La Comisión Europea ha publicado un texto provisional que establece una serie de principios rectores como la supervisión por parte de seres humanos y el respeto por la privacidad y la transparencia.

Entre otros artículos de interés, Thiber nos brinda el análisis e informes sobre ciberseguridad del pasado mes de Noviembre.

El Reglamento de Ciberseguridad, propuesto en 2017 como parte de un conjunto de medidas de amplio alcance destinadas a hacer frente a los ciberataques y reforzar la ciberseguridad en la UE

A cargo del Ministerio de Defensa, este centro deberá adoptar las normas y revisión detallada de las redes, sistemas y plataformas digitales de funcionamiento crítico.

Muchas organizaciones comerciales están trabajando arduamente para garantizar la seguridad y protección de la industria de la aviación. Este artículo cubre los estándares relacionados que pueden ayudar a mejorar el nivel de seguridad ante ciberataques.

Además de la familia de normas ISO/IEC 27000 para la gestión de servicios de TI y la serie de publicaciones horizontales IEC 62443 para redes industriales de comunicación y de IACS, una serie de comités técnicos (TC) y subcomités (SC) de IEC han desarrollado estándares y especificaciones técnicas (TSs) y Requisitos para sectores específicos.

Guía de libre descarga que organiza los temas de interés tratados durante 2018 en las publicaciones del blog de Center for Internet Security (cisecurity.org).

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales con entrada en vigor el 7 de diciembre de 2018 y que deroga el Real Decreto-ley 5/2018, de 27 de julio y, con las excepciones indicadas, la Ley Orgánica 15/1999.

La formación para 2019 incluye formación de preparación intensiva en buenas prácticas de continuidad para el examen de cualificación oficial del DRI en dos días.( BCP501) y para aquellos ya experimentados en la materia.

Solid es una plataforma en la que los usuarios almacenar sus datos personales en una especie de llavero USB online ("pod") que guarda toda la información del usuario de forma local, desde su identidad online hasta las fotos que él mismo suba de forma que tiene el control absoluto de su información.

Muchas son las voces que se han levantado en contra de la modificación de la Ley Orgánica del Régimen Electoral General (Loreg) que propone el texto del proyecto de la Ley Orgánica de Protección de Datos Personales (LOPD), con el que la legislación española se adapta al Reglamento General de Protección de Datos (RGPD).

Versión aciualizada de la anterior guía publicada en 2011 que introduce cambios clave en esta versión 2018 entre los que se incluye el enfoque basado y orientado al riesgo en la gestión del programa de auditoría y el desarrollo de las auditoías por encima de la verificación de los requisitos individuales en los sistemas de gestión":

Tercer número de THIBER DIGEST, la revista mensual del Think Tank en ciberseguridad y ciberdefensa con contenidos de interés y actualidad.

Publicación del Grupo de Trabajo de la Iniciativa Nacional para la Educación en Ciberseguridad (NIST), la guía describe lo que cada miembro de una organización debe hacer para protegerla de las amenazas cibernéticas, en función de los tipos de trabajo que realice cada individuo (liderazgo, ventas, marketing, comunicaciones, finanzas, instalaciones, infraestructuras, RRHH, administración, legal, ...)

El alcance de este documento son, inicialmente, desarrolladores que implementan productos o sistemas que tratan con información de identificación personal y desean someterse a una evaluación de seguridad de esos productos utilizando ISO/IEC 15408.

Acceso previo logon (registro libre) y desarrollado por el Comité de Visión para el Futuro de DRI, proporciona una perspectiva global y un análisis integral de las tendencias por parte de los profesionales de la resiliencia y los factores externos que la conforman.

EuroCloud Europe lanza el nuevo catálogo en criptografía centrado en la privacidad de datos técnicos y evaluaciones criptográficas.

Descubierta druante una auditoría, la instalación de microchips durante el ensamblaje por subcontratistas chinos afecta a cerca de 30 empresas estadounidenses, incluidas Amazon y Apple, según entrevistas extensas con fuentes gubernamentales y corporativas.

Análisis de los ciberconflictos en claves stratégicas y políticas, diferenciando de las activades del cibercrimen y enfocando el análisis hacia las guerras de la información y actividades de inteligencia de los estados..

Celebramos el cumpleaños de esta iniciativa con todos los 370.000 visitantes únicos anuales de nuestro portal y con la norma ISO 27001 en el tercer puesto mundial con más certificaciones tras ISO 14001 e ISO 9001.

El Centro de Ciberseguridad Industrial ha publicado un conjunto de requisitos del SGCI en base a los requisitos de los estándares ISO 27001 (controles ISO 27002) e IEC 62443 y el modelo de madurez del CCI.

KnowBe4 ha desarrollado un "Virtual Risk Officer" con capacidades de informes avanzadas como innovación para gestionar a los usuarios respecto a las amenazas típicas de ingeniería social.

Colaboración del U.S. Department of Homeland Security (DHS) con público y partners que ponen a disposición, entre otros, de un toolkit con enlaces y referencias a herramientas y eventos programados.

Acceso a la agenda organizada en la UE para actividades de formación y concienciación en Ciberseguridad.

La primera legislación de la UE en materia de ciberseguridad, la Directiva sobre seguridad de las redes y los sistemas de información (Directiva SRI), pasó a ser plenamente vinculante en mayo de este año.Horizonte Europa y el programa Europa Digital tienen asignados 2.000 millones de euros a la ciberseguridad.

Anota en tu calendario este 12 de Octubre de 2018 en el horario 9:00 a.m. - 10:00 a.m. CDT, para asistir al webinar educacional del DRI. DIR busca entregar beneficios a sus profesionales certificados y a la comunidad del DRI en general.

Actualiza la versión 2 publicada el 2011 y se adapta al esquema de publicación "Anexo SL" para los sistemas de gestión para una mejor integración con otros esquemas.

