DRI pone a disposición su canal de video con material interesante sobre la asociación, actividades de congresos y webinarios técnicos para la continuidad de negocio y presentados por miembros experimentados.
El informe de ISACA explora la mentalidad y comportamientos de los consumidores y los profesionales de TI/negocio, centrándose específicamente en aspectos de concienciación, preocupaciones y reacciones a cuestiones relevantes relacionadas con los dispositivos conectados en el ámbito IoT de "Internet de las Cosas".
El estudio impulsado por ISMS Forum y ENATIC parte de un supuesto de hecho ficticio, pero representativo, de escenario de infraestructura empresarial que puede verse afectado en caso de un ciberataque. En particular, la naturaleza de los servicios esenciales que podrían verse afectados, las organizaciones encargadas de su prestación, la tecnología empleada hoy día, así como de la actuación de un ciberatacante sobre una infraestructura crítica.
Primera aplicación web vulnerable para test en AJAX y servicios de mobilidad y Web. Hackazon simula una tienda online con las tecnologías típicas utilizadas de interfaz AJAX, flujos de trabajo y RESTful APIs, entre otras...y llena de tus vulnerabilidades favoritas como inyección SQL, cross-site scripting, etc para poder desarrollar tus pruebas de seguridad.
Los investigadores han descubierto unl malware altamente avanzado que creen que fue desarrollado por un estado-nación con elevados recursos para espiar a una amplia gama de objetivos internacionales en diversas industrias, incluyendo la hotelera, energética, líneas aéreas e investigación.
"Mejor para sus pulmones, peor para los discos duros, los cigarrillos electrónicos pueden potencialmente infectar un ordenador cuando se enchufa para su recarga."
El escáner está construido enteramente en tecnologías de Google, como Google Chrome y Cloud Platform, con soporte para las últimas características de HTML5 y enfocada a una baja tasa de falsos positivos y facilidad de uso.
La tendencia a la externalización sigue creciendo (“
2014 Global Outsourcing and Insourcing Survey”) y la norma está destinada a ser utilizada por clientes, proveedores y profesionales de servicios de externalización independientemente del tamaño y sector industrial, proporciona una buena base para que las organizaciones introduzcan y mantengan acuerdos de subcontratación con éxito durante todo el período contractual.
Nuevo análisis que se suma a los diversas publicaciones sobre los cambios que nos trae la publicación ISO 27001:2013.
Con la mentalidad puesta en la calidad de la seguridad en el código como aspecto cada vez más importante, hemos visto una mayor tendencia hacia la adopción de herramientas diseñadas para detectar defectos tan pronto como sea posible en el ciclo de vida de desarrollo de software (SDLC).
Para ayudarle a definir la hoja de ruta de su empresa, INCIBE ha creado el decálogo hacia la ciberseguridad , un conjunto de 10 pasos orientados a mejorar el nivel de seguridad de su empresa y, por tanto, a proteger su negocio.
Detalles concretos de cómo los gobiernos rastrean los dispositivos celulares de los usuarios.
El evento se celebrará durante los días 5, 6, y 7 de Diciembre de 2014 en Madrid (España) con ponencias y talleres del alto interés por los ponentes y contenidos.
De libre acceso: Computación y Criptografía Cuántica (3 lecciones), Privacidad y Protección de Comunicaciones Digitales (8 lecciones), el Algoritmo RSA (11 lecciones), Sistemas de Pago Electrónico (3 lecciones)
Documento de orientación sobre las medidas de seguridad que los proveedores de redes públicas de comunicaciones deben tomar para garantizar la seguridad e integridad de estas redes.
Kaspersky Lab propone varios consejos para que los usuarios se sientan seguros y minimizar posibles riesgos sobre su privacidad.
BMTRADA ofrece en Santander (España) y para el próximo mes de Noviembre formación dirigida a todos aquellos interesados en desarrollar un proyecto de implantación o migración de un SGSI en base a la última versión de la norma.
Nueva lección de Crypt4you donde se describen las propiedades ideales de los sistemas de pago mediante moneda electrónica, se detalla el funcionamiento básico de este tipo de sistemas y se analiza su seguridad.
Esto incluye autoridad para que el DHS contrate expertos cualificados de manera inmediata pagándoles salarios competitivos y los incentivos que sean necesarios.
Desde el 1 de Octubre de 2014, todos los proveedores deben cumplir con los nuevos controles esenciales en Ciberseguridad en el Reino Unido si la licitación de los contratos del gobierno implican la manipulación de la información y la prestación de ciertos productos y servicios técnicos sensibles.
El problema es que muchos auditores ISO tienden a ampliar el alcance, en lugar de profundizar en el detalle. Pero es sólo cuando las auditorías van a aspectos profundos cuando el verdadero estado de un sistema se puede evaluar e identificar mejoras.
El documento explica cómo el crimen organizado está aprovechando foros underground, mercados negros, web profunda y el esquemas de cifrado en divisas para realizar actividades ilícitas. El lavado de dinero, robo de datos y la pornografía infantil son algunos ejemplos de las actividades ilegales contrastadas por Europol.
Jugar al Doom en tu impresora como demostración de inseguridades en dispositivos categorizados como "Internet de las cosas ' por ejecución de código por modificación del firmware en las impresoras Canon Pixma (utilizado en el hogar y las PYME). Lecutra de
Information Security Careers Network (ISCN) se inició en Noviembre 2008 como grupo en LinkedIn con el objetivo de proporcionar un área de recursos y creación de contactos entre profesionales de TI, de seguridad de la información, responsables de contratación y reclutadores, proporcionando consejos útiles para ayudar a las personas en el progreso de sus carreras en Seguridad de la Información.
Publicada la corrección técnica en la guía de implemtación para las subcláusulas 7.1.2, y 8.1.3 y en objetivo de control para la subcláusula 8.1.1
Publicada la corrección técnica en la página 12, sobre el objetivo del control de la subcláusula A.8.1.1
¿Cómo pueden los auditores de tercera parte medir la eficacia de la auditoría interna de un cliente? El Grupo de Prácticas de Auditoría da estos interesantes consejos para evitar fuentes habituales de no conformidades en auditorías de certificación en sistemas de gestión.
En esta ocasión Marc Rogers, jefe investigador de seguridad en Lookout Mobile Security, ha anunciado que ha sido capaz de desbloquear el iPhone 6, empleando la misma técnica (económica) que ya utilizara en 2013 para desbloquear el iPhone 5s.
Las microempresas con menos de 25 empleados tienen la misma tasa de adopción de dispositivos móviles que las grandes empresas pero carecen de los recursos de seguridad para proteger a los usuarios, según revela un estudio.
(CVE-2014-6271) descubierta por el investigador de Akamai, Stephane Chazelas, desde que se ha hecho pública la vulnerabilidad tan sólo hace unos días, ha aumentado el tráfico malicioso en busca de sistemas UNIX/LINUX o variantes como sistemas SCADA y embebidos no protegidos.
Herramienta de autoevaluación en cumplimiento con la continuidad de negocio en base a ISO 22301/22313 con una guía de enfoque a modelos de madurez.
Si bien puede parecer horrible de creer, un total del 20% de los encuestados en un reciente estudio del Reino Unido dijo que eran conscientes de la descarga de material relacionado con abuso sexual a menores por empleados en su puesto de trabajo.
BCLE 2000 es un curso certificado por DRI de 32 horas de instrucción (4 jornadas) que se completan con el examen oficial del DRI en un quinto día adicional (3,5 horas), éste último, requisito necesario para acceder formalmente a cualquiera de los grados oficiales de certificación y reconocimiento profesional del DRI. DRI es la mayor organización internacional en formación y certificación de profesionales en el mundo de la continuidad de negocio con más de 8.000 profesionales certificados en más de 95 países.
El informe considera aquellos incidentes que han provocado indisponibilidades en servicios críticos de los estado miembro de la UE junto al detalle de las causas e impactos en los activos afectados y conclusiones.
Además de considerar los nuevos contenidos en la norma ISO/IEC 27001 para la tablas de asignación, se emplean nuevos criterios de asignación en la realización del análisis del mapeo originalmente desarrollado en el
documento completo.
El Congreso ERM y BCM, es el evento más importante en México y Latinoamérica que ofrece una serie de conferencias y la exposición dedicada a las industrias de Gestión Integral de Riesgos y Continuidad de Negocio.
El Centro de Coordinación CERT de la Universidad Carnegie Mellon (CERT/CC) ha publicado una lista de las aplicaciones de Android populares que no implementan correctamente la validación de certificados SSL y los problemas están muy extendidos.
La versión 2005 de la norma entra en la última fase de posible certificación inicial por las empresas antes de que las entidades de certificación sólo acepten nuevas certificaciones iniciales en relación a la versión de la norma de 2013.
"Por sólo $ 200, y un poco de suerte, tuve la oportunidad de romper con éxito mi propia contraseña de iCloud y utilizar EPPB para descargar toda mi copia de seguridad de iCloud desde mi iPhone. La aplicación, que cuesta entre $ 79.99 y $ 400, también recupera las copias de seguridad de Windows Live (ahora OneDrive) y desbloquea el acceso a BlackBerry, BlackBerry 10 y copias de seguridad de iOS".
Nuevo juego virtual de una de las agencias de inteligencia del Reino Unido para encontrar futuros talentos en ciberdefensa tiene por objetivo la búsqueda de vulnerabilidades en una compañía aeroespacial amenazada.
Comunidad para clientes de ArcSight, Atalla, Fortify, TippingPoint y Pan ESP para encontrar compañeros, hacer preguntas, buscar soluciones, compartir ideas y colaborar a través de las mejores prácticas.
Un IDS siempre es una buena solución para mejorar la seguridad de una red, pero para que sea efectivo en un entorno tan particular como una red de un sistema SCADA, tiene que tener unas reglas especificas adaptadas a los protocolos que se usan en dichas redes.
Website diseñado para probar una operativa correcta de tu software anti-virus/anti-malware.
El malware móvil está en aument alcanzando 15 millones de dispositivos móviles infectados actualmente en las manos de consumidores y usuarios de negocios.
Principales barreras localizadas en la falta de conocimiento y herramientas para la gestión de las instalaciones y dejar que las cosas "como están" por el miedo asociado al descontrol.
El nuevo congreso Mission Critical Security Summit, en el marco del evento de centros de datos nº1 del mundo de DatacenterDynamics, tendrá lugar el próximo 2 de octubre en el Centro Banamex.
Gartner acaba de publicar un informe centrado en el mercado de seguridad de la información indicando un crecimiento del 7,9% respecto a 2013; el próximo año, además, el crecimiento será ligeramente mayor, un 8,2% hasta los 76.900 millones de dólares.
Es la adopción del móvil, el cloud y las redes sociales –muchas veces todo a la vez, lo que está generando esta nueva oleada de crecimiento en la que la prevención de pérdida de datos es el segmento que más crece, un 18,9%.
Retrasos y fuertes restricciones en Barajas el pasado sábado día 30 de Agosto por un fallo en el radar.
Los investigadores de seguridad han descubierto una nueva campaña de ataques de correo electrónico utilizando el interés público en el reciente brote del virus Ebola para infectar a los usuarios con un troyano bancario.
CEEDA (Certified Energy Efficiency in Data Centres Award) es un programa de evaluación de la eficiencia energética en los centros de datos de ámbito internacional, independiente y no relacionado con proveedores o fabricantes específicos y que no compromete la disponibiildad de los servicios por lograr ahorros energéticos.
