Resumen de Seguridad en el 2007 (por Segu-Info)
diciembre 31st, 2007 § 2 comentarios
Este Blog ofrece una inmensa cantidad de información actualizada, y que mejor manera de terminar el año que con un raconto sobre lo más importante que nos ha deparado la Seguridad en 2007.
Debido a la gran cantidad de noticias publicadas, hemos decidido dividir el año en dos y para facilitar la lectura, hemos categorizado las noticias en los siguientes temas (semejantes a las categorías del Blog).
- Awareness
- Ataques y vulnerabilidades
- Censura
- Comunidades online
- Criptografía
- Espionaje y cibertaques
- Eventos
- Guías y métricas
- Incidentes y fugas de información
- Ingeniería Social
- Legislación
- Licencias
- Los meses de…
- Malware
- Pasaportes, documentos, facturas y votos electrónicos
- Piratería
- Pornografía y pedofilia
- Privacidad
- Redes P2P
- Seguridad Física
- Sistemas Operativos
- Spam
- Standares, políticas y gestión de la seguridad
- Tecnología y Hacking
Esperamos que disfruten este viaje al pasado reciente, que ha significado hacer un recorrido por más de 1.500 noticias publicadas durante estos 12 meses de 2007.
En la próxima entrega, recorreremos la segunda mitad del año.
Leer Resumen de Seguridad en el 2007
cfb
Publicado el Boletín 103 de Segu-Info
diciembre 31st, 2007 § Dejar un comentario
Boletín 103 – 30/12/2007
Los temas tratados son:
1. Resumen de Seguridad en el 2007
2. Salarios en Certificaciones TI en el 2007
3. Las 10 principales brechas de seguridad en 2007
Resumen de Seguridad en el 2007 (por Segu-Info)
diciembre 30th, 2007 § Dejar un comentario
Este Blog ofrece una inmensa cantidad de información actualizada, y que mejor manera de terminar el año que con un raconto sobre lo más importante que nos ha deparado la Seguridad en 2007.
Debido a la gran cantidad de noticias publicadas, hemos decidido dividir el año en dos y para facilitar la lectura, hemos categorizado las noticias en los siguientes temas (semejantes a las categorías del Blog).
- Awareness
- Ataques y vulnerabilidades
- Censura
- Comunidades online
- Criptografía
- Espionaje y cibertaques
- Eventos
- Guías y métricas
- Incidentes y fugas de información
- Ingeniería Social
- Legislación
- Licencias
- Los meses de…
- Malware
- Pasaportes, documentos, facturas y votos electrónicos
- Piratería
- Pornografía y pedofilia
- Privacidad
- Redes P2P
- Seguridad Física
- Sistemas Operativos
- Spam
- Standares, políticas y gestión de la seguridad
- Tecnología y Hacking
Esperamos que disfruten este viaje al pasado reciente, que ha significado hacer un recorrido por más de 1.500 noticias publicadas durante estos 12 meses de 2007.
En la próxima entrega, recorreremos la segunda mitad del año.
Leer Resumen de Seguridad en el 2007
cfb
Publicado el Boletín 103 de Segu-Info
diciembre 30th, 2007 § Dejar un comentario
Boletín 103 – 30/12/2007
Los temas tratados son:
1. Resumen de Seguridad en el 2007
2. Salarios en Certificaciones TI en el 2007
3. Las 10 principales brechas de seguridad en 2007
Actualización de los Feed de Segu-Info
diciembre 30th, 2007 § Dejar un comentario
Me hubiera gustado comenzar el año con pocos feed para leer pero no pudo ser, así que por lo pronto Uds podrán leer lo mismo que leemos los que hacemos Segu-Info, todo disponible, como siempre, en este archivo OPML (ojo son muchas cosas para leer).
Lo único que deben hacer es descargarlo e importarlo en su lector de feed favorito. Que lo disfruten.
Si eso no es suficiente, recuerden que también se encuentra disponible este buscador de Segu-Info con más de 200 sitios referidos a seguridad de la información.
cfb
Auditoria de Seguridad en las empresas
diciembre 30th, 2007 § Dejar un comentario
La información es el activo mas importante para las empresas, lo cual se puede confirmar si consideramos el hecho de la perdida de información critica, y la post recuperación con la cual la entidad podría retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario. Por este motivo la información adquiere una gran importancia para la empresa moderna debido a su poder estratétigo y a que se invierten grandes cantidades de dinero en tiempo de proporcionar un buen sistema de información para tener una mayor productividad.