Revista mensual de ciberseguridad y ciberdefensa con contenidos de interés para el aprendizaje como, entre otros, los informes y análisis sobre ciberseguridad publicados en Agosto de 2018.

Se trata de un enfoque interesante que tiene el potencial de frenar bastante a los atacantes maliciosos

Publicada por la Unión Internacional de Telecomunicaciones, organismo de las Naciones Unidas, pretende ayudar a los países a desarrollar e implementar estrategias de ciberseguridad que incluyen la preparación cibernética y la capacidad de recuperación.

Publicado el informe actualizado de ISO sobre el úlitmo año 2017 con el mantenimiento del crecimiento mundial en un 19% para ISO 27001 pero también de otras certificaciones relacionadas como ISO 22301 (11%) y de ISO 28000 (39%) para la continuidad del negocio y cadena de suministro respectivamente.

Invitamos a todos los seguidores de ISO27000.es al próximo programa del 30 de Octubre en directo (22:00 a 24:00 hora peninsular España) y con acceso posterior de descarga del podcast.

Marco adaptable para proporcionar una implementación flexible y basada en el riesgo y que se puede utilizar con una amplia gama de procesos de gestión de riesgos de ciberseguridad como ISO 31000: 2009, ISO/IEC 27005:2011, NIST 800-39 y el Proceso de Gestión de Riesgo (RMP) de Ciberseguridad en el sector eléctrico.

Guía desarrollada y escrita en conjunto con CESG (autoridad técnica nacional para la seguridad de la información del gobierno del Reino Unido) para informar a los consumidores en los aspectos de seguridad de los diferentes teléfonos inteligentes, tabletas y computadoras portátiles.

Hasta el 80% de las brechas cibernéticas pueden tener su origen en las cadenas de suministro. Protegerlas es una prioridad absoluta.

Listado de simuladores VSA (Virtual Storage Appliances, SAN y NAS útiles para entornos de desarrollo y la gestión del cambio.

Crear un plan de recuperación de desastres (DRP) desde cero es una tarea desalentadora. Afortunadamente, hay ejemplos útiles como esta recopilación.

Descubierta por casualidad por Jens Steube (creador del open-source software) se puede atacar por fuerza bruta y en base al análisis de un único páquete. WPA3 no estaría expuesto a este tipo de ataque.

Actualización de la norma con las guías de ayuda para la gestión de riesgos en seguridad de la información en las organizaciones y alineada con la útima versión de ISO/IEC 27001:2013.

Una buena manera de garantizar que vamos a contar con una plantilla responsable en materia de ciberseguridad es establecer controles en los procesos de contratación y cese.

Es necesaria una estrategia integral que combine las mejores prácticas con pruebas y certificación como mejor forma de desarrollar la resiliencia cibernética.

Del 10 al 14 de Septiembre último curso oficial del año en Madrid para los interesados en la gestión de riesgos y en obtener reconocimiento internacional en esta materia

Del 10 al 14 de Septiembre último curso oficial del año en Madrid para los interesados en la gestión de riesgos y en obtener reconocimiento internacional en esta materia

Mtetodología para el análisis de seguridad de aplicaciones Web divididas y analizadas en cinco pasos principales: Obtención de información, planificación del análisis, detección de vulnerabilidades, test de penetración y realización de informes.

Guía promovida y coordinada por la AEPD e ISMS Fórum, con la participación de numerosos profesionales y expertos del sector.

"Azure Security and Compliance Blueprints" son recursos para ayudar a crear y lanzar aplicaciones basadas en la nube dentro del cumplimiento de la normativa y los estándares más estrictos en adminsitración pública, finanzas, sanidad, retail y/o privacidad entre otros marcos.

Esta norma es específica para la seguridad en aplicaciones informáticas y consistente en 7 partes. La parte 3 sobre el proceso de gestión de seguridad en aplicaciones y la parte 7 como marco predictivo de en la seguridad son de primera versión de publicación.

Cloud ya estuvo en el punto de mira de la última administración EEUU con la iniciativa "Cloud First" y en 2018 se acelara su adopción poniendo en marcha un primer conjunto de protocolos estandarizados de seguridad para Cloud gubernamentales.

Para permanecer completamente operacionales, las entidades del Sector de Energía deberían ser capaces de identificar, controlar y monitorear todos los activos. Este proyecto proporcionará orientación sobre cómo mejorar la gestión de activos.

Crear un plan de recuperación de desastres desde cero es una tarea desalentadora. Afortunadamente, hay ejemplos de libre acceso como punto de partida.

Los riesgos ambientales y la ciberseguridad son dos de las principales preocupaciones y amenazas del mundo en 2018, según el Informe de Riesgos Globales 2018 que elabora anualmente el Foro Económico Mundial en colaboración con diversas compañías.

Este documento proporciona recomendaciones sobre los tipos de procesos de autenticación, incluidas las opciones de autenticadores, que se pueden usar en varios niveles de autentificación del autenticador (AAL). También proporciona recomendaciones sobre el ciclo de vida de los autenticadores, incluida la revocación en caso de pérdida o robo

La gestión del riesgo es una prioridad en todos los sectores, desde la cadena de suministro hasta la ciberseguridad. Los profesionales en este campo deben estar al frente para realizar evaluaciones de riesgos, reducir las vulnerabilidades de la organización, seleccionar controles de riesgos rentables y obtener la aprobación de la alta gerencia.

Los colegas de negocios, no la organización de TI, deben definir la matriz de priorización de incidentes como ejercicio reflexivo y resuelto que produzca resultados que cumplan con los requisitos del negocio, impulse la satisfacción del usuario final y permita que TI tenga éxito en la gestión de un incidente.

Agrupados en tres categorías se indican los errores en el desarrollo que exponen al software de manera más crítica junto a posibles soluciones.

"Center for Strategic & International Studies" pone a disposición en su página web de todos los incidentes importantes en ciberseguridad (agencias gubernamentales, defensa, compañías TIC, pérdidas económicas) que se han producido desde 2006.