Disponible en el MOCC Crypt4you, el curso consta de dos lecciones más sobre "Moneda Electrónica y Micropagos" (octubre 2014), "Introducción a BitCoin" (Noviembre 2014)
De acceso directo (previo registro gratuito) ya está disponible la nueva versión de las prácticas profesionales en Continuidad de Negocio en un único pdf o en capítulos separados. Disponible en otros idiomas como español, francés y portugués.
Portal y formación en español disponibles adicionalmente.
Alineada con ISO/IEC 27002, ISO/IEC 27018: 2014 establece los objetivos de control, controles y directrices comúnmente aceptados para medidas de protección de información de identificación personal (PII) de conformidad con los principios de privacidad en ISO/IEC 29100 para entornos de computación en nube pública.
Comprender el entorno cibernético, protegiendo los sistemas de control y automatización industrial, la identificación de las amenazas cibernéticas y posiblemente anticipar el desarrollo futuro es lo que está en juego en estos momentos. Reducir al mínimo la exposición a los riesgos cibernéticos es el desafío que la industria tiene que afrontar. Entre las herramientas a su disposición se encuentran la normalización y evaluación de la conformidad.
ISO/IEC 27036-2:2014 especifica los requisitos fundamentales en seguridad de la información para la definición, implementaciónm operación, monitorización, revisión, mantenimiento y mejora de las relaciones entre suministradores y compradores. Preview disponible.
Whitepaper publicado por UPS en colaboración con la Universidad de Tennessee.
500 millones de personas están bajo la «vigilancia» de una de las nueve empresas que dominan el comercio de información en la Red que ni usted ni nadie había oído hablar de ellas, aunque ellas saben todo de casi todos.
La aportación de los interesados permite realizar un seguimiento de las tendencias de la industria global de los Data Centers y proporciona una información esencial para toda esta comunidad. Cumplimentar la encuesta da derecho a la descarga de uno de los 3 informes disponibles y valorados en 600 USD además de la donación que DatacenterDynamics realiza por cada encuesta realizada a Ingenieros Sin Fronteras.
Este breve artículo revisa los puntos principales de esta investigación e ilustra por qué la implementación de una estrategia de defensa en profundidad es la clave para hacer frente con éxito a las ciberamenazas como Dragonfly.
El objetivo principal de la creación de una versión en español del Cloud Controls Matrix es impulsar la adopción de servicios de Cloud en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos.
Lanzada en 2010, la Alianza para la seguridad de la información y retirada de activos (ADISA - Asset Disposal and Information Security Alliance) es una organización diseñada para mejorar la seguridad de los datos en los procesos de negocio y retirada de equipos TI y Telecom y que pone a disposición estándares relacionados.
Dirigido por el Dr. Jorge Ramió y el Dr. Alfonso Muñoz, este nuevo formato de enseñanza online tiene como objetivo convertirse en el mecanismo más rápido, ameno y solvente para aprender y reforzar conceptos relativos a esta ciencia.
“Critical Infrastructure: Security Preparedness and Maturity” ha sido publicado el mes de Julio por el Ponemon Institute y esponsorizado por Unisys con el propósito de conocer cómo las organizaciones de servicios públicos, petróleo y gas, energías alternativas y de manufactura están abordando las amenazas de seguridad cibernéticas. Estas industrias se han convertido en un objetivo de alto perfil para ataques de seguridad y se confirma que un ataque a sus sistemas de control industrial (ICS) y sistemas (SCADA) de control de supervisión y adquisición de datos, producirían daños enormes.
Todo gestor de una PYME sabe que para garantizar la continuidad de su negocio, debe conocer los riesgos que lo amenazan. Debe prever mecanismos que eliminen o, al menos reduzcan, el impacto sobre las actividades de la compañía en caso de materializarse. En el caso de industrias manufactureras ello incluye, naturalmente, la protección de los medios de producción (líneas de fabricación, almacenes, etc.)
El white paper toma en consideración 640 entrevistas con responsables TI de alto poder de decisión y en organizaciones de más de 1000 empleados de 11 países de todo el mundo y de diversos sectores industriales. El estudio explora el nivel de preparación de las empresas ante los temidos ataques DDoS y el grado de evolución que han sufrido este tipo de ataques.
De utilidad para aquellos involucrados en cualquier sistema de gestión (ISO 22301, ISO 27001, ISO 9001., ISO 14001., ...) los asistentes son instruidos sobre la gobernanza, riesgo y cumplimiento (GRC), Modelos de Riesgos y Procesos, Métodos Cualitativos y Cuantitativos de Riesgo, Riesgo y Amenaza Identificación, Análisis de Vulnerabilidad, Manejo de Riesgo y Gestión, Prevención y Mitigación y Seguimiento e informes. Este curso de 4.5 días incluye 32 horas de instrucción y ejercicios prácticos y se unirá próximamente a los BCLE que ya se realizan en España:
http://dri-spain.org/calendario.html
"La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a lo reflejado en el ENS, conscientes de la importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad."
La industria de la energía está siendo amenazada, más de mil empresas en Europa y América del Norte están constantemente bajo ataque. Recopilación de información relevante de interés.
Uno de los grandes cambios tecnológico que ha supuesto Internet para las empresas, es la posibilidad de poder hacer transacciones y trámites de todo tipo totalmente online desde cualquier sitio y en cualquier momento.
En este libro de descarga gratuita, co-escrito por IBM Security y Sogeti, entran en detalles sobre el panorama de la ciberseguridad y discute temas de actualidad tales como BYOD y seguridad en el diseño, para ayudar a las organizaciones con lo que deberían estar haciendo para combatir los ataques cibernéticos.
Las mejores ideas de diez ciber-expertos para detener las amenazas a las que nos enfrentamos cuando se trata de la seguridad digital. Nota: Casi todos murmuraron algo acerca de que no hay balas de plata.
La mitad del software que utilizan las empresas españolas es pirata. Este incremento "aleja a España de Europa Occidental", algo que viene reduciendo su índice año tras año, según BSA, quien ha añadido que la brecha que hay entre España y la media de Europa Occidental es ya de 16 puntos.
Este es el último de la serie de encuestas en Brechas de Seguridad de la Información llevado a cabo desde principios de 1990. PwC realizó la encuesta, analizó los resultados y redactó el informe; Infosecurity Europa ayudó con la comercialización de la encuesta entre numerosas asociaciones profesionales que colaboran.
La Organización de los Estados Americanos (OEA) presentó recientemente, en el marco de la XLIV Asamblea General del organismo, el informe “Tendencias en la seguridad cibernética en América Latina y el Caribe”, elaborado en colaboración con la empresa Symantec, que ilustra y analiza los últimos acontecimientos en ciber seguridad y ciber crimen en la región.
La lista de Sistemas de Certificación de la Nube (CCSL) es una lista de los diferentes esquemas de certificación que podrían ser relevantes para potenciales clientes de cloud computing. La creación de esta lista se menciona explícitamente como una acción clave en la estrategia europea de Cloud. Esta lista ha sido desarrollada por ENISA en estrecha colaboración con la Comisión Europea y el sector privado.
Expertos en seguridad de Bitdefender descubrieron un nuevo esquema de phishing que está siendo utilizado por los hackers para robar las credenciales de la cuenta de Google.
Los pasados 2, 3 y 4 de Julio se desarrolló el primer curso internacional "Data Center Storage and Data Professional" en Madrid; Los próximos 14, 15 y16 se estrena en Bogotá (Colombia) el curso complementario de la carrera "Data Center Computing Professional". Entre otros, los asistenten conocerán los criterios fundamentales (pros y contras) de diversas estrategias y arquitecturas en entornos de Computing&Data en base a las tecnologías más destacadas y de uso destacado disponibles en el mercado.
Herramienta creada en Excel para asistir en la estimación de tiempos requeridos para implantar y certificar un SGSI en base a ISO/IEC 27001:2013. Acceso libre y uso de la herramienta en base a Creative Commons Attribution-Noncommercial-Share Alike 3.0 License.
Se eleva el nivel de riesgos interconectados: Interrupción del negocio y cadena de suministro, las catástrofes naturales e incendios/explosiones son los principales riesgos que siguen ocupando la atención de las empresas en el inicio de 2014, de acuerdo con el tercer Barómetro anual Riesgo Allianz, que inspecciona más de 400 expertos en seguros corporativos de más de 30 países.
Thoth, dios de la sabiduría y de la escritura en la mitología egipcia, es un proyecto de la Red Temática Criptored que publicará periódicamente píldoras formativas, con una duración aproximada de 3 minutos, sobre temas relacionados con la seguridad de la información.
Claro ejemplo de variantes en la explotación de las amenazas relacionadas con Windows XP y de uso ilegítimo de puertos USB para el control de sistemas de información.
En este artículo indica el uso de un potente extractor de copia de seguridad desde iTunes y ayuda a los usuarios en la recuperación de datos iPhone/iPad para extraer y recuperar datos de iOS de iPhone/iPad partiendo de una copia de seguridad de iTunes o sin iTunes.
El equipo MITRE ha desarrollado "Copernicus" y la guía adjunta con los pasos básicos para comprobar si la BIOS de tus sistemas son vulnerables a un ataque malware.
Tras el éxito del Primer Congreso Iberoamericano de Ciberseguridad Industrial celebrado en Madrid, el CCI celebra la segunda edición que tendrá lugar en Bogotá (Colombia) los días 27 y 28 de mayo de 2014 con experiencias desarrolladas en todo el mundo, desde Estados Unidos, pasando por Europa, Latinoamérica, Oriente Medio o Japón, entre otros; y la representación de todos los actores.
Globalmente, más de la mitad (el 58 por ciento) de los decisores de TI afirmaron que sus consejos directivos subestiman la importancia de la ciberseguridad. Esta cifra se incrementa hasta el 74 por ciento en Estados Unidos pero cae al 50 por ciento en Europa.
Últimos días para el registro en el evento en el que se tratarán temas relacionados con ciberamenazas, tablas redondas con escenarios en distintas industrias y tecnologías, lecciones aprendidas de casos reales y por los protagonistas de gestión de escenarios en continuidad del negocio, entre otros.
Primera producción de LA FÁBRICA DE PENSAMIENTO del IAI que aborda el mundo de la tecnología en Auditoría Interna, el documento pretende ser de utilidad tanto al Director de Auditoría Interna (DAI) como a las más altas instancias de la Dirección de una organización, en la implantación de la función de Auditoría Interna de TI, como un elemento más de Auditoría Interna.
La directora general de Tecnologías de la Información, Sofia Bellés ha realizado estas declaraciones durante la jornada Sociedades seguras, oportunidades de financiación en H2020, celebrada en Valencia, en la que también ha participado Juan Viesca, director general de Proyectos y Fondos Europeos, con una ponencia sobre Perspectivas de financiación para la Comunitat Valenciana en el periodo 2014-2020.
Segunda edición del libro publicado por Edward Humphreys (Chartered Fellow of the BCS - FBCS CITP, CISM) y que proporciona una guía de implantación y preparación de auditorías de certificación de SGSI. Esta revisada atendiendo a las nuevas ediciones de ISO/IEC 27001, ISO/IEC 27006 y ISO 27007.
Coordinado por SANS Institute, las actividades indicadas no son otra lista más de "cosas buenas" que hacer, sino un conjunto priorizado por importancia y de bajo esfuerzo de acciones prescritas por agencias y comunidades internacionales en seguridad para que sean implementables, usables, escalables y compatibles con todas las industrias y en atención a requisitos legales de seguridad.
Tras la serie de recientes revelaciones con respecto a un fallo en la implementación de OpenSSL, ENISA advierte de la amenaza potencial de que la contraseña esté comprometida y del robo de la cookie de sesión cuando se conecta a un sistema/sitio web que utiliza las instalaciones de OpenSSL.
