ISO27000.es - Archivo de Noticias
BCLE2000: Certifica tus competencias en continuidad del negocio
08/May/2018, 01:12 AM

Del 28 de Mayo al 01 de Junio próximas fechas en España para realizar el curso y examen oficial del DRI, instituto con el mayor número de profesionales certificados (+15 000) en Continuidad de Negocio a nivel internacional.


Importancia de una Matriz de Priorización de Incidentes
01/May/2018, 07:22 PM

Todos los incidentes son importantes pero algunos más que otros. El modo en que la departamento de TI puede determinar la importancia relativa de un incidente es mediante el uso de una matriz de priorización de incidentes.


Endgame Malware Benchmark for Research
01/May/2018, 07:03 PM

La empresa de ciberseguridad Endgame ha publicado un gran conjunto de datos de código abierto llamado EMBER y un software de IA que puede ser entrenado con ese conjunto de datos para ayudar a los programas automatizados de ciberseguridad a mantenerse al día.


Europol cierra WebStresser
01/May/2018, 06:44 PM

WebStresser permitía contratar ataques de denegación de servicio distribuida (DDoS) contra cualquier sitio web indicada (principales usuarios localiados en Holanda, Italia, España, Croacia, el Reino Unido, Australia, Canadá y Hong Kong) a cambio una suscrpción mensual disponible desde 15 euros.


Cómo INCUMPLIR el Reglamento General Europeo de Protección de Datos
01/May/2018, 06:31 PM

Ante la cercanía de las fechas para la adaptación y las promociones "low-cost" de consultoría/auditoría remota (algunas de ellas mediante colegios profesionales) recordamos la nota ya publicada por la Agencia de Protección de Datos indicando que las auditorías de cumplimiento no se pueden, bajo ninguna excusa llevar a cabo por medios remotos (correo electrónico, teléfono, etc),


Mind Maps en seguridad de la información
29/April/2018, 01:51 PM

Información esquemática y herramientas sobre cómo cubrir los requisitos y necesidades de los diferentes marcos (ISO 27001, PCI DSS v3) y actividades en seguridad (forensics, web testing, cifrado, ...)


Toolkit de estándares internacionales para GDPR
30/March/2018, 01:34 PM

Las organizaciones de todo el mundo se ven obligadas a cumplir con las nuevas y amplias normas de protección de datos de la UE si llegan a los ciudadanos de la UE con cualquier tipo de información, contenido o servicio on line.


Proteger las redes ferroviarias de ciberataques
16/April/2018, 05:02 AM

Los ferrocarriles y los sistemas de metro han sido objeto de una serie de ciberataques en los últimos años y es probable que el problema empeore comprometiendo la seguridad de las personas.


NIST: Gestión de activos en el sector energético
13/April/2018, 06:45 AM

Dirigido a instalaciones del sector eléctrico, gasístico y petrolífero para permanecer completamente operacionales siendo capaces de identificar, controlar y monitorear de manera efectiva sus activos tecnológicos operacionales.


Más del 80% de incidentes de seguridad mplican contraseñas débiles o robadas.
13/April/2018, 06:36 AM

Informe Verizon con tres factores clave: aumento en el uso de aplicaciones en la nube, pérdida de control en aplicaciones por parte de TI y los empleados están volviendo a los hábitos de contraseñas débiles por lo incómodo de su gestión.


Riesgos de la conectividad de teletrabajadores
13/April/2018, 05:14 AM

El informe sobre 500 CIOs y responsables de TI muestra que el 81% ha experimentado un incidente de seguridad relacionado con redes Wifi y un 57% en la sospecha de trabajdores hackeados o utilizados para lanzarr incidentes de seguridad en el último año, entre otras consideraciones relevantes.


La aplicación de cifrado se incrementa
13/April/2018, 04:51 AM

El informe realkzado por el Ponemon Institute en base a encuestas de 5200 profesionales de 12 países de distintas regiones a nivel mundial muestra la evolución en los últimos 13 años en la aplicación de técnicas de cifrado en las orgnizaiciones.


C5: Cloud Computing Compliance Controls Catalogue
06/April/2018, 09:16 AM

Guía publicada en inglés por la oficina federal alemana para la seguridad de la información con cirterios de evaluación de proveedores de servicios Cloud.


Ciberseguridad es un prerequisito a la digitalización
06/April/2018, 09:07 AM

El aumento en la complejidad de los sistemas TIC proporciona a los atacantes una amplia variedad de oportunidades en el espionaje y/o sabotaje de procesos administrativos y de negocio o el enriquecimiento a costa del esfuerzo de otros.


ISO/IEC TS 29003:2018: sistemas de gestión de identidades
04/April/2018, 08:42 PM

Proporciona pautas para la prueba de identidad de una persona. Especifica niveles de pruebas de identidad y requisitos para alcanzar estos niveles.


Teletrabajo: Nueve riesgos ocultos
04/April/2018, 08:37 PM

Artículo de CIO sobre cómo desarrollar una política integral de teletrabajo para mitigar posibles responsabilidades.


Seguridad en la gestión de proveedores o encargados de tratamiento
04/April/2018, 08:31 PM

Artículo de Áudea que explica cómo gestionar la seguridad con proveedores en base a ISO/IEC 27018 de seguridad en cloud como facilitador del cumplimiento del Reglamento General de Protección de Datos, en adelante RGPD.


Algunas herramientas forenses útiles para su investigación forense
04/April/2018, 08:07 PM


Informe Online Trust Alliance: El 93% de los incidentes de seguridad son evitables
04/April/2018, 07:54 PM

El análisis en incidientes de seguridad hasta el 3T de 2017 indica que, aunque el número de incidentes continúa creciendo, las organizaciones tienen muchas oportunidades para prevenir y evitar en todos los niveles y funciones de trabajo


BCLE2000: Certifica tus competencias en continuidad del negocio
24/April/2018, 01:12 AM

Del 28 de Mayo al 01 de Junio próximas fechas en España para realizar el curso y examen oficial del DRI, instituto con el mayor número de profesionales certificados (+15 000) en Continuidad de Negocio a nivel internacional.