Las guías del Center for Internet Security establecen una configuración efectiva y auditable en difererntes sistemas como Microsoft Windows (XP a Wiwdows 10), Windows server (2003-2016), LINUX (Debian, Ubuntu, CentOS...), Apple, IBM, Oracle, VMware, Tomcat, SQL server, Kubernetes, Azure, ....

Revisión de la versión 2018 del estándar ISO 31000 para la gestión de riesgos junto a comentarios del uso de esta guía por parte de los profesionales en materia de riesgos y alineamiento con Anexo SL de estándares ISO.

Artículo con enlace a White Paper Edge intelligence de libre acceso con tendencias relacionadas en las áreas de computación en la nube, redes móviles, IoT, entre otros.

En el traslado de datos a la nube la seguridad no se debe dar por hecho según el tercer informe anual sobre seguridad en la nube de la firma de seguridad cibernética McAfee.

Evaluación inicial online del riesgo de seguridad de tu negocio en función de cómo utilizas la tecnología: correo electrónico, página web, tabletas, smartphones, etc.Así sabrás por dónde empezar a mejorar.

Una violación de la seguridad puede pasar inadvertida durante semanas incluso teniendo logs registrados en el servidor debido a la alta cantidad de información almacenada en el servidor. Ante la ausencia de productos SIEM se pueden aplicar medidas efectivas en estos aspectos.

Del 28 de Mayo al 01 de Junio próximas fechas en España para realizar el curso y examen oficial del DRI, instituto con el mayor número de profesionales certificados (+15 000) en Continuidad de Negocio a nivel internacional.

Todos los incidentes son importantes pero algunos más que otros. El modo en que la departamento de TI puede determinar la importancia relativa de un incidente es mediante el uso de una matriz de priorización de incidentes.

La empresa de ciberseguridad Endgame ha publicado un gran conjunto de datos de código abierto llamado EMBER y un software de IA que puede ser entrenado con ese conjunto de datos para ayudar a los programas automatizados de ciberseguridad a mantenerse al día.

WebStresser permitía contratar ataques de denegación de servicio distribuida (DDoS) contra cualquier sitio web indicada (principales usuarios localiados en Holanda, Italia, España, Croacia, el Reino Unido, Australia, Canadá y Hong Kong) a cambio una suscrpción mensual disponible desde 15 euros.

Ante la cercanía de las fechas para la adaptación y las promociones "low-cost" de consultoría/auditoría remota (algunas de ellas mediante colegios profesionales) recordamos la nota ya publicada por la Agencia de Protección de Datos indicando que las auditorías de cumplimiento no se pueden, bajo ninguna excusa llevar a cabo por medios remotos (correo electrónico, teléfono, etc),

Información esquemática y herramientas sobre cómo cubrir los requisitos y necesidades de los diferentes marcos (ISO 27001, PCI DSS v3) y actividades en seguridad (forensics, web testing, cifrado, ...)

Las organizaciones de todo el mundo se ven obligadas a cumplir con las nuevas y amplias normas de protección de datos de la UE si llegan a los ciudadanos de la UE con cualquier tipo de información, contenido o servicio on line.


Los ferrocarriles y los sistemas de metro han sido objeto de una serie de ciberataques en los últimos años y es probable que el problema empeore comprometiendo la seguridad de las personas.

Dirigido a instalaciones del sector eléctrico, gasístico y petrolífero para permanecer completamente operacionales siendo capaces de identificar, controlar y monitorear de manera efectiva sus activos tecnológicos operacionales.

Informe Verizon con tres factores clave: aumento en el uso de aplicaciones en la nube, pérdida de control en aplicaciones por parte de TI y los empleados están volviendo a los hábitos de contraseñas débiles por lo incómodo de su gestión.

El informe sobre 500 CIOs y responsables de TI muestra que el 81% ha experimentado un incidente de seguridad relacionado con redes Wifi y un 57% en la sospecha de trabajdores hackeados o utilizados para lanzarr incidentes de seguridad en el último año, entre otras consideraciones relevantes.

El informe realkzado por el Ponemon Institute en base a encuestas de 5200 profesionales de 12 países de distintas regiones a nivel mundial muestra la evolución en los últimos 13 años en la aplicación de técnicas de cifrado en las orgnizaiciones.

Guía publicada en inglés por la oficina federal alemana para la seguridad de la información con cirterios de evaluación de proveedores de servicios Cloud.

El aumento en la complejidad de los sistemas TIC proporciona a los atacantes una amplia variedad de oportunidades en el espionaje y/o sabotaje de procesos administrativos y de negocio o el enriquecimiento a costa del esfuerzo de otros.

Proporciona pautas para la prueba de identidad de una persona. Especifica niveles de pruebas de identidad y requisitos para alcanzar estos niveles.

Artículo de CIO sobre cómo desarrollar una política integral de teletrabajo para mitigar posibles responsabilidades.

Artículo de Áudea que explica cómo gestionar la seguridad con proveedores en base a ISO/IEC 27018 de seguridad en cloud como facilitador del cumplimiento del Reglamento General de Protección de Datos, en adelante RGPD.


El análisis en incidientes de seguridad hasta el 3T de 2017 indica que, aunque el número de incidentes continúa creciendo, las organizaciones tienen muchas oportunidades para prevenir y evitar en todos los niveles y funciones de trabajo

Del 28 de Mayo al 01 de Junio próximas fechas en España para realizar el curso y examen oficial del DRI, instituto con el mayor número de profesionales certificados (+15 000) en Continuidad de Negocio a nivel internacional.

Artículo en el que se aplican herramientas de código abierto y referencias entre las que se incluyen 27037:2016, ISO/IEC 27037:2016.

Caídas en las acciones de cerca el 7% en una jornada y posibles multas multimillonarias por aportar información de 50 millones de usuarios de Facebook en EEUU a la consultora Cambridge Analytica con el objetivo de predecir las decisiones e influir en los votantes.