Esta es la última versión de la herramienta para el Desarrollo de un Modelo de Amenazas en base a un Ciclo de Vida en Seguridad previamente publicada en 2011 y de acceso gratuito. Desde el comienzo de esta iniciativa en 2004 de han alcanzado ya más de 1 millón de descargas.
DatacenterDynamicsFOCUS es la única publicación para el mercado de los centros de datos con alcance global del mercado. Las Ediciones Digitales de la revista FOCUS, que también se distribuye de forma impresa, son una fuente de información sin parangón para los profesionales de los data center.
Trend Micro ha revelado que las vulnerabilidades en los Sistemas de Identificación Automática (AIS), instalados actualmente en unos 400.000 buques, pueden permitir a ciberdelincuentes, piratas y terroristas secuestrar comunicaciones, crear barcos ficticios o difundir alertas falsas de colisión, entre otras cosas.
DRI2014 ofrecerá dos discursos en el programa en español. DRI2014 es el congreso y exposición anual de DRI International para la continuidad de negocio. Este año DRI 2014 es en Atlanta, GA, EEUU el 18 - 21 de mayo.
NTT Innovation Institute ha publicado su nuevo Global Threat Intelligence Report (GTIR), documento orientado a elevar la concienciación en la rápida evolución del panorama global de las amenazas
Informe periódico de Google con el número de solicitudes sobre datos de usuarios procedente (como en el caso de otras compañías TIC) de gobiernos e instituciones legales y que continúa en ascenso a pesar de las reclamaciones de los usuarios de Internet sobre mayor privacidad.
Los desafíos que impone un mercado cada vez más exigente, dinámico y competitivo, y en el que los procesos de negocio son altamente dependientes de la tecnología y de la operatividad de terceros, están haciendo que los empresarios se cuestionen si los seguros son verdaderamente suficientes para garantizar la sostenibilidad de sus empresas.
La eficiencia energética y la disponibilidad siguen siendo fundamentales en un sector que necesita ahorrar en consumo sin que las operaciones se vean afectadas.
Ambientada en un futuro donde la privacidad se considera un derecho sagrado y cada uno tiene una identidad secreta, The Private Eye es una historia de detectives de ciencia ficción serializada para lectores maduros. Sólo accesible por descarga y con política de donación libre.
Del 70 al 80 por ciento de los diez programas maliciosos principales detectadas por los laboratorios de F-Secure se podría haber evitado con software actualizado.
Se utilizó una lista de 39 categorías de trabajo en el cuestionario y encuestas para localizar brechas y mejoras en diversos aspectos profesionales de los individuos en las diversas áreas
El informe "Los riesgos de las apps en el entorno corporativo” (pdf), realizado por expertos del área de I+D+i Seguridad de Barcelona Digital, alerta que la utilización de una aplicación en nuestro dispositivo móvil puede constituir un elemento de riesgo capaz de comprometer la seguridad de la información que genera y almacena.
DRI ya puesto a disposición la descarga de las buenas prácticas en español así como de su glosario en continuidad de negocio y para todos los miembros registrados en la web de su organización (registro gratuito y sin necesidad de certificación profesional). En próximas fechas se iniciará la traducción al español del glosario y en diferentes versiones por país para Latimoamérica donde iso27000.es aportará la versión correspondiente a España.
Entre los finalistas en la gala está convocada la empresa española Audisec en la categoría de proveedores de servicios por su solución software. DRI es la asociación de profesional para la Continuidad del Negocio con más profesionales certificados en la industria y presente en todo el mundo.
Especifica las características de las técnicas para llevar a cabo la redacción digital en documentos digitales. También especifica los requisitos para las herramientas software y métodos de prueba para una redacción digital completamente segura. No incluye la información gestionada en bases de datos.
A inicios de 2014 se registraban 26 millones de desempleados en la Unión Europea (10,8%) con un desempleo juvenil del 23,4% en toda la UE (más del 50% en España). Sin embargo, se localizan 913 000 necesidades de empleo en el sector TIC para 2020. Inforgrafía con análisis de estado, perfiles requeridos, por qué de este desequilibrio y puntos de contacto.
Enlaces útiles adicionales en nuestra web.
Trabajo del grupo de alumnos del Máster de Seguridad de la UEM dirigidos por Alejandro Ramos (@aramosf) sobre el problema del cambio de contraseñas intentando encontrar una solución al tedio que acompaña a rotar las claves con la frecuencia que se debería y atender al problema de dedicación de tiempo al canbio de las mismas.
El 8 de abril de 2014 finaliza el Soporte para Windows XP SP3 y Office 2003. el por qué, qué y cómo gestionar este fin de soporte en los productos disponible desde la propia página oficial de Microsoft.
Artículo adicional de
Sans Institute en relación a los posibles aspectos de seguridad relacionados.
Los investigadores que asisten a la Security Analyst Summit 2014 coinciden en que los fabricantes e integradores de sistemas de control industrial necesitan mejorar sus prácticas en seguridad. En el mundo de los PLCs e ICSs, la mejora de la seguridad deberá pasar por la demanda de los usuarios.
Human resources as a Service, Big Data, movilidad, seguridad, smart cities o el Internet de las Cosas... la jornada contará con una completa agenda de ponencias sobre la nube y tecnologías relacionadas con aspectos críticos en estos entornos.
Publicada por el departamenteo de defensa del gobierno australiano el Manual consta de tres documentos complementarios diseñados para proporcionar un conjunto de medidas detalladas que se pueden implementar para ayudar a mitigar los riesgos de seguridad a los sistemas e información de organismos públicos y proveedores de los mismos, aunque extrapolables a otros ámbitos según el control y la actividades de las organizaciones.
Tendrá lugar el próximo 14 de marzo de 2014 en el Teatro Real. Plaza Isabel II s/n - 28013 Madrid (España)
Proporciona orientación para asegurar las comunicaciones entre redes que utilizan gateways de seguridad (firewall, firewall de aplicaciones, sistema de protección contra intrusiones, etc) de acuerdo con una política de seguridad de la información documentada para gateways de seguridad,
Proporciona directrices sobre cómo una organización puede tomar decisiones para proteger la información y entender las consecuencias económicas de estas decisiones en la gestión por la alta dirección y en su responsabilidad de las decisiones en seguridad de la información.
Después de la reciente formación en Barcelona el próximo curso tendrá lugar en Madrid del 07 al 10 de Julio con el examen de cualificación el 11 de Julio tanto para los asistentes al curso (incluido en el precio) como para los interesados en presentarse directamente al examen (previo pago tasas).
El 14 de Marzo, DRI en calidad de asociación profesional en continuidad de negocio con mayor número de socios certificados de todo el mundo, pondrá a disposición del público el Glosario Internacional en Resilencia. Únicamente será necesario logarse (sin coste alguno para nuevas altas) en MyDRI (https://drii.org/crm/login.php) y descargar el fichero PDF.
Como en años anteriores, desde el 17 al 24 de marzo se celebrarán diversas actividades presenciales y online destinadas a la concienciación en continuidad de negocio y resilencia en las organizaciones
Durante las Jornadas SID 2014 se desarrollarán cuestiones relativas a la seguridad de la información en los Sistemas, Personas, Instalaciones, Documentos y Empresas, ya que la política de seguridad de la información en el Ministerio de Defensa contempla las diferentes áreas de la seguridad en sus aspectos tecnológicos, normativos y organizativos.
Talleres para la respuesta ante incidentes por malware y ejercicio de securización de arquitecturas de redes y sistemas en sesiones de tarde.
.
Representates de la SDGTIC. SEGINFOSI
La combinación en un mismo dispositivo móvil de WhatsApp y Facebook deja al usuario completamente desprotegido y quienes utilizarán sus datos a partir de ese momento no responden ante las leyes de protección europeas.
Según un estudio de Dell, los fallos de seguridad suponen un gasto estimado 25.800 millones de dólares anuales a las empresas de EE.UU, aunque éstas todavía siguen sin prestar atención a la nueva gran oleada de riesgos.
El ataque afectó a dispoitivos conectados a Internet como televisores inteligentes, sistemas de sonido e incluso neveras. Los dispositivos fueron utilizados por los hackers para enviar correos maliciosos con el objetivo de aumentar el tamaño de sus botnets.
ENISA advierte sobre los riesgos del uso de software descatalogado, no sólo debido a la falta de apoyo por parte del fabricante, sino también por parte de terceros relacionados como los fabricantes de anti-malware u otro tipo de software o periféricos de ordenador. Esto dará lugar a la exposición persistente a las vulnerabilidades y la falta de posibilidad de actualizar los periféricos o aplicaciones de terceros, entre otros indicados en el informe.
Programa del ciclo de conferencias de Febrero y Mayo 2014 de asistencia libre y sin preinscripción previa requerida.
Informe en base a 17-criterios de evaluación sobre servicios de DisasterRecovery-as-a-service (DRaaS) para los 12 proveedores más importantes: Axcient, Barracuda Networks, CenturyLink Technology Solutions, EVault, HP, IBM, iland, nScaled, Persistent Systems, Quórum, SunGard, y Verizon Terremark. Descarga gratuita previo registro de datos de contacto.
"2020" es serie Web de ficción que presenta la evolución de la sociedad y de la tecnología en el escenario descrito en el informe de la ICSPA preparado conjuntamente por Europol y Trend Micro.
ISO/IEC TR 38502:2014 proporciona una guía en la naturaleza y los mecanismos de gobernanza y gestión, junto con las relaciones entre ellos, en el contexto de las TI dentro de una organización. El propósito de la norma ISO / IEC TR 38502:2014 es proporcionar información relativa a un marco y el modelo que se puede utilizar para establecer los límites y las relaciones entre el gobierno y la gestión del uso actual y futuro dentro de una organización de las TI.
ISO/IEC 27000 ed3.0 (2014-01) Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary ICS code 01.040.35, 35.040 JTC 1/SC 27 CHF 128 con descarga gratuita en digital.-
Adicionalmente se notifican correcciones (pdf libre descarga) para
ISO/IEC 27034-1 ed1.0 (2014-01) Corrigendum 1 - Information technology -- Security techniques -- Application security -- Part 1: Overview and concepts ICS code 35.040 JTC 1/SC 27
Último número publicado que incluye un resumen de las 10 prácticas profesionales del DRI para la continuidad del negocio. DRI dispone de
formación oficial en España que permiten el acceso a la certificación profesional de mayor alcance de reconocimiento en continuidad de negocio.
Contenidos con referencias a consideraciones para 2005, un mapa de transición SGSI para 2013, listado de controles para 2013, además de un nuevo look&feel del portal para una mejor visibilidad y acceso a contenidos desde dispositivos móviles. Los actuales contenidos siguen siendo válidos para el cumplimiento de los requisitos de la nueva versión aunque seguiremos publicando novedades y retirando referencias hasta que la versión 2005 quede obsoleta definitivamente.
Uno de los descargables preferidos se actualiza a la última versión publicada de la mano del patrocinador Gesconsultor.
Se han publicado actualizaciones para corregir los problemas en todas las versiones afectadas, disponibles desde la página del aviso de VMWare. Fuente: Hispasec
La comparativa incluye sitios tan populares como Facebook, LinkedIn, Foursquare, Amazon, Dropbox, Twitter, Google y otros tantos. Un documento al que merece la pena dedicar unos minutos para saber más sobre nuestra seguridad en la red.