Forensics en unidades de estado sólido
19/March/2018, 10:50 PM

Artículo en el que se aplican herramientas de código abierto y referencias entre las que se incluyen 27037:2016, ISO/IEC 27037:2016.


Filtración de datos en Facebook le expone a multas millonarias
19/March/2018, 10:20 PM

Caídas en las acciones de cerca el 7% en una jornada y posibles multas multimillonarias por aportar información de 50 millones de usuarios de Facebook en EEUU a la consultora Cambridge Analytica con el objetivo de predecir las decisiones e influir en los votantes.


Dragos: Cinco grupos de amenaza a los sistemas industriales
17/March/2018, 09:26 PM

Dragos realiza un seguimiento de cinco actores que han atacado directamente a sistemas industriales o que han mostrado interés en recopilar información sobre este tipo de sistemas.


Nuevo Consorcio de Ciberseguridad de las Fintech
17/March/2018, 08:53 PM

Tras el reciente anuncio de un nuevo Centro Internacional para la Ciberseguridad, el Foro Económico Mundial (WEF) lanza esta nueva iniciativa centrada en las Fintech. Entre los miembros fundadores del nuevo consorcio están Citigroup, Zurich Insurance Group, el prestamista fintech Kabbage y el proveedor de infraestructura financiera DTCC.


THIBER: La necesidad de un Programa Nacional de Ciber-Reserva
17/March/2018, 08:44 PM

Los THIBER REPORTS son un nuevo formato documental desarrollado por THIBER que analizan cuestiones de relevancia y actualidad sobre seguridad y defensa del ciberespacio.


10 consejos para prevenir el Ransomware
17/March/2018, 08:23 PM

Si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware tal y como vimos con el ransomware NotPetya.


ISO/IEC TR 27103:2018: Cybersecurity and ISO and IEC Standards
10/March/2018, 10:39 PM

Primera edición para proporcionar orientación sobre cómo aprovechar las normas existentes en un marco de ciberseguridad


Nueva versión ISO 27000:2018
10/March/2018, 10:31 PM

Quinta edición de los términos y definiciones habitualmente utilizados en los sistemas de gestión de la seguridad de la información entre otros estándares. Está disponible para descarga sin coste en inglés y francés.


Guías de Análisis de Riesgo y Evaluación de Impacto en la Protección de Datos Personales
27/February/2018, 02:15 AM

La Agencia Española de Protección de Datos (AEPD) ha presentado la Guía de Análisis de Riesgo y la Guía de Evaluación de Impacto en la Protección de Datos en un acto celebrado con asociaciones empresariales de los sectores de la banca, energía, gran consumo, seguros, publicidad y turismo, entre otros, y representantes de las Administraciones Públicas.


ISACA: Evaluaciones del impacto en Protección de Datos del RGPD
27/February/2018, 02:15 AM

Documento de ISACA de libre acceso en castellano y en inglés sobre las evaluaciones del impacto en Protección de Datos de la nueva RGPD.


Vulnerabilidades en software de gasolineras
27/February/2018, 01:55 AM

Tras el análisis por los investigadores de Kasperksy, concluyeron que un atacante que conozca las credenciales hardcodeadas tendría acceso a apagar todos los sistemas de provisionamiento, cambiar los precios de los productos, robar dinero a través de la terminal de pago, obtener información de las licencias de los vehículos y sus dueños, bloquear la estación a cambio de un rescate, entre otras acciones.


Riesgos de usar WhatsApp Web en entornos corporativos
27/February/2018, 01:49 AM

Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones.


Maersk tuvo que volver a instalar todos los sistemas de TI después de la infección NotPetya
27/February/2018, 01:29 AM

?4000 nuevos servidores, 45,000 nuevos PCs, 2500 aplicaciones?: El coste de no mantener actualizados los sistemas:TI para una de las muchas empresas afectadas.


Prevenir errores de gestión de identidad con un mapa de datos
27/February/2018, 01:24 AM

Las soluciones de gestión de identidad (IAM) a menudo no ofrecen resultados porque las organizaciones no desarrollan un mapa de datos por adelantado como parte de sus requisitos y diseño.


The 2018 Global Cloud Data Security Study
27/February/2018, 01:14 AM

La falta de políticas de seguridad en la nube pone en riesgo el 60 por ciento de los datos. Resultados de muestreo de 94.577 profesionales de seguridad TI de los Estados Unidos, el Reino Unido, Australia, Alemania, Francia, Japón, India y Brasil que están familiarizados e involucrados en el uso de sus recursos en nube tanto pública como privada.


Hacker de 15 años actuó como jefe de la CIA
27/February/2018, 01:11 AM

Kane Gamble usó métodos de ingeniería social para hacerse pasar por el director de la CIA, John Brennan, y obtener acceso no autorizado a cuentas extremadamente sensibles relacionadas con operaciones militares y de inteligencia en Afganistán e Irán.


Evasive Malware: Learning by Example
27/February/2018, 12:42 AM

Los autores de malware están evolucionando tan rápido como los proveedores de antivirus y seguridad. Aquí hay algunos ejemplos de cómo se implementaron técnicas evasivas en ataques que han llegado a ser titular de prensa.


OSI: Tendencias actuales de los correos electrónicos maliciosos
27/February/2018, 12:41 AM

El correo electrónico además de una herramienta para el intercambio de mensajes y ficheros, sigue siendo una de las principales vías de infección por virus y malware, así como el elemento en la que se establece un primer contacto para intentar perpetrar multitud de fraudes.


GDPR: Lenta evolución en implantación en España
25/February/2018, 10:12 PM

Según un informe del pasado Enero de IDC, entre los obstáculos para poder hacerlo están la limitación de recursos (49%), la ausencia de presupuesto para ello (46%) y la falta de conocimientos sobre cómo realizar el proyecto para lograrlo (42%).