Dragos realiza un seguimiento de cinco actores que han atacado directamente a sistemas industriales o que han mostrado interés en recopilar información sobre este tipo de sistemas.

Tras el reciente anuncio de un nuevo Centro Internacional para la Ciberseguridad, el Foro Económico Mundial (WEF) lanza esta nueva iniciativa centrada en las Fintech. Entre los miembros fundadores del nuevo consorcio están Citigroup, Zurich Insurance Group, el prestamista fintech Kabbage y el proveedor de infraestructura financiera DTCC.

Los THIBER REPORTS son un nuevo formato documental desarrollado por THIBER que analizan cuestiones de relevancia y actualidad sobre seguridad y defensa del ciberespacio.

Si hasta ahora el Ransomware solía tener motivaciones exclusivamente económicas produciendo altos beneficios para los atacantes, últimamente está ampliando objetivos como método preferente de introducción de malware tal y como vimos con el ransomware NotPetya.

Primera edición para proporcionar orientación sobre cómo aprovechar las normas existentes en un marco de ciberseguridad

Quinta edición de los términos y definiciones habitualmente utilizados en los sistemas de gestión de la seguridad de la información entre otros estándares. Está disponible para descarga sin coste en inglés y francés.

La Agencia Española de Protección de Datos (AEPD) ha presentado la Guía de Análisis de Riesgo y la Guía de Evaluación de Impacto en la Protección de Datos en un acto celebrado con asociaciones empresariales de los sectores de la banca, energía, gran consumo, seguros, publicidad y turismo, entre otros, y representantes de las Administraciones Públicas.

Documento de ISACA de libre acceso en castellano y en inglés sobre las evaluaciones del impacto en Protección de Datos de la nueva RGPD.

Tras el análisis por los investigadores de Kasperksy, concluyeron que un atacante que conozca las credenciales hardcodeadas tendría acceso a apagar todos los sistemas de provisionamiento, cambiar los precios de los productos, robar dinero a través de la terminal de pago, obtener información de las licencias de los vehículos y sus dueños, bloquear la estación a cambio de un rescate, entre otras acciones.

Los problemas de seguridad relacionados con la utilización de este tipo de software deriva en la facilidad de filtrar información y la complejidad de establecer medidas de control sobre la información que sale a través de estas aplicaciones.

“4000 nuevos servidores, 45,000 nuevos PCs, 2500 aplicaciones”: El coste de no mantener actualizados los sistemas:TI para una de las muchas empresas afectadas.

Las soluciones de gestión de identidad (IAM) a menudo no ofrecen resultados porque las organizaciones no desarrollan un mapa de datos por adelantado como parte de sus requisitos y diseño.

La falta de políticas de seguridad en la nube pone en riesgo el 60 por ciento de los datos. Resultados de muestreo de 94.577 profesionales de seguridad TI de los Estados Unidos, el Reino Unido, Australia, Alemania, Francia, Japón, India y Brasil que están familiarizados e involucrados en el uso de sus recursos en nube tanto pública como privada.

Kane Gamble usó métodos de ingeniería social para hacerse pasar por el director de la CIA, John Brennan, y obtener acceso no autorizado a cuentas extremadamente sensibles relacionadas con operaciones militares y de inteligencia en Afganistán e Irán.

Los autores de malware están evolucionando tan rápido como los proveedores de antivirus y seguridad. Aquí hay algunos ejemplos de cómo se implementaron técnicas evasivas en ataques que han llegado a ser titular de prensa.

El correo electrónico además de una herramienta para el intercambio de mensajes y ficheros, sigue siendo una de las principales vías de infección por virus y malware, así como el elemento en la que se establece un primer contacto para intentar perpetrar multitud de fraudes.

Según un informe del pasado Enero de IDC, entre los obstáculos para poder hacerlo están la limitación de recursos (49%), la ausencia de presupuesto para ello (46%) y la falta de conocimientos sobre cómo realizar el proyecto para lograrlo (42%).

El informe publicado por el Business Continuity Institute (BCI) en colaboración con British Standards Institution (BSI), muestra que el 86% de las organizaciones que han tenido planes de continuidad comercial en funcionamiento durante cinco años o más declararon que aumentarán o mantendrán su inversión en la continuidad del negocio, lo que ha hecho aumentar la demanda de certificación de la norma ISO 22301.

Esta guía sobre regulación en servicios financieros proporciona un resumen completo de las regulaciones aplicables a los bancos y otras compañías de servicios financieros en 41 jurisdicciones de todo el mundo y reúne el conocimiento colectivo y la experiencia de más de 700 abogados de banca y finanzas en la red global de Baker McKenzie.

El daño a la reputación o la marca, el delito cibernético, el riesgo político y el terrorismo son algunos de los riesgos que las organizaciones privadas y públicas de todo tipo y tamaño en todo el mundo deben enfrentar con cada vez mayor frecuencia. La última versión de ISO 31000 acaba de ser presentada para ayudar a manejar la incertidumbre.

Institutos de auditores internos de siete países europeos identifican ocho áreas principales donde la privacidad y la ciberseguridad son dos factores destacados.

Referencias oficiales desde INCIBE sobre uno de los problemas de seguridad de mayor afectación en los últimos años.

En un momento en el que Europa está haciendo un esfuerzo por adaptarse al nuevo Reglamento Europeo de Protección de Datos (RGPD), una norma consensuada en los últimos años y con cerca de 4.000 enmiendas que pretende homogeneizar la privacidad en el Viejo Continente, conviene saber qué puede pasar en Latinoamérica, donde la privacidad también importa cada vez más.

Revisión de enlaces
14/January/2018
Iniciamos el presente año con una renovación de todos los enlaces disponibles desde nuestras páginas de modo que algunos se han actualizado y se han eliminado las referencias más desactualizadas introduciendo otras nuevas según el caso.