Acaba de publicarse una excelente guía (inglés, 80 páginas, pdf), indispensable para administradores de sistemas, donde se explica en detalle cómo configurar de forma segura protocolos y aplicaciones criptográficas como SSL, SSH, PGP, etc. Fuente: Kriptópolis
La ciberdelincuencia y la vigilancia de los gobiernos representan un riesgo para el Internet comparable en escala a la crisis financiera de 2008, según advierte el Foro Económico Mundial (WEF) mediante un informe de riesgos de alcance internacional. Piratas informáticos, el crimen organizado y los Estados Nacionales interrumpen el internet hasta poder llegar al punto de que se convierta en una zona prohibida para los grandes sectores de la población.
DataMotion ha publicado los resultados de encuesta semestral centrada en los hábitos de uso del e-mail y transferencia de ficheros corporativos.
La ciberseguridad ya no es solo una preocupación del personal de TI y seguridad; actualmente, se ha convertido en un asunto con implicaciones para cada línea de negocio y segmento de mercado. Desde Palo Alto Networks, aquí están tres tendencias en ciberseguridad importantes en 2014.
Es el estudio más grande de su clase y ofrece una visión detallada de las tendencias y oportunidades importantes dentro de la profesión de seguridad de la información. Su objetivo es proporcionar una comprensión clara de las escalas salariales, la falta de capacidades, requisitos de formación, prácticas de contratación corporativa, los presupuestos de seguridad, la progresión profesional y la actitud empresarial hacia la seguridad de la información que sea de utilidad para las empresas, los responsables de contratación y profesionales de la seguridad de la información
Rego, que ha protagonizado en Valladolid la reunión "EFE Encuentros Castilla y León", ha explicado que la situación de España no es "diferente de la de los países de la órbita occidental", y ha explicado que desde enero de 2013 hasta la fecha el Inteco ha registrado más de 7.000 incidentes de seguridad, que corresponden a "acciones maliciosas". Adicionalmente anunció que el Gobierno está "dando los pasos que se deben dar", con una Ley Orgánica de Seguridad Nacional en la que está trabajando.
Tercera y última entrega de artículos sobre la metodología a aplicar para el contrato de servicios de outsourcing de seguridad de IT por Adrián Palma.
Como aportación para el control de un ataque DDoS, el Equipo de Respuesta a Incidentes Informáticos (CERT, por sus siglas en inglés) publicó una guía que expone las medidas a tomar.
Seminario con últimas tendencias y tecnologías en DataCenter y seguridad. Lleno completo de asistencia registrado el pasado jueves 23 de Enero en Barcelona, pasará por el Madrid el día 30/01 (Pol.Empresarial Las Mercedes) y Lisboa el 04/02.
El modelo publicado por Open Data Center Alliance especifica y define la "información como servicio" como la capacidad de proporcionar métodos de autoservicio estandarizados y seguros para crear, intercambiar y extraer información significativa de todos los datos disponibles en un formato correcto y en el momento adecuado.
El portal web de IEC permite fácilmente y al instante identificar las normas que son necesarias para cualquier parte de las redes inteligentes sin necesidad de ser un experto en normas.
La OTAN ha anunciado el próximo lanzamiento de dos Equipos de Respuesta Cibernética para proteger las infraestructuras de la Alianza en el caso de ataques cibernéticos.
Servicios de hosting para contenidos ilegales y malware en nuevos data center de Siria y Líbano como realidad de los primeros efectos de la ciberguerra en acción. Proporcionan soporte hosting para diversos proyectos en más de 25 paises con precios reducidos desde 80 USD.
El estudio de Symantec de cortes durante 1 año en la disponibilidad en 16 data centers supuso un coste de 1,7 millones de dólares sólo por errores en factor humano (25%). La complejidad de los entornos TI se duplica cada 2 años el artículo analiza los puntos más relevantes.
Boletín CCI: Según Brian Shields, antiguo responsable de seguridad en Nortel. "Todas las compañías deberían estar preocupadas por la información que hay en sus redes".
Ambicioso proyecto de largo alcance cuyo objetivo es presentar a través de documentos, escritos y en formato multimedia, en este caso a través de una página Web y Google Maps, información sobre todo lo que concierne a la enseñanza, planes de estudio, mercado de trabajo, certificaciones y entornos de investigación en las temáticas relacionadas con la seguridad de la información.
De la mano de los principales representantes de los capítulos internacionales ISO desde BSI se ponen a disposición para la descarga de capítulos de lectura abierta y adquisición.
Un estudio de Ponemon Institute y Emerson revela que el coste por caídas en el data center ha aumentado un 41% desde 2010
La Estrategia de Ciberseguridad Nacional consta de cinco capítulos y es el marco de referencia de un modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración público-privada, y en la participación de la ciudadanía.
ISO/IEC 27036-3:2013 proporciona a proveedores y clientes de la cadena de suministro de productos y servicios relacionados con las tecnologías de la información y la comunicación (TIC ). Las especificaciones de esta norma sirven de apoyo a los controles en seguridad de la información de ISO/IEC 27002 auqnue no incluye la continuidad de los problemas de negocio de gestión/resiliencia involucrados en la cadena de suministro de las TIC.
Video de Simon Roses Femerling del OWASP AppSec USA que cubre las actuales tecnologías de verificación utilizadas por desarrolladores para comprobar la falta de mitigaciones en seguridad (ASLR, DEP, SafeSEH, Stack Guard, PIE, etc.) y vulnerabilidades (Missing Code Signing, Insecure API, DLL planting, poor coding, etc.)
En marzo 2013 se produjo el que ha sido hasta el momento el mayor ataque DDoS de la historia, que llegó a tumbar los servicios de la compañía SpanHaus y ocasionó la pérdida de velocidad en distintas partes del mundo. Fuente: FOCUS pag.44-47
En un juego de guerra sin precedentes a escala continental para determinar la preparación de los Estados Unidos ante un ciberataque, decenas de millones de americanos estuvieron en una oscuridad simulada, cientos de líneas de transmisión y de transformadores fueron declarados dañados o destruidos. Fuente: Noticias CCI
El vídeo dura unos 7 minutos, y muestra ejemplos de cómo consiguen muleros de forma rápida en la calle, cómo roban las tarjetas de crédito, como por medio de call-centers conseguir dar más veracidad al robo de dinero, etcétera... todo con una estética de película de ciber-criminal y con el objeto del deseo de un deportivo de cuidado. Fuente: "Un informático en el lado del mal"
El documento introduce los procedimientos y herramientas esenciales para mejorar la seguridad de los sistemas informáticos que componen las infraestructuras críticas.
Informe ENISA que proporciona datos relevantes sobre la adopción de certificaciones en seguridad especialmente ISO27001 y de eGovernment en los diferentes estados miembros de la UE.
Las actuales amenazas a la seguridad cibernética alcanzaron un nivel sin precedentes y ya están a punto de convertirse en un tipo de "armas de destrucción masiva", según opina el ministro de Defensa ruso, Serguéi Shoigú.
Para muchas organizaciones centros de datos (o topologías) gemelos proporciona un nivel adecuado de recuperación de desastres, mientras que permite un ahorro de costes y la optimización de la prestación de los servicios.
La publicación de la version 3.0 de "PCI Data Security Standard (PCI DSS)" y "Payment Application Data Security Standard (PA-DSS)" ya disponible desde la web de PCI SSC se convertirá en efectiva el próximo 1 de Enero 2014 y la versión 2 estará activa hasta el 31 de Diciembre 2014 para facilitar la transición.
Javier Cao aporta una revisión exhaustiva y completa en un documento completo que incluye los comentarios sobre la nueva norma. Descarga libre del documento con licencia Creative Common.
Artículo de Bruce Schneier sobre las luchas ya iniciadas para dominar el ciberespacio en las próximas décadas.
Si has sido estafado por alguna tienda de venta online o alguna otra compra-venta por Internet, quizá quieras denunciar el hecho a la policía. Sigue estos consejos para que tu denuncia tenga mayores posibilidades de éxito.
En proceso de consulta pública el marco NIST del Gobierno de los EEUU desarrolla el modo de aplicar medidas propias de protección contra brechas de seguridad y ciberataques. El marco se desarrolla mediante análisis de riesgos y está alineado con COBIT, ISO 27001, ISA 99, NIST SP 800-53 entre otros.
Desarrollado por el Centro de Ciberseguridad Industrial con la participación del ecosistema de miembros que representan a todos los actores de la industria.
Disponible para descarga o compra en papel en 7 idiomas incluido el español. Gratuita para socios del BCI.
Informe que revisa y analiza los79 incidentes registrados y relacionados con cortes de comunicación electrócnica de gran alcance (p.ej. 1,8 millones de afectados por incidente de comunicaciones, 2,8 millones por fallo de terceros con el corte de suministro eléctrico a la cabeza) en redes y servicios durante el 2012 en la Unión Europea.
Recopilación de las principales estrategias de ciberseguridad nacionales y supranacionales. Para facilitar su estudio, han sido clasificadas por continentes.
Informe de evolución de la amenaza de DDoS en el que se observa para el presente año un incremento significativo (33%) de tráfico malicioso con un pico alcanzado para Q3 de 69Tbps en tráfico, por encima de 47Tbps del anterior trimestre Q2.
Con un incremento del 35% en Central/Sur América y España en el 6 puesto de países de mayor crecimiento en el número de certificados, el informe oficial ISO con los resultados completos para 2012 contabiliza 19 577 certificaciones en ISO 27001 con cifras procedentes de empresas de certificación acreditadas.
En base a las experiencias reales y entrevistas en profundidad con más de 1.000 profesionales de la seguridad en todo el mundo, el estudio proporciona información valiosa sobre las causas y los costos de los ataques cibernéticos. Entre las diversas conclusiones destacamos el coste mayor en el caso de las Pymes.
Google ha anunciado un programa experimental para gratificar las mejoras proactivas de seguridad en determinados proyectos de código abierto ("open-source").
Un campo fértil para la innovación es la creación de aplicaciones que promueven la privacidad. La confianza es un valor importante en los productos, y se pueden hacer negocios importantes a través de la legítima preocupación de los usuarios por mantener su privacidad.
Este número con tres artículos con experiencias en la aplicación de diferentes aspectos de la continuidad de negocio: cómo hacer una preparación correcta de una análisis de un impacto al negocio (BIA), integrando el análisis de la cadena de suministro en el alcance del programa de administración del BCM y cómo hacer una colaboración que genere una sinergia entre los ingenieros de riesgos de las aseguradoras y los expertos de la empresa en la identificación y control de riesgos.
El iinforme concluye con un único modelo de auditoría que captura las características más comunes como meta-marco preliminar.
Santander Brasil, RFIDEAS y L&M Engenharia con sus Centros integrados de comando y control (Copa del Mundo de Fútbol 2014) entre los siete galardones entregados en la tercera edición de los Awards que reconocen la innovación, eficiencia y contribución a la industria de Centros de Cómputo e infraestructuras de misión crítica.
¿que pasa si el proveedor de servicios cloud cierra? El caso de Nirvanix
Cumpliendo con la cita anual, INTECO pon en marcha la séptima edición de ENISE, el Encuentro Internacional de Seguridad de la Información, con el objetivo de reunir nuevamente a las principales figuras del ámbito de la ciberseguridad y crear espacios de análisis y reflexión sobre los temas más candentes del panorama actual.
Por primera vez en Iberoamérica se han reunido en un foro común, representantes de todos los ámbitos implicados en la Ciberseguridad Industrial.
Informe de primer semestre de 2013 con estudio de tendencias y exposición de riesgos ante actividades de cibercriminales. Redes sociales como destacado.
La guía cubre las fases, procesos y aspectos de gobierno principales en contratos de outsourcing, independientemente del tamaño y sectores de la industria y comercio.
Con un precio de 108CHF (88EUR) y en versión inglés inicialmente, la tabla de contenidos y el
preview de la versión revisada del estándar está disponible desde la propia página de ISO.