La importancia en que radica auditoria de sistemas en las organizaciones son:
- Se puede difundir y utilizar resultados o información errónea si los datos son inexactos o los mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones, tomas de decisiones o la imagen de la empresa.
- Las computa, servidores y centros de base de datos se han convertido en blanco para fraudes, espionaje, delincuencia y terrorismo informático.
- La continuidad de las operación, administración y organización de la empresa no debe permanecer en un sistema mal diseñado, ya que podría convenirse en un serio peligro para la empresa.
- Existen grandes posibilidades de robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.
- Mala imagen e insatisfacción de los usuarios porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en un lapso razonable, es decir, el usuario percibirá que está abandonado y desatendido permanentemente, esto dará una mala imagen de la organización.
- En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas o desviaciones presupuestarias significativas.
- Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad.
- Mantener la continuidad del servicio, la elaboración y la actualización de los planes de contingencia para lograr este objetivo.
- El inadecuado uso de la computadora para usos ajenos a la organización que puede llegar a producir problemas de infiltración, borrado de información y un mal rendimiento.
- Las comunicaciones es el principal medio de negocio de las organizaciones, una débil administración y seguridad podría lograr una mala imagen, retraso de negocios, falta de confianza para los clientes y una mala expectativa para la producción.
La Auditoria de la Seguridad Informática en la informática abarca el concepto de seguridad física y lógica. La seguridad física se refiere a la protección de hardware y los soportes de datos, así también como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.
Por su parte la seguridad lógica se refiere a la seguridad del uso de software, protección de la información, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la información.
El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus.
En la auditoria para aplicaciones de internet se produce una verificación de los siguientes aspectos:
- Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia.
- Evaluación de vulnerabilidades y arquitectura de seguridad implementada.
- Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.
Metodología de trabajo de Auditoria
El método del auditor pasa por las siguientes etapas:
- Alcances y Objetivos de la Auditoria Informática.
- Estudio inicial del entorno auditable.
- Determinación de los recursos necesarios para realizar la auditoria.
- Elaboración de Plan y de los Programas de trabajo.
- Actividades propiamente dichas de la auditoria.
- Confección y elaboración del informe final.
Como he dicho antes las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría sobrevivir. Para esta razón, es necesario que las organizaciones mantengan a sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos.
La privacidad de las redes es un factor muy importante ya que las empresas se sienten amenazadas por el crimen informático. El mantener una red segura fortalece la confianza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan día a día.
Por lo cual el auditor o consultor informático ayuda a mantener la privacidad de las redes, trabajando en los siguientes factores: Disponibilidad – Autentificación – Integridad – Confidencialidad
Es preciso tener en cuenta todos los factores que puedan amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son:
- Interceptación de las comunicaciones.
- Acceso no autorizado a ordenadores o Redes de ordenadores
- Perturbación de las redes.
- Ejecución de programas que modifiquen o dañen los datos.
- Declaración falsa.
- Accidentes no provocados.
- Robo de datos.
- Infiltración de datos críticos.
Los beneficios de un sistema de seguridad son:
- Aumento de la productividad
- Aumento de la motivación del personal
- Compromiso con la misión de la compañía
- Mejoras de las relaciones laborales
- Mejoras del rendimiento
- Mayor profesionalismo
- Ayuda a formar equipos competentes
- Mejora los climas laborares de los RR.HH
Desarrollar un sistema de seguridad significa “planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa”.
Etapas para implementar un sistema de seguridad
- Introducir el tema de seguridad en la visión de la empresa.
- Definir los procesos de flujo de la información y sus riesgos en cuento a todos los recursos participantes.
- Capacitar a los gerentes y directivos, contemplando el enfoque global.
- Designar y capacitar supervisores de área.
- Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras en menor tiempo.
- Mejorar las comunicaciones internas
- Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel
- Capacitar a todos los trabajadores en los elementos de seguridad básica, riesgo de manejo de software y seguridad física.
Fuente: http://sectestlabs.blogspot.com/
Actualización de los Feed de Segu-Info
diciembre 30th, 2007 § Dejar un comentario
Me hubiera gustado comenzar el año con pocos feed para leer pero no pudo ser, así que por lo pronto Uds podrán leer lo mismo que leemos los que hacemos Segu-Info, todo disponible, como siempre, en este archivo OPML (ojo son muchas cosas para leer).