Informe anual BCI Horizon Scan 2018
25/February/2018, 01:40 PM

El informe publicado por el Business Continuity Institute (BCI) en colaboración con British Standards Institution (BSI), muestra que el 86% de las organizaciones que han tenido planes de continuidad comercial en funcionamiento durante cinco años o más declararon que aumentarán o mantendrán su inversión en la continuidad del negocio, lo que ha hecho aumentar la demanda de certificación de la norma ISO 22301.


Baker McKenzie: Guía de regulación global
22/February/2018, 04:09 AM

Esta guía sobre regulación en servicios financieros proporciona un resumen completo de las regulaciones aplicables a los bancos y otras compañías de servicios financieros en 41 jurisdicciones de todo el mundo y reúne el conocimiento colectivo y la experiencia de más de 700 abogados de banca y finanzas en la red global de Baker McKenzie.


La nueva ISO 31000:2018 mantiene la sencillez en la gestión del riesgo
19/February/2018, 12:24 PM

El daño a la reputación o la marca, el delito cibernético, el riesgo político y el terrorismo son algunos de los riesgos que las organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo deben enfrentar con cada vez mayor frecuencia. La última versión de ISO 31000 acaba de ser presentada para ayudar a manejar la incertidumbre.


Riesgos en las empresas europeas para 2018
19/January/2018, 10:39 PM

Institutos de auditores internos de siete países europeos identifican ocho áreas principales donde la privacidad y la ciberseguridad son dos factores destacados.


Vulnerabilidades críticas en múltiples CPUs. Meltdown y Spectre
19/January/2018, 10:35 PM

Referencias oficiales desde INCIBE sobre uno de los problemas de seguridad de mayor afectación en los últimos años.


¿Es exportable el modelo europeo de privacidad a Latinoamérica?
14/January/2018, 02:53 AM

En un momento en el que Europa está haciendo un esfuerzo por adaptarse al nuevo Reglamento Europeo de Protección de Datos (RGPD), una norma consensuada en los últimos años y con cerca de 4.000 enmiendas que pretende homogeneizar la privacidad en el Viejo Continente, conviene saber qué puede pasar en Latinoamérica, donde la privacidad también importa cada vez más.


Revisión de enlaces
14/January/2018, 02:53 AM

Iniciamos el presente año con una renovación de todos los enlaces disponibles desde nuestras páginas de modo que algunos se han actualizado y se han eliminado las referencias más desactualizadas introduciendo otras nuevas según el caso.


NYT: La ciberseguridad se trata actualmente como la contabilidad antes de Enron
14/January/2018, 02:45 AM

Incluso cuando las vulnerabilidades quedan expuestas y se producen ataques dañinos, hay pocas repercusiones duraderas. Casi sin excepción, los precios de las acciones se recuperan, los clientes vuelven, los ejecutivos mantienen sus trabajos o salen con paracaídas dorados, mientras el gobierno mira hacia otro lado.


SeguInfo: Entendiendo e implementando la "concientización"
14/January/2018, 02:37 AM

Concientizar va más allá que dar un curso de inducción o pegar anuncios en todo el edificio y la realidad es que la mayoría se queda en capacitar y educar. ¿Por que? Pues por que concientizar es llegar al elemento más sensible del ser humano.


Actualización de antivirus en sistemas de control industrial
14/January/2018, 02:11 AM

Enlace desde el DHS ICS-CERT al documento de buenas prácticas recomendadas por el Centro nacional de ciberseguridad y comunicaciones (NCCIC) que añadkmos a la sección 12.2 de nuestro apartado ISO 27002. Es interesante por todos los problemas actuales de no poder envíar actualizaciones automáticas a los sistemas que no tienen una clave de registro AV actualizada en ciertos entornos.


ISMSForum: V Estudio del Estado del Arte de la Seguridad en la Nube
14/January/2018, 02:00 AM

Esta edición amplía su alcance y colaboración con la participación de los capítulos Español, Peruano y Argentino y el capítulo de Madrid de ISACA, y con el estreno de los capítulos Chileno, Boliviano, Brasileño y Colombiano de Cloud Security Alliance.


INCIBE: Top 10 ? 2017 de Riesgos de Seguridad en Aplicaciones Web
14/January/2018, 01:56 AM

Análisis de la publicación del proyecto abierto de seguridad en aplicaciones Web OWASP en el que los ataques de inyección vuelven a ser el mayor riesgo de seguridad, al igual que en las dos ediciones anteriores de 2013, y 2010.


Hispasec: Un repaso del 2017 en la seguridad
14/January/2018, 01:54 AM

Desde 2017 será recordado como el año de Wannacry en España y otros países del mundo, pero también por filtraciones como la de Equifax o el exploit en Apache Struts que la provocó


Whisply: Solución de cifrado de extremo a extremo
14/January/2018, 01:39 AM

Herramienta que no requiere de software adicional y que añadimos a las referencias del dominio 13 de ISO 27002.


Nueva versión O-ISM3 v2.0: The Open Group Information Security Management Maturity Model) standard
14/January/2018, 01:30 AM

Desde el pasado mes de octubre está publicada y lista para su libre descarga con actualizaciones y mejoras que lo hacen aún más útil. Los tipos de métricas, la orientación sobre cómo usarlos, los niveles de madurez y las prácticas de gestión ahora están mejor documentados y son más fáciles de usar.


Marco de la ciberseguridad
14/January/2018, 01:20 AM

Matriz con el mapeo de los estándares internacionales más reconocidos en seguridad (Cobit, ISA 62443, ISO/IEC 27001:2013, NIST SP 800) respecto un marco para la identificación, protección, detección y respuesta relacionado con las infraestructuras críticas.


Entrevista José Manuel Ruiz García, Cybersecurity Technical Manager, Schneider Electric
14/January/2018, 01:10 AM

La entrevista expone los riesgos de la seguridad en la redes eléctricas y la ayuda que supone el uso de la serie de estándares ISO 27000 (como ISO 27002 o ISO 27019), Common Criteria, serie IEC 62443, entre otros.