Próximas novedades en nuestra web para analizar los cambios de la nueva versión e información sobre los tiempos de referencia de adaptacion de los actuales certificados a los nuevos requisitos.
Con un precio de 184CHF (150EUR) y en versión inglés inicialmente, la tabla de contenidos y el
preview de la versión revisada del estándar está disponible desde la propia página de ISO.
Próximas novedades en nuestra web para analizar los cambios de la nueva versión.
Un equipo de investigadores realizó un estudio para la inyección dopante furtiva de troyanos a nivel hardware, una amenaza insidiosa que podría tener un impacto dramático en la producción de chips para todos los sectores.
Informe con datos actualizados sobre la evolución de amenazas para disponer de datos actualizados para una correcta valoracion del riesgo.
Apple publica iOS 7 con problemas de descarga, solución para 80 CVEs, novedades de seguridad y un nuevo GU
Elaborado por Ponemon Institute y patrocinado por Emerson Network Power, el informe revela que los cortes de servicio son tan temidos que el 84% de los encuestados prefieren “caminar descalzos sobre carbón ardiendo” a que su data center caiga.
Permitiría habilitar recursos adicionales para el almacenamiento de información a nivel local reduciendo su paso por sistemas controlados por EEUU.
Entrevista con Edward Humphreys, Coordinador del grupo de trabajo responsable de la elaboración y el mantenimiento de la norma ISO 27001, para averiguar cómo puede afectar la revisión a las empresas.
Existen algunas soluciones casi de de andar por casa que facilitan a los ciudadanos las garantías que les confieren los derechos humanos y las constituciones y leyes de sus países.
Algunas requieren más tecnología y otras menos, pero en general son opciones que si se ponen en práctica garantizan que la confidencialidad de los datos será más segura que para el 99% de la gente que simplemente no haga nada.
Rápida evaluación de la seguridad en la movilidad; en base en las respuestas, el Mobilometer Secure determinará la presión de seguridad y pondrá de relieve los posibles zonas de riesgo que deben ser remediadas. El uso de los resultados sirve para para tomar medidas correctivas y asegurar que individuos y/o las organizaciones no están gravemente expuestas a las amenazas de seguridad en movilidad.
Guía rápida "First Aid Kit" en inglés para administradores de sistemas con contenidos básicos y herramientas para combatir Malware, password expuestas, cambios no autorizados en website, DNS comprometidas, violaciones de licencias, robo de hardware.
Con motivo del reciente 20 aniversario de publicación por BSI del documento DISC PD0003 (estándar BS7799 ahora denominado ISO 27002). Anthony Freed publica el primero de un total de 3 post en relación a los detalles del origen y desarrollo hasta nuestros días.
Adam detalla las actuaciones necesarias para el diseño de un plan de contingencia de data centers.
Realizar una auditoría de seguridad brinda la posibilidad de comparar los sistemas de gestión con respecto a normativas y requerimientos legales que deben cumplir las organizaciones.
Según la encuesta realizada a 100 CEOs y 100 CISOs/especialistas en seguridad, más del 36% de los directores generales señaló que los responsables del área de seguridad informática (CISO por su siglas en inglés) nunca les reportan sobre el estado de seguridad de la infraestructura de TI, en comparación con un 27% que informó recibir actualizaciones de ellos con cierta regularidad
En este sentido, en la medida que los embarques de PCs disminuyen y la adquisición de dispositivos móviles aumentan, los autores detrás de ataques de ransomware también ven nuevas oportunidades para extender sus ataques.
Análisis de cambios en los estándares en base a los borradores de ambas normas. La publicación final de ambos documentos se espera para finales del presente año (01 de Octubre de 2013).
El 12 de septiembre se celebró el segundo evento de "La Voz de la Industria" organizado por el CCI, El evento, con más de ochenta asistentes de la industria y de medios de comunicación comenzó con la presentación, por parte de Ignacio Paredes del CCI, del segundo documento desarrollado mediante la colaboración del ecosistema del Centro: "La Protección de Infraestructuras Críticas y la Ciberseguridad Industrial". Este es un documento de análisis en el que se establecen las relaciones y diferencias entre dos conceptos que cada vez adquieren mayor relevancia.
Durante el Def Con 21, Charlie Miller y Chris Valasek realizaron una presentación sobre cómo atacar el bus CAN de un vehículo con mensajes maliciosos que podrían hacer que el vehículo frene, no frene, o incluso se dirija contra un muro.
La policía encontró un conmutador KVM (teclado-video-ratón) encajado en un ordenador de una oficina de un centro comercial de Londres -en Canary Wharf, en el distrito financiero- que hubiera permitido a los sospechosos acceder al conjunto de las computadoras del banco.
Blog de Jeimy Cano sobre la norma ISO 27037, que establece las directrices para la identificación, recolección, adquisición y preservación de la evidencia digital.
Como miembro del departamento de seguridad de TI, hay cinco cosas que usted puede hacer para destacar de la competencia y ayudar a asegurarse de que usted será la persona a considerar para las nuevas oportunidades profesionales que se presentan.
Kaspersky pone a disposicion un programa de testeo en el que indica el tiempo en que se descifraría por ataques de fuerza bruta una contraseña y según la potencia de computadora utilizada para este propósito.
El oficial al mando del “White Rose of Drachs” y su tripulación quedaron asombrados por el efecto del ataque desarrollado por Todd Humphreys, profesor de la Universidad de Texas. Demostró que sólo con el uso de un aparato barato compuesto por una pequeña antena, un sistema electrónico"Spoofer" GPS construido con 3.000 dólares y un ordenador portátil, es capaz de tomar el control total del sofisticado sistema de navegación a bordo de un super-yate de 210 pies de eslora en el mar Mediterráneo.
El evento contará con ponentes internacionales de primer nivel y con la presencia de todos los actores: Fabricantes industriales, de ciberseguridad, ingenierías, consultoras, integradores, usuarios finales e infraestructuras críticas que discutirán sus distintas percepciones de la realidad de la Ciberseguridad Industrial.
Existe una desconexión entre el lenguaje utilizado por los órganos directivos del negocio y por IT. El artículo analiza las razones con referencias a diferentes fuentes relevantes.
Proporciona principios de guía y buenas prácticas basadas en la norma ISO/IEC 27002 para la gestión de seguridad de la información y aplicada a sistemas de control de procesos en entornos industriales de suministro de la energía.
Trabajo detallado de la "Fábrica del pensamiento" de la Comisión Técnica del Instituto de Auditores Internos de España sobre la definición e implantación del apetito de riesgo por parte de la alta Dirección, recogiendo cuestiones clave que hacen que pasemos de métricas y métodos de evaluación a decisiones de negocio y reporte.
Colaborando desde 2007 con la Agencia Europea de Seguridad de las Redes y de la Información en distintas publicaciones e iniciativas para la concienciación en materia de seguridad de la información, contamos con el reconocimiento de expertos para posibles necesidades actuales y futuras de la Agencia en materia de gestión de riesgos.
Acceso libre junto a otras noticias de interés relacionadas desde el boletín de noticias semanal del Centro de Ciberseguridad Industrial.
La Red Temática de Criptografía y Seguridad de la Información Criptored y Eventos Creativos lanzan el primer curso online de Especialización en Seguridad Informática para la Ciberdefensa.
Comentarios y enlaces al estudio desarrollado por The International Organization of Security Commissions (IOSCO), como foro de desarrollo de políticas para la regulación en mercados financieros y World Federation of Exchanges (WFE).
ICS-CERT localiza un incremento severo en los ataques por fuerza bruta contra infraestructura crítica.
Nueva edición de Thrive! Iberoamérica con temas de apoyo a empresarios de PYMES para fortalecer su cadena de valor, su gestión integral de riesgos y su estrategia de continuidad de negocio; en otras palabras, a aumentar su resiliencia.
ISO27000 colabora con el Gobierno de la Rioja en esta formación presencial que permite analizar los riesgos a los que están expuestos las organizaciones y contemplar distintas estrategías y planes que eviten o reduzcan el impacto en las actividades de negocio y basado en casos prácticos y reales.
Los costes del curso para los asistentes están cubiertos integramente por el Gobierno de la Rioja y programado fuera del horario habitual de trabajo para facilitar la asistencia (27 y 28 de Septiembre, 4 y 5 Octubre) a todos aquellos interesados en evitar pérdidas graves en su negocio o en reconducir su carrera profesional a esquemas para la gestión del riesgo.
La privacidad en Internet es un tema candente. Cuando estás conectado, cada click, sitio que visitas, búsquedas que realizas...es potencialmente registrada. 5 de las más grandes compañías siguen tus actividades online y usan la información para aprender más sobre tí y tus hábitos para bien o para mal. Infografía con la información que cada una de ellas recopila sobre tu actividad disponible.
A raíz de todo lo relacionado con las filtraciones del exanalista de la CIA Edward Snowden se han conocido muchos detalles sobre el espionaje que gobiernos y grandes empresas de todo el mundo realizan sobre los ciudadanos. Por eso mucha gente se está preguntando. ¿Cómo puedo asegurar mis datos y mis comunicaciones? ¿Está mi privacidad completamente vendida? ¿Hay algo en mi mano que pueda hacer?
Actualización de la herramienta publicada hace algunos años por Microsoft y que puede ayudar a los usuarios de Windows a controlar mejor las aplicaciones de terceros. Artículo con análisis y enlace a la descarga gratuita del producto.
14.800 dólares para la compra de 20 máquinas en búsqueda de recuperar las tácticas de seguridad de los tiempos de la guerra fría.
El descubrimiento de esta herramienta confirma el rápido crecimiento tanto en sofisticación como en cantidad de las amenazas que tienen por objetivo los dispositivos Android.
A todos los participantes y como agradecimiento por completar las preguntas del censo (datos se recopilan en español entre otros idiomas y de forma anónima) acceden a un informe gratuito valorado en 800 USD/625 EUR). Con los datos recabados en el Censo Global de la Industria 2013 se consigue la visión más completa y rigurosa desde el punto de vista estadístico en el mercado de data centers a nivel mundial.
El Network Centric Operations Industry Consortium (NCOIC) tiene 12 miembros de 12 países e incluye seis compañías - The Aerospace Corporation, Boeing, NJVC, Raytheon, Telos Corporation y Winthrop Management Services. El proyecto comprende el espacio aéreo, civil y militar, gestión de tráfico aéreo, sanidad y otras áreas que son requeridas en tiempos de necesidad.
Entrevista a Samuel Linares, Director del Centro de Ciberseguridad Industrial (CCI) y uno de los principales impulsores del concepto de "ciberseguridad industrial" en español, lo que te ha llevado a ser reconocido como uno de los mayores expertos iberoamericanos en este ámbito.
La Certificación STAR que es uno de los componentes del Marco de Certificación Abierto (OCF, Open Certification Framework) desarrollado por BSI y CSA. Está basado en la ISO 27001 y la matriz de control de la nube (CCM, Cloud Control Matrix). Si una organización cumple con los dos requisitos, BSI puede emitir dos certificados simultáneos: ISO 27001 y STAR.
Los datos de los discos duros no se pierden a menos que sean sobreescritos y una buena parte de los trabajos de informática forense están relacionados con la recuperación de los "datos latentes".
El presente documento y test muestra cómo algunos dispositivos SSD eliminan los datos latentes en un proceso que se denomina "garbage collection".
1.- No utilizar el término Desastre.
2.- Hablar de mitigación de riesgo.
3.- Asegurar que la dirección entiende los beneficios de la continuidad del servicio IT.
4.- Proponer una solución específica de recuperación.
5.- Asegurarse que la alta dirección entiende que un backup de los datos no asegura una recuperación de la IT.