Incluso cuando las vulnerabilidades quedan expuestas y se producen ataques dañinos, hay pocas repercusiones duraderas. Casi sin excepción, los precios de las acciones se recuperan, los clientes vuelven, los ejecutivos mantienen sus trabajos o salen con paracaídas dorados, mientras el gobierno mira hacia otro lado.

Concientizar va más allá que dar un curso de inducción o pegar anuncios en todo el edificio y la realidad es que la mayoría se queda en capacitar y educar. ¿Por que? Pues por que concientizar es llegar al elemento más sensible del ser humano.

Enlace desde el DHS ICS-CERT al documento de buenas prácticas recomendadas por el Centro nacional de ciberseguridad y comunicaciones (NCCIC) que añadkmos a la sección 12.2 de nuestro apartado ISO 27002. Es interesante por todos los problemas actuales de no poder envíar actualizaciones automáticas a los sistemas que no tienen una clave de registro AV actualizada en ciertos entornos.

Esta edición amplía su alcance y colaboración con la participación de los capítulos Español, Peruano y Argentino y el capítulo de Madrid de ISACA, y con el estreno de los capítulos Chileno, Boliviano, Brasileño y Colombiano de Cloud Security Alliance.

Análisis de la publicación del proyecto abierto de seguridad en aplicaciones Web OWASP en el que los ataques de inyección vuelven a ser el mayor riesgo de seguridad, al igual que en las dos ediciones anteriores de 2013, y 2010.

Desde 2017 será recordado como el año de Wannacry en España y otros países del mundo, pero también por filtraciones como la de Equifax o el exploit en Apache Struts que la provocó

Herramienta que no requiere de software adicional y que añadimos a las referencias del dominio 13 de ISO 27002.

Desde el pasado mes de octubre está publicada y lista para su libre descarga con actualizaciones y mejoras que lo hacen aún más útil. Los tipos de métricas, la orientación sobre cómo usarlos, los niveles de madurez y las prácticas de gestión ahora están mejor documentados y son más fáciles de usar.

Matriz con el mapeo de los estándares internacionales más reconocidos en seguridad (Cobit, ISA 62443, ISO/IEC 27001:2013, NIST SP 800) respecto un marco para la identificación, protección, detección y respuesta relacionado con las infraestructuras críticas.

La entrevista expone los riesgos de la seguridad en la redes eléctricas y la ayuda que supone el uso de la serie de estándares ISO 27000 (como ISO 27002 o ISO 27019), Common Criteria, serie IEC 62443, entre otros.

El pasado mes de Diciembre se llevó a cabo el primer Día de la Continuidad del Negocio en la instalaciones del Banco Nacional de Costa Rica con el objetivo de crear conciencia con partes interesadas del banco, así como otros miembros del sector financiero, sector privado y otras empresas.

Un desastre puede golpear la infraestructura TI de su empresa en cualquier momento. Las pequeñas empresas necesitan un plan de recuperación de desastres para evitar catástrofes y tiempos de inactividad.

Publicadas las nuevas fechas de los cursos oficiales de preparación y exámenes del DRI en gestión de la continuidad de negocio y gestión de riesgos. DRI es una organización profesional sin ánimo de lucro con más de 13.000 profesionales certificados en más de 95 países. El número de profesionales certificados por el DRI supera el total de profesionales del resto de organizaciones para este sector.

Presentada cada una mediante videos individuales y desde un punto de vista algo distinto a otras predicciones.

Este proyecto, que se desarrolla en el marco del Esquema Nacional de Seguridad Industrial (ENSI), dispone de 46 métricas agrupadas jerárquicamente por distintos entornos tecnológicos a proteger, diferenciando entre entornos de Tecnologías de la Información (TI) y entornos de Tecnologías de la Operación (TO), también conocido bajo otros nombres como tecnología industrial, SCADA o ICS.

La Estrategia actual, que cuenta con el informe favorable del Consejo de Seguridad Nacional de 1 de diciembre de 2017, profundiza en los conceptos y las líneas de acción definidas en 2013, y avanza en la adaptación de dicha Política y de los instrumentos y recursos del Estado que la conforman ante un entorno de seguridad en cambio constante.

Esta ley transpone al Ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

El Estudio ha sido desarrollado por ISMS Forum y el capítulo español de Cloud Security Alliance, en colaboración con Cloud Security Alliance Perú, Argentina, Chile, Bolivia, Brasil y Colombia, e ISACA Madrid.

En los detalles del estudio se observa un 18 por ciento que todavía usa un registro en papel para administrar cuentas privilegiadas y un sorprendente 36 por ciento está usando hojas de cálculo igualmente inadecuadas.

La ciberseguridad y el cumplimiento normativo son dos materias clave para intentar evitar los efectos adversos de la innovación tecnológica y para asegurar la protección de los datos de carácter personal.

Tiene como objetivo establecer el estado de la seguridad IoT en Europa. Sirve como punto de referencia en este campo y como base para futuras iniciativas y desarrollos relevantes.

Dentro de las actividades desarrolladas el pasado mes de Octubre destacamos esta curiosa recopilación de vídeos e imágenes que pueden servir de apoyo a presentaciones, formación y/o programas de concienciación.

Explica por qué es necesario probar diferentes soluciones antimalware y proporciona los detalles sobre cómo puedes hacerlo de manera efectiva y segura las soluciones antimalware en su propio entorno además de indicaciones preventivas.

Estudio realizado por Accenture y Ponemon Institute apunta a un incremento del 22,7% en un sólo año y presenta detalles por países, tamaños de empresa, costes por tipo de ataque, incremento en los tipos de ataque, entre otras variables de interés.

Se indica mediante un video explicativo el uso de un exploit DDE y medidas para desactivar su posible ejecución en las aplicaciones MS Office.

Proporciona una guía basada en ISO/IEC 27002: 2013 aplicada a los sistemas de control de procesos (p.ej. PLCs) utilizados por la industria de la energía para controlar y monitorear la producción o generación, transmisión, almacenamiento y distribución de energía eléctrica, gas, petróleo y calor y para el control de los procesos de soporte asociados. También incluye un requisito para adaptar los procesos de evaluación y tratamiento de riesgos descritos en ISO/IEC 27001:2013 a la orientación específica del sector de servicios de energía.