Día de la Continuidad de Negocio del Banco Nacional de Costa Rica
14/January/2018, 01:01 AM

El pasado mes de Diciembre se llevó a cabo el primer Día de la Continuidad del Negocio en la instalaciones del Banco Nacional de Costa Rica con el objetivo de crear conciencia con partes interesadas del banco, así como otros miembros del sector financiero, sector privado y otras empresas.


Como orientar tu negocio IT a prueba de desastres
10/December/2017, 07:39 PM

Un desastre puede golpear la infraestructura TI de su empresa en cualquier momento. Las pequeñas empresas necesitan un plan de recuperación de desastres para evitar catástrofes y tiempos de inactividad.


DRI Agenda 2018: Certificaciones en gestión de continuidad y riesgos
10/December/2017, 07:39 PM

Publicadas las nuevas fechas de los cursos oficiales de preparación y exámenes del DRI en gestión de la continuidad de negocio y gestión de riesgos. DRI es una organización profesional sin ánimo de lucro con más de 13.000 profesionales certificados en más de 95 países. El número de profesionales certificados por el DRI supera el total de profesionales del resto de organizaciones para este sector.


Predicciones WatchGuard 2018
10/December/2017, 07:12 PM

Presentada cada una mediante videos individuales y desde un punto de vista algo distinto a otras predicciones.


46 métricas para mejorar la ciberresiliencia en un servicio esencial
06/December/2017, 01:51 PM

Este proyecto, que se desarrolla en el marco del Esquema Nacional de Seguridad Industrial (ENSI), dispone de 46 métricas agrupadas jerárquicamente por distintos entornos tecnológicos a proteger, diferenciando entre entornos de Tecnologías de la Información (TI) y entornos de Tecnologías de la Operación (TO), también conocido bajo otros nombres como tecnología industrial, SCADA o ICS.


Publicada estrategia nacional de seguridad 2017
06/December/2017, 01:31 PM

La Estrategia actual, que cuenta con el informe favorable del Consejo de Seguridad Nacional de 1 de diciembre de 2017, profundiza en los conceptos y las líneas de acción definidas en 2013, y avanza en la adaptación de dicha Política y de los instrumentos y recursos del Estado que la conforman ante un entorno de seguridad en cambio constante.


Anteproyectro de Ley sobre la seguridad de las Redes y Sistemas de Información
06/December/2017, 01:27 PM

Esta ley transpone al Ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.


V Estudio del Estado del Arte de la Seguridad en la Nube
06/December/2017, 01:18 PM

El Estudio ha sido desarrollado por ISMS Forum y el capítulo español de Cloud Security Alliance, en colaboración con Cloud Security Alliance Perú, Argentina, Chile, Bolivia, Brasil y Colombia, e ISACA Madrid.


¿Qué herramientas usa para administrar cuentas con privilegios?
24/November/2017, 05:04 PM

En los detalles del estudio se observa un 18 por ciento que todavía usa un registro en papel para administrar cuentas privilegiadas y un sorprendente 36 por ciento está usando hojas de cálculo igualmente inadecuadas.


Ciberseguridad y Compliance
24/November/2017, 04:59 PM

La ciberseguridad y el cumplimiento normativo son dos materias clave para intentar evitar los efectos adversos de la innovación tecnológica y para asegurar la protección de los datos de carácter personal.


Baseline Security: Recomendaciones para IoT
13/November/2017, 08:17 PM

Tiene como objetivo establecer el estado de la seguridad IoT en Europa. Sirve como punto de referencia en este campo y como base para futuras iniciativas y desarrollos relevantes.


Cyber Security Awareness Month
13/November/2017, 08:17 PM

Dentro de las actividades desarrolladas el pasado mes de Octubre destacamos esta curiosa recopilación de vídeos e imágenes que pueden servir de apoyo a presentaciones, formación y/o programas de concienciación.


Next-Generation Anti-Malware Testing Dummies
13/November/2017, 08:05 PM

Explica por qué es necesario probar diferentes soluciones antimalware y proporciona los detalles sobre cómo puedes hacerlo de manera efectiva y segura las soluciones antimalware en su propio entorno además de indicaciones preventivas.


2017: Coste del cibercrimen
13/November/2017, 07:39 PM

Estudio realizado por Accenture y Ponemon Institute apunta a un incremento del 22,7% en un sólo año y presenta detalles por países, tamaños de empresa, costes por tipo de ataque, incremento en los tipos de ataque, entre otras variables de interés.


Prácticas seguras en la apertura de documentos Office
13/November/2017, 07:34 PM

Se indica mediante un video explicativo el uso de un exploit DDE y medidas para desactivar su posible ejecución en las aplicaciones MS Office.


Actualización ISO/IEC 27019:2017
13/November/2017, 07:14 PM

Proporciona una guía basada en ISO/IEC 27002: 2013 aplicada a los sistemas de control de procesos (p.ej. PLCs) utilizados por la industria de la energía para controlar y monitorear la producción o generación, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor y para el control de los procesos de soporte asociados. También incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/IEC 27001:2013 a la orientación específica del sector de servicios de energía.


Estudio de revisón del Riesgo y su gestión
13/November/2017, 07:07 PM

Sexto estudio anual de PwC en base a entrevistas de miembros de consejos de administración, nivel "C" de decisión y de alta dirección de todas las regiones del mundo.


Lynis ? Open Source Security Auditing & Pentesting Tool
13/November/2017, 06:39 PM

Lynis es una de las herramientas de auditoría automatizadas más fiables para la administración de parches de software, escaneo de malware y detección de vulnerabilidades en sistemas basados en Unix/Linux. Da soporte a los auditores de cumplimiento de esquemas como Basilea II, GLBA, HIPAA, PCI DSS y SOX (Sarbanes-Oxley), entre otros.


"Guia de la ciberseguridad" para no expertos
13/November/2017, 06:35 PM

El objetivo de la publicación de ISMS Forum Spain y AGERS es disponer de una guía/diccionario básico que permita conocer a personas no expertas a que riesgos nos enfrentamos y qué medidas contamos para prevenirlos.