Visto en
ISOSPANISHGROUP22301
Formar a ejecutivos puede ser particularmente difícil. A menudo es un hecho que no disponen de tiempo para participar en el entrenamiento de seguridad.
Con la inmersión de formación, las empresas pueden reducir la sensibilidad media de empleados a los ataques dirigidos a menos del 10%. No sólo los empleados capacitados son mejores a la hora de evitar las trampas del phishing, además pueden ser los ojos y los oídos que sirvan para alertar a los miembros relevantes del equipo de seguridad de la organización de intentos de allanamiento.
PAS 555 permite a las organizaciones un enfoque de inversión de la manera más adecuada, minimizar las pérdidas potenciales, mejorar la eficacia y la eficiencia operativa, desarrollar la resiliencia organizacional, mejorar la prevención de pérdidas y la gestión de incidencias e identificar y mitigar los riesgos de seguridad cibernética en toda la organización.
El sector energético de los países más industrializados es aún muy vulnerable a los ataques cibernéticos, pero lo que realmente preocupante es el nivel de conocimientos necesarios para infringir un daño grave. Un informe reciente publicado por el Gobierno de los EE.UU. revela que las infraestructuras críticas del país son vulnerables a los ataques cibernéticos y toda información necesaria para los atacantes se encuentra disponible en la Internet.
Presentación oficial con lleno absoluto en el aforo el pasado 20 de Junio e iniciada por su presidente Samuel Linares.
Durante los tres primeros meses de actividad el centro cuenta ya con más de 200 miembros, 23 patrocinadores, presencia en 15 países y el apoyo de instituciones públicas como CNPIC e INTECO y múltiples asociaciones nacionales e internacionales como PESI e ISSA entre otras.
En el caso concreto de España, General Electric estima que el beneficio previsto de la adopción de Internet Industrial representaría una aportación adicional al PIB del país en 2030 de 91.000 millones de euros, siendo conservadores, y de 150.000 millones de euros, en una previsión más audaz.El informe destaca las grandes oportunidades que ofrece Internet Industrial y cuantifica las ineficiencias en las que se incurre en sectores clave de la economía europea.
Se inicia el próximo 1 y de 2 Julio el mayor evento en continuidad de negocio de LatAm con presencia de expertos, representantes y ejecutivos de las 500 empresas más importantes- proporcionando un entorno único para negocios y conocimiento.Desde el 2010, el GRC Internacional + DRI DAY Latín América es un hito en el calendario mundial para debates sobre gobierno, riesgo, conformidad y continuidad de negocio en Latinoamérica.
Al cumplimentar esta encuesta estará contribuyendo en la recaudación de fondos para Ingeniería Sin Fronteras y como agradecimiento por completar estas preguntas se ofrece un informe breve gratuito (PVP 800 USD / 625 EUR). El año pasado se donaron 40000 USD para UNICEF.
Optimización en cifrado para su aplicación en dispositivos con recursos limitados sin renunciar a la seguridad.
Informe Mandiant sobre las actividades de la Unidad creada por China y relacionada con ataques APT a nivel internacional.
La publicación en abril de este año del Anexo SL (previamente publicado como la Guía ISO 83) del Suplemento Consolidado de las Directivas ISO/IEC tendrá un impacto significativo en las normas ISO de sistemas de gestión – tanto para los que las redacten, las implementen y las auditen.
Hay un gran número de términos nuevos y definiciones mejoradas, y un mayor énfasis en distintas secciones, nada controvertido y costoso, simplemente un buen reordenamiento. Las tres normas centrales de la familia (ISO/IEC 27000, ISO/IEC ISO 27001 e ISO/IEC 27002) están siendo revisadas y serán publicadas a fines de 2013. Con la adopción del Anexo SL (estructura a alto nivel y texto comunes), se esperan cambios adicionales a la ISO/IEC 27000.
El mayor cambio será la adopción de los requisitos del Anexo SL (ver Annex SL). Asimismo, la norma ISO 22032:2012 (Gestión de la continuidad de los negocios) fue desarrollada usando una versión borrador de este Anexo (ver ISO 22301:2012) y las normas ISO 9001 e ISO 14001 están siendo revisadas actualmente para incorporar ese mismo Anexo.
La encuesta a más de 1.000 consumidores del Reino Unido por la firma de seguridad y el cumplimiento Tripwire también reveló que el 40% de los encuestados se sienten más vulnerables a los ataques cibernéticos ahora que hace un año.
Además de los libros tradicionales, también han creado guías resumidas, escritas en inglés, que en ocasiones son realmente útiles para introducirse en temas concretos rápidamente. Estas guías (que son mini-libros realmente) están patrocinadas por algunos fabricantes y se pueden descargar sin ningún coste
"Hemos sido testigos de cómo se pueden extraer los datos de las tarjetas sin tocarlas utilizando un teléfono móvil modificado con un accesorio que se puede comprar en Internet por unos 35 euros."
España y EE.UU. lideran las descargas de los planos de la primera pistola de fabricación casera con impresora 3D que colgó en internet esta semana el fabricante, la compañía Defense Distributed, con la intención de facilitar el acceso a armas de fuego sin el control de las autoridades.
Los empleados pueden simplemente ver webmail, servicios de intercambio de archivos, almacenamiento en la nube, memorias USB y dispositivos inteligentes como un modo más fácil de transferir archivos que las herramientas corporativas tradicionales.
De acuerdo con el informe “Tendencias en Seguridad Cibernética en América Latina y el Caribe y Respuestas Gubernamentales” —elaborado por la Organización de Estados Americanos (OEA), en conjunto con Trend Micro faltan recursos dedicados a la construcción de la seguridad, así como la escasez de conocimientos y experiencia especializados para implementar políticas.
Disponibles en formato vídeo para todos los interesados en Planes de contingencia, Ciberdefensa, Ciberdelincuencia, Gobierno de la seguridad hacia objetivos corporativos, seguridad en sistemas y explotación de vulnerabilidades, informática forense en cloud y mundo hacking.
Una de las tendencias más llamativas de 2013 es co-location. La idea de la deslocalizar todo o parte de su espacio de centro de datos se está imponiendo ya que las empresas buscan una mayor agilidad y el mejor modo de evitar los costos de expansión del centro de datos. Colo puede ser fantástico. Pero antes de dar el salto, aquí hay 10 cuestiones que usted debe incluir en el proceso de investigar, evaluar y analizar procesos internos o externos, antes de tomar decisiones en colo.
Ediciones dedicadas a seguridad TI, presente y futuro en Datacenters entre los últimos temas de interés.
Primer centro de estas características que nace desde la industria y sin subvenciones, independiente y sin ánimo de lucro. Su misión será impulsar y contribuir a la mejora de la Ciberseguridad Industrial en España y Latinoamérica, entendiendo por Ciberseguridad Industrial "el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías".
Información de SANS que actualiza la versión inicial publicada en 2006 y de valor para aquellos que tienen que atender y garantizar la seguridad de los logs de los sistemas.
Se llevó a cabo con la ayuda de cerca de 100 diferentes cómplices en los Estados Unidos que fueron contratados a través de falsas ofertas de teletrabajo en casa por parte de una banda criminal que ha sido saqueando negocios durante los últimos cinco años.
El número de vulnerabilidades anunciadas para plataformas hipervisor se ha incrementado considerablemente en los pasados años. Los más destacados proveedores de hipervisores incluyen a VMware, Microsoft y Citrix, RedHat entre otros.
El último informe de "WhiteHat Security Website Security Statistics Report" muestra datos correlacionados interesantes obtenidos de decenas de miles de sitios web por más de 650 organizaciones y con datos de ciclos de desarrollo de software SDLC de más de 76 encuestados.
¿Vivimos una época de ciberguerra o todo el término es una exageración mediática? El tema pareciera ser meramente trivial, pues ha sido manejado infinidad de veces por expertos, medios, analistas y uno que otro profeta de mal augurio.
Responsabilidad y Compromiso de los actores de la Ciberseguridad. El evento reunirá a expertos, instituciones y empresas para analizar el alcance del compromiso del Estado, el sector privado y los ciudadanos en la protección del ciberespacio, así como las responsabilidades ante un ciberataque.
Asegurar físicamente este tipo de instalaciones, equipamiento y bienes reviste una gran importancia a la hora de ayudar a reducir posibles intrusiones en los lugares donde se encuentran los centros de datos.
ENISA ha recopilado todos los documentos en Ciberseguridad dentro y fuera de la UE (última actualización Abril 2013).
Publicada el pasado 23 de Abril, ISO / IEC 27014:2013 proporciona orientación sobre los conceptos y principios para la gobernanza de la seguridad de la información con el objetivo para las organizaciones de poder evaluar, dirigir, controlar y comunicar las actividades relacionadas con la seguridad de la información dentro de la organización. ISO / IEC 27014:2013 es aplicable a todos los tipos y tamaños de organizaciones.
Ampliamos el catálogo de posibles soluciones y ayudas con el enlace a ENISA que incluye ejercicios y material de de formación en gestión de incidentes con guías en español.
Shodan opera permanentemente y obtiene información de unos 500 millones de dispositivos y servicios conectados cada mes. Y los resultados de las búsquedas son sorprendentes: desde semáforos hasta cámaras de seguridad, pasando por sistemas de calefacción y crematorios.
Actualmente, el Comité internacional de ISO e IEC trabaja en 5 proyectos de normas y en el ámbito internacional se trabaja en la elaboración de normas en el campo de la seguridad y la gestión de los servicios de cloud.
Informe del libre descarga del Club de Excelencia en Sostenibilidad para España que muestra el potencial de reducción de emisiones de 36,76 MtCO2, un potencial de ahorro económico de 601.802 millones de euros y una creación de empleo neto de 218.000 puestos.
Al menos un operador de Bitcoin ha sido robado en un ataque lanzado desde un foro con técnicas "phishing" diseñadas específicamente y aprovechando el momento destacado que vive la moneda digital.
ENISA está recomendando que los proveedores de redes en Internet implementen técnicas de filtrado de tráfico ampliamente conocidas y que podrían haber contrarrestado incidentes cibernéticos como el que impactó sobre servicios en toda Europa occidental el mes pasado.
Una importancia creciente en el perfíl CRO para la gestión adecuada del riesgo en las organizaciones como gran novedad de una reciente encuesta de Ernst & Young.
Cómo se están comprometiendo conales de VoIP de usuarios particulares, empresas, centros de emergencias y call centers.Leido
El objetivo de Crypt4you es convertirse en el Aula Virtual de referencia de seguridad de la información en lengua hispana. Nuevo formato de enseñanza en seguridad de la información, masiva, online y gratuita
Madrid y Barcelona – 22 y 23 de Mayo 2013. Evento gratuito, aforo limitado a dos profesionales por empresa.
Aumentamos el número de recursos en aspectos relacionados con la Continuidad de Negocio mediante enlaces a revistas en español del DRI y del BCI.
La herramienta de simulación de phisiing de TraceSecurity simula ataques reales sin exponer a empleados o redes corporativas a riesgos reales con la intención de verificar el comportamiento y comprobar el grado de concienciación de los empleados. Dispone de una versión de prueba free.
Otras herramientas similares junto a imágenes y comentarios de los resultados en la interesante recopilación mostrada en el
artículo de Zeljka Zorz
Con el despliegue de medidas en seguridad para Hadoop entre las empresas de Fortune 200, Dataguise ha desarrollado estas prácticas y procedimientos en base a una importante experiencia en la protección de estos ambientes amplios y diversos.
Diapositivas sobre las mejores herramientas forenses y como montar un laboratorio forense publicado desde Cryptex.
