vez?

Como siempre, la presente iniciativa topará con el escollo de los servicios online cuyos servidores y sedes sociales se encuentren fuera de las fronteras de la Unión Europea.

Fuente: http://es.imatica.org/

Facebook revela ventas de datos de usuarios y bloquea aplicaciones

2010-11-03T12:59:00.000+01:00

Algunos desarrolladores sobre la plataforma de Facebook han estado vendiendo Facebook UIDs o identificadores de usuario, lo que permitía personalizar la publicidad que se servía a los usuarios de los cuales se tuviera el UID. Según parece, Facebook descubrió esto mientras investigaba un bug de algunos navegadores.

Lo sorprendente es que la reacción de Facebook ante esto ha sido la de "bloquear 6 meses los servicios de Facebook" a los que trapichearon con información de los usuarios (cosa que por otra parte que podría ser delito). En la el comunicado de Facebook se dice que no se filtraron datos privados de usuarios por este mecanismo. ¿Será verdad esto? Sea como sea, es evidente el peligro de confiar la información privada a terceros cuya intención primaria no es salvaguardarla.

Pero Facebook quiere tener seguridad de que no pueden compartirlas con empresas publicitarias, por eso ha desarrollado una funcionalidad, que estará disponible la próxima semana, que evita acceder a datos personales a través de la ID. Facebook urge a todos los desarrolladores a pasarse a él antes de primero de año.

Facebook va a iniciar durante este tiempo de bloqueo una investigación y solicitará a estos desarrolladores que les faciliten sus prácticas de tratamiento de datos para realizar una auditoría que confirme que cumplen de nuevo con sus políticas de privacidad.

La red social que este bloqueo va a afectar a una docena de aplicaciones nada más, y que ninguna de ellas están en el top 10 de las más utilizadas. Desmiente así el rumor de que juegos tan populares como FarmVille esté implicado, aunque no da los nombres de las aplicaciones a las que se les va a impedir el acceso.

Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz14Dha2E00

Cursos online SGS Deusto muy interesantes

2010-10-08T12:06:00.000+02:00

La Cátedra SGS Deusto a través de su plataforma online, ofrece unos cursos sobre:
1) Gestión de la calidad en las organizaciones (ISO 9001): http://www.setival.com/mailing/Ficha_Curso_Gestion_de_la_Calidad_Rev_MKT.pdf
2)Una visión práctica de la LOPD y el RD 1720/2007:
http://www.setival.com/mailing/Ficha_Curso_LOPD_Rev_MKT.pdf
3)Sistemas de Gestión de la Seguridad de la Información ISO 27001 y LOPD:
http://www.setival.com/mailing/Ficha_Curso_SGSI_y_LOPD_Rev_MKT.pdf
4)Hacking ético:
http://www.setival.com/mailing/Ficha_Curso_Hacking_Etico_Rev_MKT.pdf

Animaros y echarles un vistazo,no os arrepentireis!

2010-07-20T15:34:00.000+02:00

El nuevo curso de HACKING ETICO de SGs y DEUSTO proporciona una visión técnica de la seguridad de la información, utilizando técnicas usuales como la recopilación de información y detección de la vulnerabilidad, tanto dentro como fuera de una red empresarial, así, la prevención se convierte en una herramienta eficaz para fortalecer la seguridad de la información en las empresas.
En la ultima Jornada de Seguridad al cuadrado el responsable de seguridad de telefónica menciono que esta comprobado que el 3% de la población tiene problemas sociales, cuantas de estos estaran trabjando en tu empresa?

Ley Organica de protección de Datos

2010-06-22T18:08:00.000+02:00

La información se ha convertido en uno de los activos mas críticos de las empresas. Dentro de la información de naturaleza confidencial encontramos una especialmente sensible, los datos de carácter personal; así, todos los tratamientos de datos personales realizados por parte de las empresas deben acogerse a una serie de medidas de seguridad, establecidas tanto por la Ley Orgánica de Protección de Datos como por su Reglamento de desarrollo.

Asimismo, hay datos especialmente sensibles, como por ejemplo los datos de menores que requieren de un tratamiento complejo y el consentimiento paterno, o como los datos relativos a la salud de las personas, los cuales son clasificados de nivel alto . En este sentido, la casuística en la que se pueden encontrar las organizaciones sería muy prolija de enumerar.

Es necesario reflexionar sobre los datos que maneja nuestra empresa, así como el flujo de entrada-salida de los mismos para poder aplicar las medidas legales, técnicas y organizativas para protegerlos y, de esta manera, salvaguardar a la propia compañía de situaciones que pueden acarrear un incumplimiento de la ley, minimizando las mismas. En caso de incumplimiento y en función de la clasificación de los datos tratados puede acarrear a la empresa sanciones acumulativas que individualmente pueden alcanzar 600.000 Euros.

Por otro lado, a menudo se omite la formación a empleados en materia de seguridad, siendo esta cuestión uno de los principales de focos de incumplimiento de la normativa vigente. Para paliar esta situación, el nuevo Reglamento de Desarrollo de la LOPD especifica lo siguiente, según reza el siguiente artículo del mismo: Art. 89.2 “el responsable del fichero o tratamiento adoptará las medidas para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”.

http://www.setival.com/mailing/Ficha_Curso_LOPD_Rev_MKT.pdf