En 2022 el consumo de información falsa superará la de información cierta (verificada)
13/November/2017, 05:45 PM

Es una de las 10 predicciones para los próximos años publicadas por Gardner com aspectos que suponen nuevas amenazas pero también posibles necesidades y oportunidades de negocio analizados en detalle, varios de ellos relacionados con la seguridad de la información.


Nueva publicación ISO/IEC 27034-5:2017
13/November/2017, 05:41 PM

La norma describe y explica el conjunto mínimo de atributos esenciales del control de seguridad en las aplicaciones y detalla las actividades y roles del Modelo de Referencia de la Seguridad en el Ciclo de Vida de la Aplicación (ASLCRM).


DRI: Taller BIA online
13/November/2017, 05:36 PM

Organizado por DRI International y con media jornada de duración se celebrará el próximo 12 de Diciembre. Este taller está basado en la nueva versión 2017 de las Prácticas Profesionales del DRI Internacional.


Informe anual ISO de certificaciones
28/October/2017, 10:59 PM

Sólo superadas por el esquema ISO 50001, el incremento del 21% de certificaciones en ISO/IEC 27001 un 63% de certificaciones en ISO 20000-1 y el 23$ de ISO 22301 son las que más subida registrran en el último año.


ISO/IEC 27007:2017 versión 2
17/October/2017, 09:39 PM

ISO/IEC 27007 proporciona una orientación sobre la gestión de un programa de auditoría del sistema de gestión de seguridad de la información (SGSI), en la realización de auditorías y la competencia de los auditores del SGSI, adicionalmente a la orientación fundamnental contenida en ISO 19011:2011.


ISO(IEC 20000-1 disponible revisión pública
17/October/2017, 09:39 PM

El Borrador de Norma Internacional (DIS, por sus siglas en inglés) de ISO/IEC 20000-1 ha sido publicado siguiendo el formato de Anexo SL de estándares como ISO 22301, ISO/IEC 27001, ISO/IEC 9001 o ISO(IEC 14001. Es en este estadio,se puede revisar el borrador y hacer comentarios por parte de empresas, partes interesadas y particulares.


Mapeo de ISO 27001 y GDPR
16/October/2017, 04:53 PM

El plazo para la aplicación de la nueva ley de protección de datos entra en su tramo final y las empresas que ya tienen implantado un SGSI tienen buena parte del trabajo hecho. Esta comparativa permite revisar los aspectos relevantes para evitar que no se apliquen requisitos necesarios de manera inadvertida.


DRI en Español: análisis de últimas afectaciones climáticas
16/October/2017, 04:44 PM

Primero Harvey, seguido de Irma y María, y ahora conocimos a Nate? el planeta nos está hablando y debemos escuchar.


OWASP Top10 Web security risk
16/October/2017, 10:56 AM

Workshop online de Hack2Secure sobre los 10 principales riesgos en seguridad Web de OWASP (2013 y propuesta RC1: 2017) que enfrentan las organizaciones. Estas sesiones gratuitas sirven de guía en la toma de conciencia de las consecuencias pero también cómo aplicar análisis de riesgos y técnicas de protección relacionadas.


Informe debilidades Web 2017
16/October/2017, 10:04 AM

Informe anual de la firma Acunetix en base a una muestra aleatoria de 11600 sites escaneados sobre brechas de seguridad de alta y media gravedad en aplicaciones web, así como en datos de seguridad en la red interna. Los resultados nuevamente confirmaron este año que las aplicaciones Web suponen un gran vector de ataque, viable y de bajo nivel de entrada para los atacantes.


Código de prácticas en Ciberseguridad para barcos
07/October/2017, 03:02 PM

Este Código publicado por Institution of Engineering and Technology (UK) proporciona un marco de gestión que puede utilizarse para reducir el riesgo de incidentes que puedan afectar la seguridad del buque, a su tripulación, pasajeros o carga.


Guía sencilla para construir un marco de administración del riesgo operacional
07/October/2017, 02:57 PM

El riesgo operacional resume los riesgos a los que una empresa se expone cuando intenta operar dentro de un campo o industria determinados. El riesgo operacional es el riesgo no inherente al riesgo financiero, sistemático o de mercado. Es el riesgo que queda después de determinar el riesgo financiero y sistemático, e incluye los riesgos derivados de los desgloses en los procedimientos internos, las personas y los sistemas.


¿Qué hacer cuando te roban el móvil?
07/October/2017, 02:48 PM

Uno de los mayores problemas que solemos tener con nuestro smartphone es el robo o pérdida del mismo, y esto nos supone, por un lado el coste de reposición del dispositivo y por otro, la pérdida de la información almacenada en el dispositivo y fuga de datos, personas desconocidas podrán acceder a dicha información si no teníamos implementadas unas medidas de seguridad preventivas en el teléfono.


Hackers rusos roban herramientas a la NSA
07/October/2017, 02:23 PM

El incidente reportado por The Wall Street Journal apunta al uso del software de Kaspersky como modo de acceder a herramientas avanzadas de espionaje e inflitración en redes telmáticas almacenadas en el ordenador personal de un empleado subcontratado por la NSA.


Recursos para el Reglamento General de Protección de Datos
13/September/2017, 06:35 PM

Enlace que agrupa las diferentes iniciativas que la Agencia Española de Protección de Datos ha puesto en marcha sobre el RGPD, de forma que ciudadanos y organizaciones puedan localizar con mayor facilidad materiales de utilidad en relación a la nueva normativa.


Actualización de la Guía de Verificación del cumplimiento del Esquema Nacional de Seguridad
07/September/2017, 03:36 PM

El objetivo principal de esta Guía complemento de ?CCN-STIC-802 Esquema Nacional de Seguridad ? Guía de auditoría?, es servir tanto de itinerario, como de registro, a aquella persona designada como auditor de los requisitos del ENS.


Código de buenas prácticas en protección de datos para proyectos de Big Data
07/September/2017, 03:25 PM

La AEPD e ISMS Forum Spain publican este documento como punto de partida de referencia práctica para asesorar a aquellas entidades que estén desarrollando o tengan previsto implementar proyectos de este tipo y en consideración al nuevo Reglamento Europeo de Protección de Datos aplicable el 25 de mayo de 2018.