Lo único que deben hacer es descargarlo e importarlo en su lector de feed favorito. Que lo disfruten.
Si eso no es suficiente, recuerden que también se encuentra disponible este buscador de Segu-Info con más de 200 sitios referidos a seguridad de la información.
cfb
Entrevista a Bruce Schneier
diciembre 30th, 2007 § Dejar un comentario
Hace unas semanas se realizó una interesante entrevista en el blog de Freakonomics del New York Times a Bruce Schneier, que como muchos de vosotros sabréis, es un profesional muy respetado en diversos ámbitos que tiene una visión global de la seguridad, y por supuesto, sus propias ideas alrededor de todo lo que tiene que ver con la seguridad: pasado, presente y futuro (hace poco comentamos su visita a España en el ISMS Forum).
A: That’s a tall order, and of course the answer to your question is that it can’t be done. Crime has been part of our society since our species invented society, and it’s not going away anytime soon. The real question is, “Why is there so much crime and hacking on the Internet, and why isn’t anyone doing anything about it?”
The answer is in the economics of Internet vulnerabilities and attacks: the organizations that are in the position to mitigate the risks aren’t responsible for the risks. This is an externality, and if you want to fix the problem you need to address it. In this essay (more here), I recommend liabilities; companies need to be liable for the effects of their software flaws. A related problem is that the Internet security market is a lemon’s market (discussed here), but there are strategies for dealing with that, too.
A: Not very. Of course there is a security risk here, but I think it’s overblown. And I definitely think the risk of cyberterrorism is overblown (for more on this, see here, as well as this essay on cyberwar).
- Cyberwar: el incidente de Estonia, China, etc.
- Cyberterrorism: cualquier ataque de grupos terrorista a infraestucturas mediante el uso de redes de comunicaciones
- Cybercrime: fraude, DDoS, lo que más se puede apreciar
- Cybervandalism: web defacement, también bastante visible
A: I run an open wireless network at home. There’s no password, and there’s no encryption. Honestly, I think it’s just polite. Why should I care if someone on the block steals wireless access from me? When my wireless router broke last month, I used a neighbor’s access until I replaced it.
Fuente: http://blog.s21sec.com/2007/12/bruce-schneier.html
Auditoria de Seguridad en las empresas
diciembre 30th, 2007 § Dejar un comentario
La información es el activo mas importante para las empresas, lo cual se puede confirmar si consideramos el hecho de la perdida de información critica, y la post recuperación con la cual la entidad podría retomar sus operaciones normales en un menor tiempo, que si ocurre lo contrario. Por este motivo la información adquiere una gran importancia para la empresa moderna debido a su poder estratétigo y a que se invierten grandes cantidades de dinero en tiempo de proporcionar un buen sistema de información para tener una mayor productividad.
La importancia en que radica auditoria de sistemas en las organizaciones son:
- Se puede difundir y utilizar resultados o información errónea si los datos son inexactos o los mismos son manipulados, lo cual abre la posibilidad de que afecte seriamente las operaciones, tomas de decisiones o la imagen de la empresa.
- Las computa, servidores y centros de base de datos se han convertido en blanco para fraudes, espionaje, delincuencia y terrorismo informático.
- La continuidad de las operación, administración y organización de la empresa no debe permanecer en un sistema mal diseñado, ya que podría convenirse en un serio peligro para la empresa.
- Existen grandes posibilidades de robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos.
- Mala imagen e insatisfacción de los usuarios porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en un lapso razonable, es decir, el usuario percibirá que está abandonado y desatendido permanentemente, esto dará una mala imagen de la organización.
- En el Departamento de Sistemas se observa un incremento de costos, inversiones injustificadas o desviaciones presupuestarias significativas.
- Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad.
- Mantener la continuidad del servicio, la elaboración y la actualización de los planes de contingencia para lograr este objetivo.
- El inadecuado uso de la computadora para usos ajenos a la organización que puede llegar a producir problemas de infiltración, borrado de información y un mal rendimiento.
- Las comunicaciones es el principal medio de negocio de las organizaciones, una débil administración y seguridad podría lograr una mala imagen, retraso de negocios, falta de confianza para los clientes y una mala expectativa para la producción.
La Auditoria de la Seguridad Informática en la informática abarca el concepto de seguridad física y lógica. La seguridad física se refiere a la protección de hardware y los soportes de datos, así también como la seguridad del los edificios y las instalaciones que lo albergan. Esto mismo contempla situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc.