Sexto estudio anual de PwC en base a entrevistas de miembros de consejos de administración, nivel "C" de decisión y de alta dirección de todas las regiones del mundo.

Lynis es una de las herramientas de auditoría automatizadas más fiables para la administración de parches de software, escaneo de malware y detección de vulnerabilidades en sistemas basados en Unix/Linux. Da soporte a los auditores de cumplimiento de esquemas como Basilea II, GLBA, HIPAA, PCI DSS y SOX (Sarbanes-Oxley), entre otros.

El objetivo de la publicación de ISMS Forum Spain y AGERS es disponer de una guía/diccionario básico que permita conocer a personas no expertas a que riesgos nos enfrentamos y qué medidas contamos para prevenirlos.

Es una de las 10 predicciones para los próximos años publicadas por Gardner com aspectos que suponen nuevas amenazas pero también posibles necesidades y oportunidades de negocio analizados en detalle, varios de ellos relacionados con la seguridad de la información.

La norma describe y explica el conjunto mínimo de atributos esenciales del control de seguridad en las aplicaciones y detalla las actividades y roles del Modelo de Referencia de la Seguridad en el Ciclo de Vida de la Aplicación (ASLCRM).

DRI: Taller BIA online
13/November/2017
Organizado por DRI International y con media jornada de duración se celebrará el próximo 12 de Diciembre. Este taller está basado en la nueva versión 2017 de las Prácticas Profesionales del DRI Internacional.

Sólo superadas por el esquema ISO 50001, el incremento del 21% de certificaciones en ISO/IEC 27001 un 63% de certificaciones en ISO 20000-1 y el 23$ de ISO 22301 son las que más subida registrran en el último año.

ISO/IEC 27007 proporciona una orientación sobre la gestión de un programa de auditoría del sistema de gestión de seguridad de la información (SGSI), en la realización de auditorías y la competencia de los auditores del SGSI, adicionalmente a la orientación fundamnental contenida en ISO 19011:2011.

El Borrador de Norma Internacional (DIS, por sus siglas en inglés) de ISO/IEC 20000-1 ha sido publicado siguiendo el formato de Anexo SL de estándares como ISO 22301, ISO/IEC 27001, ISO/IEC 9001 o ISO(IEC 14001. Es en este estadio,se puede revisar el borrador y hacer comentarios por parte de empresas, partes interesadas y particulares.

El plazo para la aplicación de la nueva ley de protección de datos entra en su tramo final y las empresas que ya tienen implantado un SGSI tienen buena parte del trabajo hecho. Esta comparativa permite revisar los aspectos relevantes para evitar que no se apliquen requisitos necesarios de manera inadvertida.

Primero Harvey, seguido de Irma y María, y ahora conocimos a Nate… el planeta nos está hablando y debemos escuchar.

Workshop online de Hack2Secure sobre los 10 principales riesgos en seguridad Web de OWASP (2013 y propuesta RC1: 2017) que enfrentan las organizaciones. Estas sesiones gratuitas sirven de guía en la toma de conciencia de las consecuencias pero también cómo aplicar análisis de riesgos y técnicas de protección relacionadas.

Informe anual de la firma Acunetix en base a una muestra aleatoria de 11600 sites escaneados sobre brechas de seguridad de alta y media gravedad en aplicaciones web, así como en datos de seguridad en la red interna. Los resultados nuevamente confirmaron este año que las aplicaciones Web suponen un gran vector de ataque, viable y de bajo nivel de entrada para los atacantes.

Este Código publicado por Institution of Engineering and Technology (UK) proporciona un marco de gestión que puede utilizarse para reducir el riesgo de incidentes que puedan afectar la seguridad del buque, a su tripulación, pasajeros o carga.

El riesgo operacional resume los riesgos a los que una empresa se expone cuando intenta operar dentro de un campo o industria determinados. El riesgo operacional es el riesgo no inherente al riesgo financiero, sistemático o de mercado. Es el riesgo que queda después de determinar el riesgo financiero y sistemático, e incluye los riesgos derivados de los desgloses en los procedimientos internos, las personas y los sistemas.

Uno de los mayores problemas que solemos tener con nuestro smartphone es el robo o pérdida del mismo, y esto nos supone, por un lado el coste de reposición del dispositivo y por otro, la pérdida de la información almacenada en el dispositivo y fuga de datos, personas desconocidas podrán acceder a dicha información si no teníamos implementadas unas medidas de seguridad preventivas en el teléfono.

El incidente reportado por The Wall Street Journal apunta al uso del software de Kaspersky como modo de acceder a herramientas avanzadas de espionaje e inflitración en redes telmáticas almacenadas en el ordenador personal de un empleado subcontratado por la NSA.

Enlace que agrupa las diferentes iniciativas que la Agencia Española de Protección de Datos ha puesto en marcha sobre el RGPD, de forma que ciudadanos y organizaciones puedan localizar con mayor facilidad materiales de utilidad en relación a la nueva normativa.

El objetivo principal de esta Guía complemento de “CCN-STIC-802 Esquema Nacional de Seguridad – Guía de auditoría”, es servir tanto de itinerario, como de registro, a aquella persona designada como auditor de los requisitos del ENS.

La AEPD e ISMS Forum Spain publican este documento como punto de partida de referencia práctica para asesorar a aquellas entidades que estén desarrollando o tengan previsto implementar proyectos de este tipo y en consideración al nuevo Reglamento Europeo de Protección de Datos aplicable el 25 de mayo de 2018.

En el presente documento se examina el papel de COBIT® 5 en el establecimiento de un marco para la gobernanza, las conexiones entre COBIT 5 y el cumplimiento los requerimientos de GDPR, y consejos claves y sugerencias para los esfuerzos de implementación para GDPR usando COBIT 5.