ISO/IEC TR 24772:2013 especifica las vulnerabilidades del software en términos del lenguaje de programación y que deben evitarse en el desarrollo de sistemas con software que requieren un comportamiento confiable en términos de la seguridad física, seguridad lógica, misión crítica y de criticidad para el negocio. En general, esta guía es aplicable tanto al software desarrollado, revisado o mantenido en relación a cualquier aplicación.
Las vulnerabilidades se describen de forma genérica y aplicable a una amplia variedad de lenguajes de programación.
El documento presenta un panorama alarmante, durante la segunda parte de 2012 han sido literalmente inundada por ataques basados en malware; los expertos de FireEye calculan que cada tres minutos un usuario recibe un correo electrónico malicioso y un empleado hace clic en un vínculo que lo captura en un sitio web comprometido.
Nuevas técnicas de eficiencia para gestión TI y de Centros de Datos permiten habilitar factores de competitividad pero cuidando de la disponibilidad en la seguridad de los servicios. Artículo dentro del número 12 de la revista FOCUS.
En esta guía conoceremos todo lo necesario acerca de la elaboración del plan. Aprenderemos a desarrollar paso por paso el plan de RD de TI y los aspectos más importantes a tener en cuenta durante su elaboración.
Según el Foro Económico Mundial hay entre un 10% y un 20% de probabilidades de que se interrumpan los sistemas críticos en los próximos 10 años con daños por valor de más de 250.000 millones de dólares. Por ello, la empresa S2 Grupo ha decidido poner en marcha en España un centro de operaciones específico de ciberseguridad industrial.
Con un consumo creciente de datos y consiguientemente de energía eléctrica, los aspectos ambientales ligados a las Tecnologías de la Información y Comunicaciones (TIC) empiezan a considerarse un deber en instalaciones (ver
CoC de la UE para DataCenter) pero también ligado a bienes y servicios y redes de comunicación. Acceso libre a la recommendación ITU-T L.1410 que trata este asunto en dos partes:
Part I (clause 5) – ICT life cycle assessment: framework and guidance.
Part II (clause 6) – Comparative analysis between ICT and a reference product system (baseline scenario); framework and guidance.
Andrew Jaquith indica que las métrica en seguridad de la información no necesitan de una base matemática compleja para ser efectivas pero tampoco caer en la simplicidad del "rojo, amarillo, verde". Aquí propone 5 modos de medición relevantes junto a una presentación eficaz.
Añadimos enlace a la reciente guía publicada por Cloud Security Alliance (CSA) que recoge los controles de referencia más importantes en seguridad Cloud, tomando como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrix (CCM) y los requisitos de la normativa española más importantes en la materia (Reglamento de la Ley Orgánica de Protección de Datos, en adelante RLOPD, y el Esquema Nacional de Seguridad, en adelante ENS.
Con el patrocinio de
GesConsultor (Plataforma para Sistemas de Gestión) y
Áudea (Especialistas en Seguridad).
"Un aldabonazo sin duda al Big Data y sus grandes riesgos. Antes robaban los bancos porque ahí era donde estaba el dinero. Ahora roban las bases de datos porque es ahí donde está la pasta.". Paloma Llaneza comenta el enlace a la conferencia sobre la ciberdelincuencia de datos de Marc Goodman especialista en cibercrimen y proteccion de infraestructuras criticas durante las conferencias Strata Summit
Las Autoridades Europeas de Protección de Datos han aprobado el primer dictamen conjunto sobre aplicaciones móviles, en el que se analiza la incidencia y los riesgos que éstas plantean para la protección de datos. Artículo de Cristina Sandoval y José Carlos Moratilla del departamento jurídico de Áudea.
La amenaza de una guerra cibernética no puede ser evaluada mediante el uso de un análisis de riesgos tradicional; requiere un modelo diferente como la teoría de la posibilidad.
Interesante artículo dentro de Thrive! para la continuidad de negocio del DRI para Hispanoamérica. Disponibles nuevas fechas para 2013 de
formación DRI en España.
Investigadores de la Universidad de Berlín trabajan en este asombroso proyecto con programas propios y Shodan y... ¡el mapa incluye sistemas que presentan vulnerabilidades conocidas!
Una actualización del firmware causa un corte en el CPD, interrumpiendo los servicios por 16 horas. Desde Microsoft indicaron que el apagón se produjo cuando se realizaba un proceso habitual de actualización de firmware en una parte central de su planta física. “Dio lugar a un pico de temperatura importante en el centro de datos”, dijo Arthur de Hann, blogger de Microsoft y vicepresidente corporativo de ingeniería de servicio y prueba.
Encuesta de Gridstore en diciembre de 2012 sobre los retos que estaban viendo sus clientes.
Próxima edición del curso O-ISM3 tendrá lugar en diferentes ciudades de LatAm y España y durante los meses de Mayo y Junio. O-ISM3 permite priorizar esfuerzos utilizando criterios con relevancia para el negocio, comunicar el valor para la organización del departamento de seguridad informática, simplificar el cumplimiento de ISO27001 y complementar los servicios de seguridad de ITIL entre otros aspectos relevantes.
Disponible podcast de explicación de este esquema por Vicente Aceituno en nuestra sección de
artículos y podcast.
Bajo el lema: "Formando profesionales: de la sociedad de la información a la sociedad de los servicios" se expondrán trabajos y experiencias destinadas a identificar las capacidades y buenas prácticas dentro de cuatro áreas temáticas de principal interés:
- "Modelos, Normas y Estándares para la Gestión y el Gobierno TI"
- "Mejores Prácticas ITSM: Casos Prácticos, aplicaciones y productos para la Gestión y el Gobierno TI"
- "El Profesional del Futuro, el Factor Humano para el Gobierno TIC, Formación y la Ciencia del Servicio"
- "Aspectos Económicos en el Gobierno TIC"
A pesar de los niveles actuales de desempleo, el número de empleos en el sector digital está aumentando en más de 100 000 al año. No obstante, el número de recién diplomados en TIC y de trabajadores cualificados en este campo no está aumentando al mismo ritmo que la demanda. El Presidente de la Comisión, José Manuel Durão Barroso, exhortó a las empresas, los gobiernos y los sectores de la formación y la educación del ámbito de las tecnologías digitales en Europa a adherirse a una gran coalición para la creación de empleos en este campo con vistas a ocupar los 900.000 puestos de empleo vacantes en las tecnologías de la información y la comunicación (TIC) que está previsto que habrá en Europa en 2015.
La Escuela Universitaria de Informática de la Universidad Politécnica de Madrid abre su ciclo de primavera 2013 con una
conferencia sobre el sector industrial de los Data Center, su criticidad e impacto en las organizaciones con datos relevantes y reales de mercado y que incluyen la necesidad y oportunidad de empleo y desarrollo de nuevos profesionales cualificados en este sector.
Los módulos hardware de seguridad (HSM) y otras implantaciones de caja negra tienen por objetivo mantener valiosas claves cifradas seguras. Sin embargo, estos dispositivos pueden ser alterados para convertir sus algoritmos de cifrado en canales imperceptibles de acceso indebido a los datos supuestamente garantizados, como demuestran los autores.
En vez de buscar redes wifi en el exterior o en cualquier local...busquemos tomas ethernet, ¡que también tienen su derecho!. 16 post desde 11 de Abril de 2011.
Nadie está a salvo de un desastre – nadie incluso usted. Aseguresé que sus instalaciones están realmente preparadas para lo peor evitando las siguientes 5 trampas.
Mandar mensajes de manera anónima a usuarios de WhatsApp, recuperar la foto de perfil, frase de estado y última vez online de cualquier usuario de WhatsApp, (aunque seas un contacto bloqueado), recuperación de información que te permite acceder a los mensajes de WhatsApp fácilmente, incluso los “borrados”...
Manuel Escalante explicó la importancia del convenio suscrito entre la Secretaría de Estado de Seguridad y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información como herramienta para aunar esfuerzos y capacidades para responder a la problemática de la seguridad de las IICC y la experiencia y valor de INTECO (y su INTECO-CERT) como instrumento para contribuir a la mejora de la ciberseguridad en general y en las IICC en particular.
Se trata del primer centro de estas características que nace desde la industria y sin subvenciones, independiente y sin ánimo de lucro. Su misión será impulsar y contribuir a la mejora de la Ciberseguridad Industrial en España y Latinoamérica, entendiendo por Ciberseguridad Industrial "el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías".
Novedades producidas durante el mes de febrero de 2013 en la Red Temática Criptored con documentos, noticias y calendario de eventos relacionados con seguridad dentro y fuera de España para todo el 2013.
DC Professional pone a disposición diferentes fechas y ubicaciones presenciales así como cursos online certificados a todos aquellos interesados en la gestión de salas técnicas y de Centros de Datos de pequeño, mediano y gran tamaño.
Cerca de 2000 profesionales (tanto de infraestructuras electromecánicas como de TI sólo en región LatAm y España) acudieron durante el pasado 2012 a estas formaciones profesonales que cubren los fundamentos básicos y avanzados necesarios para una gestión adecuada de infraestracturas críticas que ayude a reducir el tiempo de indisponibilidad de los servicios TI que sustentan las actividades fundamentales del negocio.
Cada vez más los negocios, la economía y otros campos, hacen que sus decisiones se basen más en datos y análisis, y menos en la experiencia o la intuición. Esa es la misión del Big Data. Sin olvidar las implicaciones en materia de protección de datos. Artículo muy completo de Jose Luis Colom
Documento de libre descarga comentado cláusula por cláusula que contiene tablas con referencias cruzadas entre ambos estándares que facilitan la migracion al nuevo estándar internacional.
Extraído de ‘The Route Map to Business Continuity Management: Meeting the Requirements of ISO 22301’ de John Sharp
Coincidiendo con la semana de concienciación en continuidad del negocio (BCAW2013) del 18 al 22 de Marzo. El documento tendrá un coste aproximado de 23EUR (gratuito para socios del BCI) y en idioma español, entre otros.
Durante la
BCAW2013 se desarrollarán diferentes actividades como juegos online BC24 y webminarios eLearning gratuitos (registro antes del 28 de Febrero), .
Los salarios de la mayoría de los profesionales de la seguridad de la información están creciendo más lentamente a medida que la presión sobre el gasto corporativo se mantiene.
Mandiant dijo que encontró ataques contra 141 entidades, principalmente en Estados Unidos, pero también en Canadá, Gran Bretaña y otros países. Afirmó que los atacantes robaron información sobre precios, negociaciones contractuales, fabricación, prueba de productos y adquisiciones corporativas.
Las operaciones TI vienen impulsadas por los cambios. Sin embargo, garantizar que los sistemas críticos de negocio se mantienen según lo esperado se convierte en una de sus mayores contribuciones a la empresa. Al mismo tiempo, esta función más crítica se basa en procesos y herramientas que han alcanzado sus límites.
La Escuela Universitaria de Informática de la Univesidad Politécnica de Madrid abre su ciclo de primavera 2013 con una conferencia sobre el sector industrial de los Data Center, su criticidad e impacto en las organizaciones con datos relevantes y reales de mercado y que incluyen la necesidad y oportunidad de empleo y desarrollo de nuevos profesionales cualificados en este sector.
DataCenterDynamics está reconocido como el evento de refencia en más de en el que los principales expertos de este ámbito comparten sus percepciones con los operadores de centros de datos de nivel superior de cada mercado.
Próximas fechas DCD en Latimoamérica y España ya disponibles.
El objeto de este informe es ofrecer un resumen de la evolución experimentada de la Red de Sensores de INTECO durante el pasado mes, analizar la situación actual de la red de sensores y resumir las incidencias destacadas en dicho periodo.