Reglamento General de Protección de Datos (GDPR) y COBIT® 5
07/September/2017, 03:20 PM

En el presente documento se examina el papel de COBIT® 5 en el establecimiento de un marco para la gobernanza, las conexiones entre COBIT 5 y el cumplimiento los requerimientos de GDPR, y consejos claves y sugerencias para los esfuerzos de implementación para GDPR usando COBIT 5.


El rol del Auditor Interno como asesor de confianza
07/September/2017, 03:05 PM

La Fábrica de Pensamiento del IAI España aporta un interesante documento sobre el papel del Asesor y la figura del Auditor Interno como aporte de valor dentro de la organización, promoviendo la mejora continua de los Sistemas de control y gestión de riesgos.


El DPO, entre la privacidad y la seguridad
07/September/2017, 02:57 PM

Artículo de Sonia Morales en redseguridad.com sobre el nuevo Reglamento Europeo de Protección de Datos (GDPR, General Data Protection Regulation), que entrará en vigor el 25 de mayo 2018 y el requisito de nombramiento de un DPO para la mayoría de las organizaciones.


European Compliance & News
07/September/2017, 02:49 PM

Revista para los profesionales del Compliance editada por la Asociación Europea de Abogados y Economistas en Compliance


Riesgos de las extensiones en los navegadores
07/September/2017, 02:36 PM

Ciertas funcionalidades añadidas a la propia navegación pueden convertirse en útiles herramientas que aporten funcionalidades extra pero algunas de ellas también podrían incorporar funcionalidades maliciosas sin que lo sepamos.


NISTIR 8176 DRAFT Security Assurance Challenges for Container Deployment
07/September/2017, 02:27 PM

Los contenedores de aplicaciones están encontrando lentamente adopción en las infraestructuras TI de las empresas. Este borrador considera aspectos de seguridad relacionados con estas plataformas y específicamente al documento "NIST Special Publication 800-190 (2nd Draft), Application Container Security Guide",


Primer Webinar DRI en Español
07/September/2017, 02:10 PM

El 10 de Octubre de 2017 en el horario 14:00 - 15:00 CDT, Mariana Quirós (Directora de Continuidad de Negocio en Copa Airlines) nos guiará a través de la innovación, el soporte de la Alta Administración, la gestión del cambio, entre otros, como aspectos fundamentales en la implementación exitosa de Programas de Continuidad de Negocio, alineado a las Prácticas Profesionales del DRI Internacional.


Deadline PCI DSS 3.2
07/September/2017, 11:16 AM

PCI Data Security Standard versión 3.2 se publicó en Abirl de 2016 y el 1 de Febrero de 2018 pasa de mejores prácticas a plena vigencia.


ISO/IEC TR 27015:2012 retirada
31/July/2017, 03:26 AM

La interpretadción de los controles de seguridad para entornos financieros no será actualizada en relación a las novedades de la norma ISO/IEC 27002:2013 aunque seguirá disponible para su adquisición por parte de los interesados.


INCIBE: curso sobre ciberseguridad para micropymes y autónomos
31/July/2017, 03:26 AM

El único requisito para participar en este curso es poseer conocimientos básicos de uso de las tecnologías en el día a día en una empresa. Además, cada alumno podrá elegir cuándo, dónde y cómo realizar el curso.


Dos nuevas herramientas gratuitas para afectados por Ransomware
31/July/2017, 03:22 AM

Las víctima del Ransomware disponen de dos herramientas más aportadas por empresas de segurudad para la recuperación gratuita de los datos.


DRI: nueva presidenta Chloe Demrovsky
31/July/2017, 03:12 AM

Chloe Demrovsky se ha incorporado al cargo de Presidente y CEO del DRI Internacional, a partir del 1 de julio de 2017.


El CEO de Securitas, declarado en bancarrota después de que le hayan hackeado su identidad online
31/July/2017, 03:09 AM

Según informa Bloomberg, el hacker aprovechó la identidad digital de Goransson para solicitar un préstamo de una cantidad que no ha sido revelada, tras la cual se presentó una solicitud de bancarrota a su nombre.


Planificar y desplegar de forma segura una VPN
31/July/2017, 03:06 AM

Publicada la Guía CCN-STIC 836. Guía de seguridad en VPN del Esquema Nacional de Seguridad.


¿Cómo se realiza una campaña OSINT de ingeniería social?
31/July/2017, 03:05 AM

Nuevo capítulo de la serie #MundoHacker, con varias de las estrategias habituales para obtener información crítica de la víctima, ganar su confianza, y luego tomar el control de los sistemas informáticos donde están almacenados los datos que de verdad nos interesan.


AEPD y ENAC: Esquema de certificación de Delegados de Protección de Datos
31/July/2017, 02:53 AM

La AEPD se convierte así en la primera Autoridad europea que realiza un Esquema de certificación de Delegados de Protección de Datos (DPD) aunque la certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema,.


Fuentes para gestionar nuevas vulnerabilidades
27/July/2017, 01:11 PM

Repositorios de información y bases de datos de vulnerabilidades principalmente de EEUU.pero de alcance de uso más amplio.


TOP 10 Deep Web Search Engines
27/July/2017, 12:53 PM

Buscadores que proporcionan información de la Deep Web que no se puede obtener en Google y Bing y con diferentes grados y aspectos de privacidad.


Responsabilidad penal de la empresa por delitos de los empleados.
27/July/2017, 12:45 PM

La empresa responde por el ciberdelito de sus empleados si no ha adoptado las medidas de prevención necesarias.


Ciberamenazas: riesgos económicos y jurídicos para las empresas
27/July/2017, 12:43 PM

Sólo el 17 por ciento de las grandes empresas en España tienen articulados procedimientos técnicos sobre brechas de seguridad y el 25 por ciento de las empresas españolas continúan utilizando Windows XP, según datos del Centro de Ciberseguridad Industrial.