La Fábrica de Pensamiento del IAI España aporta un interesante documento sobre el papel del Asesor y la figura del Auditor Interno como aporte de valor dentro de la organización, promoviendo la mejora continua de los Sistemas de control y gestión de riesgos.

Artículo de Sonia Morales en redseguridad.com sobre el nuevo Reglamento Europeo de Protección de Datos (GDPR, General Data Protection Regulation), que entrará en vigor el 25 de mayo 2018 y el requisito de nombramiento de un DPO para la mayoría de las organizaciones.

European Compliance & News
07/September/2017
Revista para los profesionales del Compliance editada por la Asociación Europea de Abogados y Economistas en Compliance

Ciertas funcionalidades añadidas a la propia navegación pueden convertirse en útiles herramientas que aporten funcionalidades extra pero algunas de ellas también podrían incorporar funcionalidades maliciosas sin que lo sepamos.

Los contenedores de aplicaciones están encontrando lentamente adopción en las infraestructuras TI de las empresas. Este borrador considera aspectos de seguridad relacionados con estas plataformas y específicamente al documento "NIST Special Publication 800-190 (2nd Draft), Application Container Security Guide",

El 10 de Octubre de 2017 en el horario 14:00 - 15:00 CDT, Mariana Quirós (Directora de Continuidad de Negocio en Copa Airlines) nos guiará a través de la innovación, el soporte de la Alta Administración, la gestión del cambio, entre otros, como aspectos fundamentales en la implementación exitosa de Programas de Continuidad de Negocio, alineado a las Prácticas Profesionales del DRI Internacional.

Deadline PCI DSS 3.2
07/September/2017
PCI Data Security Standard versión 3.2 se publicó en Abirl de 2016 y el 1 de Febrero de 2018 pasa de mejores prácticas a plena vigencia.

La interpretadción de los controles de seguridad para entornos financieros no será actualizada en relación a las novedades de la norma ISO/IEC 27002:2013 aunque seguirá disponible para su adquisición por parte de los interesados.

El único requisito para participar en este curso es poseer conocimientos básicos de uso de las tecnologías en el día a día en una empresa. Además, cada alumno podrá elegir cuándo, dónde y cómo realizar el curso.

Las víctima del Ransomware disponen de dos herramientas más aportadas por empresas de segurudad para la recuperación gratuita de los datos.

Chloe Demrovsky se ha incorporado al cargo de Presidente y CEO del DRI Internacional, a partir del 1 de julio de 2017.

Según informa Bloomberg, el hacker aprovechó la identidad digital de Goransson para solicitar un préstamo de una cantidad que no ha sido revelada, tras la cual se presentó una solicitud de bancarrota a su nombre.

Publicada la Guía CCN-STIC 836. Guía de seguridad en VPN del Esquema Nacional de Seguridad.

Nuevo capítulo de la serie #MundoHacker, con varias de las estrategias habituales para obtener información crítica de la víctima, ganar su confianza, y luego tomar el control de los sistemas informáticos donde están almacenados los datos que de verdad nos interesan.

La AEPD se convierte así en la primera Autoridad europea que realiza un Esquema de certificación de Delegados de Protección de Datos (DPD) aunque la certificación no es la única vía para ser DPD y en ningún caso será obligatorio utilizar un determinado esquema,.

Repositorios de información y bases de datos de vulnerabilidades principalmente de EEUU.pero de alcance de uso más amplio.

Buscadores que proporcionan información de la Deep Web que no se puede obtener en Google y Bing y con diferentes grados y aspectos de privacidad.

La empresa responde por el ciberdelito de sus empleados si no ha adoptado las medidas de prevención necesarias.

Sólo el 17 por ciento de las grandes empresas en España tienen articulados procedimientos técnicos sobre brechas de seguridad y el 25 por ciento de las empresas españolas continúan utilizando Windows XP, según datos del Centro de Ciberseguridad Industrial.

En un momento en que los sitios web falsos engañan a las Autoridades de Certificación confirmando Certificados SSL, merece la pena revisar los signos para identificar sitios falsos y permanecer lejos del robo de información valiosa.

Es fácil imaginar que la amenaza más grande para una empresa es externa. Un reciente reporte de Haystax Technology descubrió que el 74% de las organizaciones se siente “vulnerable a amenazas internas” y que el 56% de los profesionales de seguridad está seguro de que estas “se han vuelto más frecuentes” en el último año.

La Agencia Española de Protección de Datos (AEPD) e ISMS Forum Spain han editado conjuntamente este código de buenas prácticas en colaboración con empresas y profesionales independientes,y con referencia al nuevo Reglamento Europeo de Protección de Datos aplicable el 25 de mayo de 2018.

¿Cuáles son los adecuados Key Risk Indicators (KRIs) y los Key Performance Indicators (KPIs) que deberíamos medir, monitorear, reportar y usar como desencadenantes de acciones?

Revisón de siete casos en los que, a pesar de aplicar controles de seguridad para el cifrado de información, los errores humanos son un factor significativo en los incidentes de seguridad.

De acuerdo a un estudio realizado por expertos en seguridad [PDF], estos discos duros son al menos vulnerables a dos ataques.

13 aspectos prácticos que garantizan que la configuración del correo es segura ante los ataques más frecuentes.

Según una encuesta realizada por Osterman Research, los riesgos cibernéticos son una prioridad similar a los financieros, regulatorios y legales. Más de la mitad de los miembros de la junta directiva declara que los puestos ejecutivos de TI y de la seguridad perderán sus puestos de trabajo por no proporcionar información útil y relevante.

Una visión de la privacidad de datos en diferentes partes del mundo y la forma en que la transformación digital está permitiendo una nueva legislación.

Selecciona el sector al que pertenece tu empresa para acceder a los aspectos personalizados en cibersguridad.

Revisión menor y actualización de la guía de implantación de un SGSI alineada con la norma ISO/IEC 27001:2013.