Por su parte la seguridad lógica se refiere a la seguridad del uso de software, protección de la información, procesos y programas, así como el acceso ordenado y autorizado de los usuarios a la información.
El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus.
En la auditoria para aplicaciones de internet se produce una verificación de los siguientes aspectos:
- Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia.
- Evaluación de vulnerabilidades y arquitectura de seguridad implementada.
- Verificar la confidencialidad e integridad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers.
Metodología de trabajo de Auditoria
El método del auditor pasa por las siguientes etapas:
- Alcances y Objetivos de la Auditoria Informática.
- Estudio inicial del entorno auditable.
- Determinación de los recursos necesarios para realizar la auditoria.
- Elaboración de Plan y de los Programas de trabajo.
- Actividades propiamente dichas de la auditoria.
- Confección y elaboración del informe final.
Como he dicho antes las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría sobrevivir. Para esta razón, es necesario que las organizaciones mantengan a sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos.
La privacidad de las redes es un factor muy importante ya que las empresas se sienten amenazadas por el crimen informático. El mantener una red segura fortalece la confianza entre los clientes de la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos que acechan día a día.
Por lo cual el auditor o consultor informático ayuda a mantener la privacidad de las redes, trabajando en los siguientes factores: Disponibilidad – Autentificación – Integridad – Confidencialidad
Es preciso tener en cuenta todos los factores que puedan amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son:
- Interceptación de las comunicaciones.
- Acceso no autorizado a ordenadores o Redes de ordenadores
- Perturbación de las redes.
- Ejecución de programas que modifiquen o dañen los datos.
- Declaración falsa.
- Accidentes no provocados.
- Robo de datos.
- Infiltración de datos críticos.
Los beneficios de un sistema de seguridad son:
- Aumento de la productividad
- Aumento de la motivación del personal
- Compromiso con la misión de la compañía
- Mejoras de las relaciones laborales
- Mejoras del rendimiento
- Mayor profesionalismo
- Ayuda a formar equipos competentes
- Mejora los climas laborares de los RR.HH
Desarrollar un sistema de seguridad significa “planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa”.
Etapas para implementar un sistema de seguridad
- Introducir el tema de seguridad en la visión de la empresa.
- Definir los procesos de flujo de la información y sus riesgos en cuento a todos los recursos participantes.
- Capacitar a los gerentes y directivos, contemplando el enfoque global.
- Designar y capacitar supervisores de área.
- Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras en menor tiempo.
- Mejorar las comunicaciones internas
- Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel
- Capacitar a todos los trabajadores en los elementos de seguridad básica, riesgo de manejo de software y seguridad física.
Fuente: http://sectestlabs.blogspot.com/
10 predicciones tecnológicas para 2008
diciembre 30th, 2007 § Dejar un comentario
Desde The Inquirer UK, nos traen sus predicciones para el nuevo año, asegurando que “algunas incluso podrían convertirse en realidad”.
10. Un nuevo jefe para AMD y quizá un nuevo dueño, en un año horrible para la compañía, con desplome bursátil y pérdida de parte de su reputación.
9. Avances en conectividad móvil web 3G/HSDPA/HSUPA, aunque quizá no lo suficiente para competir con Wi-Fi.
8. La computación verde o ecológica no avanzará sustancialmente en 2008.
7. La muerte del iPod o los dispositivos exclusivos para música a favor de soluciones integradas como los smartphones.
6. Portátiles con Sideshow: soluciones que integran en la carcasa externa una pequeña pantalla con un sistema operativo independiente.
5. Cloud Computing o “Internet en las nubes” no llegará a despegar, como sistema de ejecución de aplicaciones en el navegador a nivel empresarial a pesar de los esfuerzos de Red-Hat y a pesar de la apuesta de Google con Apps.
4. La música con DRM desaparecerá y más con el reciente anuncio de Warner Music de liberar su catálogo libre del nefasto sistema de protección.
3. El uso de Internet seguirá en ascenso. Nada nuevo bajo el sol, Imparable.
2. M&A se ralentizará. Oracle e IBM ya han obtenido lo que buscaban en el software empresarial. RIM no se venderá a Microsoft. Las adquisiciones como en este año caótico no se repetirán en 2008 quizá con desaceleración económica de por medio, aunque puede haber sorpresas.
1. La virtualización no se incorporará al escritorio. Se sobreestiman sus posibilidades.
Fuente: http://www.theinquirer.es/2007/12/29/10_predicciones_para_2008.html