Cómo reconocer web falsas, fraudulentas o estafadoras
27/July/2017, 12:29 PM

En un momento en que los sitios web falsos engañan a las Autoridades de Certificación confirmando Certificados SSL, merece la pena revisar los signos para identificar sitios falsos y permanecer lejos del robo de información valiosa.


3 tipos de empleados que pueden causar una brecha
31/May/2017, 12:38 AM

Es fácil imaginar que la amenaza más grande para una empresa es externa. Un reciente reporte de Haystax Technology descubrió que el 74% de las organizaciones se siente ?vulnerable a amenazas internas? y que el 56% de los profesionales de seguridad está seguro de que estas ?se han vuelto más frecuentes? en el último año.


Protección de datos para proyectos de Big Data
31/May/2017, 12:38 AM

La Agencia Española de Protección de Datos (AEPD) e ISMS Forum Spain han editado conjuntamente este código de buenas prácticas en colaboración con empresas y profesionales independientes,y con referencia al nuevo Reglamento Europeo de Protección de Datos aplicable el 25 de mayo de 2018.


Indicadores de Riesgos para la Seguridad de la Información
31/May/2017, 12:12 AM

¿Cuáles son los adecuados Key Risk Indicators (KRIs) y los Key Performance Indicators (KPIs) que deberíamos medir, monitorear, reportar y usar como desencadenantes de acciones?


Lecciones aprendidas: cifrado de datos y uso de claves
31/May/2017, 12:01 AM

Revisón de siete casos en los que, a pesar de aplicar controles de seguridad para el cifrado de información, los errores humanos son un factor significativo en los incidentes de seguridad.


Vulnerabilidad en memorias SSD: corrupción de datos
30/May/2017, 11:51 PM

De acuerdo a un estudio realizado por expertos en seguridad [PDF], estos discos duros son al menos vulnerables a dos ataques.


Email: 13 formas de proteger el correo electrónico
23/May/2017, 11:53 PM

13 aspectos prácticos que garantizan que la configuración del correo es segura ante los ataques más frecuentes.


Riesgos: El idioma de la gerencia
23/May/2017, 11:32 PM

Según una encuesta realizada por Osterman Research, los riesgos cibernéticos son una prioridad similar a los financieros, regulatorios y legales. Más de la mitad de los miembros de la junta directiva declara que los puestos ejecutivos de TI y de la seguridad perderán sus puestos de trabajo por no proporcionar información útil y relevante.


Data Privacy Around The World
23/May/2017, 11:20 PM

Una visión de la privacidad de datos en diferentes partes del mundo y la forma en que la transformación digital está permitiendo una nueva legislación.


INCIBE: Itinerarios educativos en ciberseguridad
23/May/2017, 11:16 PM

Selecciona el sector al que pertenece tu empresa para acceder a los aspectos personalizados en cibersguridad.


ISO/IEC 27003:2017 Publicación de 12 de Abril
15/May/2017, 01:15 PM

Revisión menor y actualización de la guía de implantación de un SGSI alineada con la norma ISO/IEC 27001:2013.


Continuidad del negocio: Clave para cuando pasa lo inevitable
15/May/2017, 01:05 PM

Ransomware, fallos eléctricos, .... el informe anual realizado por ISO muestra el incremento del 78% en el número de certificaciones en continuidad de negocio (ISO 22301) y del 20% en ISO 27001 ocupando el primer y el tercer puesto de mayor crecimiento en un único año.


DRI International alcanza los 15000 profesionales certificados
25/April/2017, 09:51 PM

El rápido aumento refleja la creciente demanda de formación y certificación en profesionales de la continuidad de negocio a nivel mundial.


DRI International alcanza los 15000 profesionales certificados
25/April/2017, 09:51 PM

El rápido aumento refleja la creciente demanda de formación y certificación en profesionales de la continuidad de negocio a nivel mundial.


Horizon Scan Repor 2017
25/April/2017, 09:25 PM

Por primera vez en los seis años de historia del informe, la amenaza de incertidumbre en torno a la introducción de nuevas leyes y regulaciones ha entrado en la lista de las diez principales preocupaciones de continuidad de negocio en el Horizon Scan Report.


¿Qué previene los incidentes en seguridad: procesos, tecnología o personas?
25/April/2017, 09:21 PM

Una respuesta es políticamente correcta y otra es la correcta.


OWSAP TOP 10 ? 2017 publicado
25/April/2017, 09:18 PM

OWASP Top 10 se centra en reconocer los peligros más reales para un amplio grupo de ataques.


Juego de rol. ¿Estás preparado para ser atacado?
25/April/2017, 09:06 PM

Con estos retos de libre acceso del INCIBE, se entrenan las capacidades para afrontar los ataques o incidentes de seguridad y ejercitar la toma de decisiones y las medidas adecuadas.


ISMS Forum: XIX confererencia internacional
24/April/2017, 01:34 AM

La Jornada Internacional de Seguridad de la Información se celebrará el próximo 11 de mayo en el Círculo de Bellas Artes de Madrid, en C/Alcalá 42.


Amenaza LovxCrypt Ransomware: análisis de ejecución paso a paso
24/April/2017, 01:25 AM

Este post demuestra como utilizando una combinación básica de lenguajes de scripting y herramientas de cifrado, un ransomware como el LovxCrypt puede ser fácilmente escrito y se espera que más de este tipo salga próximamente.


10 mitos en ciberseguridad que deben ser desterrados
24/April/2017, 01:17 AM

Este post cubre algunos conceptos erróneos acerca de la ciberseguridad. Hay muchos mitos más pero una comprensión precisa de estos 10 es esencial para adoptar una postura adecuada como individuo, negocio, o gobierno.


Winterman: Informe anual de fraude corporarivo 2016.
03/April/2017, 09:04 PM

La tipología de fraude interno que más ha aumentado (casi un 60% con respecto al año anterior) es el relacionado con la fuga de información de carácter confidencial.