Ransomware, fallos eléctricos, .... el informe anual realizado por ISO muestra el incremento del 78% en el número de certificaciones en continuidad de negocio (ISO 22301) y del 20% en ISO 27001 ocupando el primer y el tercer puesto de mayor crecimiento en un único año.

El rápido aumento refleja la creciente demanda de formación y certificación en profesionales de la continuidad de negocio a nivel mundial.

El rápido aumento refleja la creciente demanda de formación y certificación en profesionales de la continuidad de negocio a nivel mundial.

Por primera vez en los seis años de historia del informe, la amenaza de incertidumbre en torno a la introducción de nuevas leyes y regulaciones ha entrado en la lista de las diez principales preocupaciones de continuidad de negocio en el Horizon Scan Report.

Una respuesta es políticamente correcta y otra es la correcta.

OWASP Top 10 se centra en reconocer los peligros más reales para un amplio grupo de ataques.

Con estos retos de libre acceso del INCIBE, se entrenan las capacidades para afrontar los ataques o incidentes de seguridad y ejercitar la toma de decisiones y las medidas adecuadas.

La Jornada Internacional de Seguridad de la Información se celebrará el próximo 11 de mayo en el Círculo de Bellas Artes de Madrid, en C/Alcalá 42.

Este post demuestra como utilizando una combinación básica de lenguajes de scripting y herramientas de cifrado, un ransomware como el LovxCrypt puede ser fácilmente escrito y se espera que más de este tipo salga próximamente.

Este post cubre algunos conceptos erróneos acerca de la ciberseguridad. Hay muchos mitos más pero una comprensión precisa de estos 10 es esencial para adoptar una postura adecuada como individuo, negocio, o gobierno.

La tipología de fraude interno que más ha aumentado (casi un 60% con respecto al año anterior) es el relacionado con la fuga de información de carácter confidencial.

Presentación con registro gratuito del CIP Institute y sus actividades durante una sesión de trabajo, presentando la 4ª Conferencia Internacional de Lisboa el 16 de junio de 2017 bajo el título: Managing Crisis Today: Insights on dealing with complexity.

Prueba de concepto de Google donde se dejaron 297 dispositivos, el 98% cambio de ubicación, del 45% se abrieron ficheros y la primera conexión se registró en menos de 6 minutos.

Aumento del 357% en ataques el año pasado sólo hace falta darse una vuelta con Shodan para obtener un listado de sistemas vulnerables, incluída su ubicación GPS.

Con tu cuenta MyDRI puedes acceder a todas las presentaciones de la conferencia 2017 desde el apartado Resources

Las pruebas de caja negra, es una técnica de pruebas de software en la cual la funcionalidad se verifica sin tomar en cuenta la estructura interna de código, detalles de implementación o escenarios de ejecución internos en el software.

Hoy apenas somos conscientes de hasta qué punto, algoritmos (procedimientos de decisión automatizada) deciden de manera automatizada cada vez más aspectos relevantes..

Responsabilidad penal de las empresas ante delitos informáticos, cometidos por empleados o directivos.

Hoy en día, la correcta gestión y protección de la información de una organización es un asunto de máxima relevancia. La disponibilidad de los datos es hoy tan importante como disponer de un buen cashflow.

Riesgos, tendencias y retos que elabora el propio Foro Económico Mundial.

Estafa de cinco millones de Euros a cuatro empresas de Sevilla suplantando la personalidad de directivos de empresas y ordenar a trabajadores del departamento de gestión económica de la compañía que hagan transferencias bancarias mediante el uso de ingeniería social o hackeando el correo electrónico del directivo.

DRI: Nuevas fechas 2017
20/February/2017
Disponibles las nuevas fechas de formación del DRI para 2017 en la web oficial para cursos en España.

En 2016 han aumentado los ataques contra los sistemas de información nacionales, siguiendo la tendencia alcista internacional.

Esta sección, que se actualizará progresivamente, agrupa las diferentes iniciativas que la Agencia Española de Protección de Datos ha puesto en marcha sobre el RGPD, de forma que ciudadanos y organizaciones puedan localizar con mayor facilidad materiales de utilidad en relación a la nueva normativa.

La constante interrupción del programa de ciberseguridad de la Casa Blanca por el nuevo presidente ha llevado a "la frustración y a la burla por igual" de los expertos en seguridad porque Trump queda más expuesto y vulnerable a los hackers, según su opinión.

Informe que aporta una visión de las interdependencias en las redes de comunicaciones en entornos industriales con recomendaciones de buenas prácticas y medidas de seguridad.

INCIBE pone a su disposición un kit de autodiagnóstico especialmente diseñado para ayudar a la empresa a evaluar su estado de ciberseguridad y, así, poder mejorar su nivel de protección frente a posibles riesgos y amenazas.

El número 31 del newsletter de Qualiwork incluye varios artículos sobre la norma internacional y la seguridad de la información.

La primera de las cinco partes publicadas, especifica los requisitos y métricas para un proceso de ciclo de vida realizados por un proveedor de servicios TI que cubre procesos de negocio en base a la tecnología y de modo externalizado.

"75.000 personas publicaron fotos de sus billetes de avión en Instagram en las últimas dos semanas", dice Nohl.. Con ttu PNR se tiene acceso a todos los datos personales que te ha pedido la aerolínea, incluyendo tu correo (goloso para phishing), tu número de pasaporte o DNI, tu dirección física, los lugares en los que vas a estar durante tu viaje, tu tarjeta de crédito (con su fecha de caducidad) y tu dirección IP, si compraste el vuelo online.

Interesante referencia que permite distinguir el grado de exposición de los productos, su evolución a lo largo de los años asi como la importancia de mantener actualizado el software en producción.

Si estás afectado por ransomare no pagues el rescate y contacta con el centro de respuesta a incidentes, CERTSI para mitigar los efectos del incidente y saber cómo actuar mediante el servicio de análisis y descifrado de ficheros afectados por algunos tipos de ransomware en determinadas condiciones.