El informe incluye una recopilación de eventos destacados para los meses de Febrero y Marzo a nivel nacional e internacional.
Según el
Informe sobre las amenazas relacionadas con H2 propuesto por F-Secure las amenazas principales que caracterizaron el panorama de la seguridad eran botnets (por ejemplo ZeroAcess), exploits, en particular, contra la plataforma de desarrollo Java y troyanos bancarios (por ejemplo, Zeus).
El informe incluye un apartado de explicación de cada una de las amenazas y el ciclo completo del propósito y cómo se trata de conseguir la recompensa.
La Comisión Europea, junto con la Alta Representante de la Unión para Asuntos Exteriores y Política de Seguridad, ha publicado una estrategia de ciberseguridad acompañada de una
propuesta de Directiva de la Comisión sobre la seguridad de las redes y de la información (SRI).
El documento es una licencia para un solo usuario y para uso privado en un ordenador personal. En ningún caso, el archivo electrónico descargado dispone de licencia legal para ser copiado, transferido o colocado en una red de cualquier tipo sin la autorización del propietario del copyright.
El PCI Security Standards Council (PCI SSC) ha publicado el suplemento informativo PCI DSS Cloud Computing Guidelines Information Supplement, un producto del Cloud Special Interest Group (SIG).
Las empresas que implementan la tecnología de nube pueden utilizar este recurso como una guía para la elección de soluciones y terceros en la provisión de soluciones de la nube que le ayudarán a asegurar los datos de pago del cliente y el cumplimiento de PCI DSS.
Según los datos obtenidos del
informe anual Microsoft Computing Safety Index (MCSI) los usuarios siguen expuestos a riesgos en Internet fáciles de evitar con acciones sencillas como las actualizaciones de software, instalando un antivirus o protegiendo el PC con una contraseña o con un PIN en el caso del teléfono móvil.
La compañía con base en Redmond, Washington, es acusada de entregar a los usuarios chinos una versión de Skype con filtros de conversación, que son utilizados para rastrear y censurar los mensajes que “no son considerados para entrega”.
Después de finalizar el 2012 el equipo de Áudea Seguridad de la Información realiza un informe de algunos de los exitos y actividades realizadas durante el segundo semestre, plasmándolos en esta Revista junto a actividades previstas para el primer semestre del 2013.
Nuevas incorporaciones de las Guías de Seguridad, actualización de Magerit con la versión 3, el Esquema Nacional de Seguridad y los ataques dirigidos (APT) protagonistas de las VI Jornadas STIC CCN-CERT y acciones previstas para los próximos meses.
Esa es la predicción de RSA en un informe sobre Big Data en el que se indica que vamos a ver un impacto y cambio en la mayoría de categorías de productos en el sector de la seguridad de la información para el año 2015, incluyendo SIEM, monitoreo de red, la autenticación y autorización de usuarios, gestión de identidad, detección de fraudes, la gobernanza, riesgo y sistemas de cumplimiento.
Nueva lección 10 "Ataque por paradoja del cumpleaños", la última de este curso en la que se estudia otro de los ataques que pueden hacerse al algoritmo RSA.
Lección 16 de la Enciclopedia de la Seguridad de la Información con el título Videovigilancia LOPD, cuyo autor es D. Javier Sempere Samaniego de la Agencia de Protección de Datos de la Comunidad de Madrid.
Lección 17: "Datos Personales. Guía de Seguridad para Usuarios", cuya autora es Dña. María Goretti López Deltell de la Agencia de Protección de Datos de la Comunidad de Madrid APDCM.
La lucha contra el ciberdelito se sitúa como un objetivo estratégico además se intensificará la lucha contra el ciberterrorismo desarrollando una vigilancia digital que garantice la seguridad en el ciberespacio.
Se creará un Equipo de Respuesta ante Emergencias Informáticas Informática compuesto por expertos en seguridad cuya principal tarea será la prevención y la respuesta a ataques cibernéticos.
La Dirección General de la Policía está diseñando un nuevo sistema de “patrullaje inteligente” y la Policía pondrá especial énfasis en la seguridad económica para contribuir a superar la actual crisis. Las acciones humanitarias pasan a ser también un objetivo prioritario para la Policía Nacional.
Aprovechando el descenso de carga de trabajo por la temporada festiva hemos aprovechado para actualizar algunas referencias respecto a actualizaciones relevantes, ampliar las guías de referencia y publicaciones, introducir nuevos gráficos explicativos y diagramas de implantación de la norma en español, entre otros y variados cambios.
También hemos reprogramado las páginas para una validación positiva en W3C. Esto significa que todos los contenidos son ahora perfectamente visibles y sin distorsiones en una mayor variedad de navegadores y dispositivos como smartphones, tabletas, etc.
Os invitamos por tanto a actualizar los temporales de vuestros navegadores favoritos y revisitar todas las secciones de nuestra web en busca de las novedades, considerando que las secciones de Enlaces y Herramientas son las únicas que permanecen en fase de revisión y actualización en estos momentos (anunciaremos los cambios en su momento).
Desde
iso27000.es e
iso27002.es aprovechamos para agradeceros a todos por vuestras visitas e interés creciente en la seguridad de la información, especialmente a los que nos envían sus aportaciones y comentarios para mejorar los contenidos y/o compartir las actividades que se producen en el mundo de la seguridad y desde cualquier parte del mundo.
El gobierno está listo para lanzar una gran campaña para mejorar la educación relacionada con la seguridad online atendiendo a las reclamaciones para que, desde los más jóvenes (3 o 4 años y que ya utilizan disposiivos conectados a las redes) hasta las personas adultas más mayores (que piensan que gestinan adecuadamente el riesgo aunque no es así) dispongan de una comprensión mucho mayor para hacer frente del mejor modo a la creciente amenaza de la delincuencia informática en el Reino Unido.
La inversión en educación es donde se ha puesto la esperanza por parte del gobierno para mejorar la resistencia del Reino Unido ante las amenazas digitales, en un mundo que actualmente vive un escenario de 1,5 millones de personas víctimas cada día de delitos informáticos, según un informe reciente de Norton.
En base a un amplio estudio de más de 1.000 expertos de todo el mundo, el informe - ahora en su octava edición - sirve para orientar e informar a los responsables de la toma de decisiones y con consideraciones a diversos aspectos entre los que se encuentran los factores económicos entre otros y con cierto criterio en un mundo cada vez más complejo y en rápida evolución.
Los ladrones de la Red tienen un sueldo digno: pueden llegar a cobrar, como mínimo, más de 1.000 euros al mes.
Esta capacidad de generar dinero ha convertido a los ataques cibernéticos en una moda, sobre todo, con la fiebre social que han desatado los teléfonos inteligentes.
Como si el fenómeno bring-your-own-device (BYOD) no estuviera causando ya un dolor suficiente a los CIOs, seducidos por una fácil adquisición y rápida instalación de aplicaciones en la nube, los equipos de trabajo a modo individual así como divisiones de negocios están descubriendo e implementando sus propias soluciones en la nube como una solución a los problemas cotidianos.
Los empleados están aprovechando espacios disponibles en Google Drive, Dropbox y/o Box.com (entre otros) dando a sí mismos más que suficiente espacio para almacenar las ventas confidenciales de los clientes y otros datos de misión crítica fuera del firewall y control de la empresa.
Un estudio realizado a más de 700 organizaciones de 62 países, publicado por el Business Continuity Institute (BCI) en colaboración con BSI, revela la creciente preocupación de las empresas ante los ataques de la red y las posibles interrupciones que pueden provocar en la marcha de los negocios.
Inauguración formal del Centro Europeo del Ciberdelito (EC3, por sus siglas en inglés) en la sede de la Europol en La Haya.
Cecilia Malmstrom en calidad de comisionada europea de asuntos internos declaró que el Centro procurará reaccionar a los actos de grupos del crimen organizado que gozan de una “Era Dorada”, tal y como se puede consultar en el documento puesto a disposición por el propio EC3 con un
breve análisis de las amenazas e impactos de la ciberdelincuencia.
En paralelo a la revisión del estándar ISO/IEC 27001, la revisión del estándar ISO/IEC 27002 ha iniciado el pasado 16 de Enero su fase de borrador de estándar internacional.
Entre las novedades encontramos la propuesta de 14 cláusulas relacionadas con los controles de seguridad (en contraste con las 11 actuales) y que contienen 35 categorías y 113 controles (a diferencia de los 39 objetivos de control y 133 controles actuales).
Con fecha estimativa de publicación del 19 de Octubre de 2013, aquellos interesados en revisar el borrador de la nueva versión pueden acceder a su contenido e indicar comentarios (previo registro gratuito) en la
plataforma habilitada por BSI y hasta el próximo 23 de Marzo de 2013.
Esta norma europea en desarrollo con el título "Air Traffic Management. Information security for organisations supporting civil aviation operations" define los lineamientos y principios generales para la implantación de un sistema de gestión de seguridad en las organizaciones de prestan apoyo a las operaciones de aviación civil.
A los efectos de esta norma europea, la gestión del tráfico aéreo debe ser vista como una expresión funcional que cubre las responsabilidades de todos los participantes en la cadena de valor del tráfico aéreo. Esto incluye (aunque no se limita) a los usuarios del espacio aéreo, aeropuertos y proveedores de servicios de navegación. La base de los requisitos considerados de esta norma europea es la confianza y la cooperación entre las partes implicadas en la gestión del tráfico aéreo.
Aquellos interesados en revisar el borrador de este nuevo estándar pueden acceder a su contenido e indicar comentarios (previo registro gratuito) en la
plataforma habilitada por BSI y hasta el próximo 31 de Enero de 2013.
La revisión del estándar ISO/IEC 27001 ha iniciado el pasado 16 de Enero su fase de borrador de estándar internacional.
Entre las novedades que el lector se va a encontrar en un primer momento se encuentra la armonización del estándar respecto a las nuevas
directrices ISO de publicación y que ya han sido aplicadas en otros estándares que describen sistemas de gestión como
ISO 22301.
Con fecha estimativa de publicación del 19 de Octubre de 2013, aquellos interesados en revisar el borrador de la nueva versión pueden acceder a su contenido e indicar comentarios (previo registro gratuito) en la
plataforma habilitada por BSI y hasta el próximo 23 de Marzo de 2013.
Entre los cursos que ofrecen prestigiosas universidades (la mayoría estadounidenses) encontramos interesantes cursos relacionados con seguridad (criptografía, análisis de riesgos, programación, comercio eléctrónico, entre otros).
También se dispone de las primeras plataformas de aprendizaje en cursos MOOC en español.
El proyecto pionero a nivel internacional permite que el SEPRONA, Tráfico Atención al ciudadano y Delitos Telemáticos acrediten las comunicaciones de los ciudadanos a través de correo electrónico.
Tras enviar un mail, el interesado recibe en minutos un certificado de la operadora Lleida.net con todos los contenidos que ha notificado a los distintos servicios de la Guardia Civil, el cual tiene validez jurídica a efectos de acreditar la recepción.
Este nuevo sistema es un paso adelante en la campaña “A tu lado”, que permite realizar denuncias relacionadas con medio ambiente, tráfico y delitos en Internet, entre otros, a través de una aplicación del teléfono móvil.
El 2012 fue un año en el que la seguridad de las empresas tuvo que girar forzosamente alrededor de los datos e información sensible. A lo largo del año
distintas compañías y organizaciones reportaron haber sido víctimas de ciberataques, que en muchas ocasiones se consumaron de manera exitosa.
ISO/IEC 27000:2012 describe términos del vocabulario fundamental relacionado con los Sistemas de Gestión de Seguridad de la Información junto a los aspectos fundamentales de los requisitos establecidos para las actividades del PDCA.