CIP: Conocimiento en la gestión de riesgos y crisis
28/March/2017, 09:04 PM

Presentación con registro gratuito del CIP Institute y sus actividades durante una sesión de trabajo, presentando la 4ª Conferencia Internacional de Lisboa el 16 de junio de 2017 bajo el título: Managing Crisis Today: Insights on dealing with complexity.


USB: Realmente se conectan dispositivos "perdidos"
28/March/2017, 08:57 PM

Prueba de concepto de Google donde se dejaron 297 dispositivos, el 98% cambio de ubicación, del 45% se abrieron ficheros y la primera conexión se registró en menos de 6 minutos.


Se disparan los ataques en infraestrucutras críticas
28/March/2017, 08:42 PM

Aumento del 357% en ataques el año pasado sólo hace falta darse una vuelta con Shodan para obtener un listado de sistemas vulnerables, incluída su ubicación GPS.


DRI2017: Presentaciones del evento anual recientemente celebrado
19/March/2017, 12:27 AM

Con tu cuenta MyDRI puedes acceder a todas las presentaciones de la conferencia 2017 desde el apartado Resources


Pruebas de caja negra: Ejemplos
19/March/2017, 12:13 AM

Las pruebas de caja negra, es una técnica de pruebas de software en la cual la funcionalidad se verifica sin tomar en cuenta la estructura interna de código, detalles de implementación o escenarios de ejecución internos en el software.


¿Cómo se audita un Algoritmo?
19/March/2017, 12:09 AM

Hoy apenas somos conscientes de hasta qué punto, algoritmos (procedimientos de decisión automatizada) deciden de manera automatizada cada vez más aspectos relevantes..


Responsabilidad penal de las empresas ante delitos informáticos
18/March/2017, 11:34 PM

Responsabilidad penal de las empresas ante delitos informáticos, cometidos por empleados o directivos.


Sistema de backup y recuperación de desastres deficientes
18/March/2017, 11:18 PM

Hoy en día, la correcta gestión y protección de la información de una organización es un asunto de máxima relevancia. La disponibilidad de los datos es hoy tan importante como disponer de un buen cashflow.


Informe de Riesgos Globales 2017
18/March/2017, 11:17 PM

Riesgos, tendencias y retos que elabora el propio Foro Económico Mundial.


Nuevo caso de un "Timo del CEO"
24/February/2017, 10:40 AM

Estafa de cinco millones de Euros a cuatro empresas de Sevilla suplantando la personalidad de directivos de empresas y ordenar a trabajadores del departamento de gestión económica de la compañía que hagan transferencias bancarias mediante el uso de ingeniería social o hackeando el correo electrónico del directivo.


DRI: Nuevas fechas 2017
20/February/2017, 02:16 AM

Disponibles las nuevas fechas de formación del DRI para 2017 en la web oficial para cursos en España.


Informe Anual de Seguridad Nacional
20/February/2017, 02:07 AM

En 2016 han aumentado los ataques contra los sistemas de información nacionales, siguiendo la tendencia alcista internacional.


Reglamento General de Protección de Datos (RGPD)
20/February/2017, 01:42 AM

Esta sección, que se actualizará progresivamente, agrupa las diferentes iniciativas que la Agencia Española de Protección de Datos ha puesto en marcha sobre el RGPD, de forma que ciudadanos y organizaciones puedan localizar con mayor facilidad materiales de utilidad en relación a la nueva normativa.


Trump despide al CISO de la Casa Blanca
20/February/2017, 01:33 AM

La constante interrupción del programa de ciberseguridad de la Casa Blanca por el nuevo presidente ha llevado a "la frustración y a la burla por igual" de los expertos en seguridad porque Trump queda más expuesto y vulnerable a los hackers, según su opinión.


ENISA: Dependencias de las redes de comunicación para sistemas ICS-SCADA
20/February/2017, 01:28 AM

Informe que aporta una visión de las interdependencias en las redes de comunicaciones en entornos industriales con recomendaciones de buenas prácticas y medidas de seguridad.


¿Sabes cuál es el nivel de riesgo de tu pyme?
10/January/2017, 10:05 PM

INCIBE pone a su disposición un kit de autodiagnóstico especialmente diseñado para ayudar a la empresa a evaluar su estado de ciberseguridad y, así, poder mejorar su nivel de protección frente a posibles riesgos y amenazas.


Semejanzas ISO 27001 y Reglamento Europeo de Protección de Datos
08/January/2017, 07:56 PM

El número 31 del newsletter de Qualiwork incluye varios artículos sobre la norma internacional y la seguridad de la información.


ISO/IEC 30105-1: Outsourcing de Procesos de Negocio
08/January/2017, 07:49 PM

La primera de las cinco partes publicadas, especifica los requisitos y métricas para un proceso de ciclo de vida realizados por un proveedor de servicios TI que cubre procesos de negocio en base a la tecnología y de modo externalizado.


Industria aeronaútica: El número secreto peor guardado del mundo
10/January/2017, 10:05 PM

"75.000 personas publicaron fotos de sus billetes de avión en Instagram en las últimas dos semanas", dice Nohl.. Con ttu PNR se tiene acceso a todos los datos personales que te ha pedido la aerolínea, incluyendo tu correo (goloso para phishing), tu número de pasaporte o DNI, tu dirección física, los lugares en los que vas a estar durante tu viaje, tu tarjeta de crédito (con su fecha de caducidad) y tu dirección IP, si compraste el vuelo online.


Top 50 de productos con más cantidad de vulnerabilidades en 2016
08/January/2017, 07:56 PM

Interesante referencia que permite distinguir el grado de exposición de los productos, su evolución a lo largo de los años asi como la importancia de mantener actualizado el software en producción.


INCIBE: Nuevo servicio Antiransomware
08/January/2017, 07:49 PM

Si estás afectado por ransomare no pagues el rescate y contacta con el centro de respuesta a incidentes, CERTSI para mitigar los efectos del incidente y saber cómo actuar mediante el servicio de análisis y descifrado de ficheros afectados por algunos tipos de ransomware en determinadas condiciones.