Próximos eventos en los que estaré presente

octubre 31, 2010 § Deja un comentario

Noviembre se caracteriza por ser un mes de mucha actividad en lo referido a eventos ya que el 30 de este mes se “festeja” el Día Internacional de la Seguridad de la Información.

Por eso este mes estaré prácticamente sin días libre en este será mi calendario por si alguien está lo suficientemente desocupado como para tener interés en oírme:

Ante todo, este calendario siempre está en la sección de eventos de seguridad.

Del 1 al 5 de nov. estaré en las jornadas de la Policía Federal Argentina desarrollando el tema de amenazas informáticas y realizando algunas demostraciones sobre las mismas (con inscripción previa en la PFA).

El 6 y 7 de noviembre estaré en Cordoba (Arg.) en la 2da jornada de Civilización Digital, disertando de la seguridad en la web 2.0 (gratuito).

El 9 de noviembre a las 18.30 estaré presente en la Universidad Nacional Tecnológica UTN (regional Medrano) de CABA explicando diferentes alternativas del desarrollo seguro de aplicaciones (gratuito).

El 18 y 19 daré un curso de especialización en seguridad de la información en Buenos Aires pero organizado por la empresa Liderazgo desde Ecuador. Para asistir, desde Ecuador habrá un paquete turístico y de educación que traerá y llevará a los asistentes desde su país.
La información la pueden encontrar en aquí: http://www.liderazgo.com.ec/congresos/seguridad-informatica/

El 26 y 27 estaré en el evento 10 años de Habeas Data en Argentina festejando dicho suceso y con una interesante agenda y temario sobre legislación y seguridad (gratuito).

El último día de noviembre estaré viajando a Tucumán a la I Jornada de Auditoría, Seguridad y Peritaje Informático – JASEP-IT, organizado por graduados de la Universidad Tecnológica Nacional (regional Tucumán).

Finalmente cerrando el año (creo) el 9 de diciembre estaré presente en el primer evento de OWASP en Uruguay en la Universidad ORT (gratuito).

Cristian de la Redacción de Segu-Info

Anuncios

Material de concientización en seguridad de Microsoft

octubre 31, 2010 § 1 comentario

Microsoft reconoce que la Concientización y el aprendizaje en seguridad de la información es fundamental para la estrategia de seguridad de la información de cualquier organización y sus operaciones de seguridad asociadas. Las personas son en muchos casos la última línea de defensa frente a amenazas tales como código malintencionado, empleados descontentos y terceros malintencionados.
Por lo tanto, es preciso educar a los usuarios en lo que su organización considera un comportamiento apropiado y consciente de la seguridad, y también acerca de qué prácticas recomendadas de seguridad es necesario adoptar en la actividad laboral diaria. Se ha reunido este kit para proporcionar orientación, muestras y plantillas para crear un programa de Concientización en seguridad.

  • Guía de desarrollo del programa de Concientización en seguridad
  • Materiales de muestra sobre Concientización
  • Material de aprendizaje de muestra
  • Plantilla de muestra

Descargas guías Material del programa de Concientización en seguridad (120 MB).

Fuente: Microsoft

Dominios que valen millones y el papel de NIC.ar

octubre 31, 2010 § Deja un comentario

La palabra sexo vende, y mucho. Es con esta idea en la cabeza con la que debe entenderse la decisión de Clover Holdings, una empresa establecida en el antiguo paraíso fiscal del caribeño Saint Vicent, de comprar el dominio sex.com por nada más y nada menos que US$ 13 millones.

La noticia se conoció esta semana y volvió a poner sobre el tapete el funcionamiento del comercio de dominios, y qué es lo que ofrece un dominio genérico a una marca: tráfico asegurado en Internet, o sea, más negocios. Pero también revitalizó el oscuro mundo de los ciberokupas , aquellos que se aprovechan de las grietas en el sistema que pone el nombre a las URL (Localizador Uniforme de Recursos, en español) para hacer dinero.

Según un artículo publicado en el diario español El País , hoy existen cerca de 90 millones de dominios puntocom, pero son pocos los que son cortos, sin números y fáciles de recordar, algo así como la Biblia de un dominio ganador. Juegos.com, el más caro en castellano, fue vendido en 2006 por US$ 10 millones. El dominio más lujoso de la historia era insure.com, por el que se había pagado el año pasado 11,4 millones de dólares.

“Es importante para una empresa tener un dominio relacionado a su trabajo o nicho porque existe el usuario type-in , que es aquel que escribe lanacion.com y le pone enter o el que busca ?porno´ y escribe sex.com. Eso se traduce en mucho tráfico casi gratis”, señaló Mariano Amartino, consultor y autor del blog Uberbin.net.

Un ejemplo a nivel mundial de cómo funciona esta industria es sedo.com, un sitio dedicado a unir a compradores y vendedores de dominios. Su volumen de transferencias alcanza los US$ 8 millones por mes, tiene cerca de 1,4 millones de usuarios y 13,5 millones de dominios en su base de datos. Vende unos 3000 cada 30 días. ¿Cómo funciona la industria del dominio en la Argentina? El registro de nombres de dominio es gratis, de la misma forma que las presentaciones para oponerse a un registro existente por usurpación. Además de ser gratuito, ningún trámite en nic.ar (que depende de Cancillería) necesita de un gestor. “Se supone que es de buena fe, y que se basa en un interés legítimo de parte del que registra”, aseguró Gustavo Soliño, coordinador del organismo. “El modelo nació en el país pensando en posicionar el dominio .ar, y se logró. Mientras que en España de cada 100 dominios 50 son .es, y 50 genéricos, en la Argentina de cada 100 dominios 96 son .ar. Esto se logró gracias a la gratuidad. Y si bien tuvo como efecto adverso la ciberocupación , la normativa fue de a poco combatiendo este flagelo,”, agregó.

La posesión de dominios no está exenta de fraudes, como el del ciberokupa, que obtiene el dominio con el nombre de una marca o con uno que se asocia claramente a la misma con el único objeto de vendérselo a sus dueños, muchas veces con modos que rozan la extorsión. Soliño señala que desde 2009, a partir de la aplicación de la resolución 654/09, nic.ar amplió la protección de nombres de dominio. Hasta ese momento sólo se protegían los nombres de dominio que se correspondían con personas físicas o jurídicas de notoriedad pública.

Con la nueva normativa se protegen marcas, nombres de canciones (Sadaic), inscripciones en IGJ, AFIP y todos los registros oficiales. También los nombres de las personas físicas”, contó.

Como ejemplo de esto último, agregó que en México una presentación para recuperar un nombre de una marca tarda aproximadamente seis meses y cuesta más de US$ 1500, mientras que en el país lleva cerca de un mes y es gratis. “Simplemente se necesita completar las notas que están en la página de NIC.AR y adjuntar la documentación probatoria certificada”, señaló.

Actualmente, en la Argentina hay más de 2.200.000 nombres registrados, lo que la convierte en registro más grande de América latina. La venta de dominios no está prohibida pero si restringida por la anteriormente citada resolución 654/09 y por el límite que se estableció en 2008, por el que una misma persona no puede tener más de 200 dominios registrados.

“Es una derecho precario, no permanente”, indicó Daniel Monastersky abogado especialista en derechos de las nuevas tecnologías del estudio Techlaw. No obstante, aclaró que “en la balanza pesa más la marca que el dominio, lo que significa que si alguien registra una marca con mala fe y fines de lucro es probable que se le revoque la titularidad y se le transfiera al verdadero dueño”.

Monastersky, especialista en prevención de fraude y dueño del sitio Identidad Robada, advirtió que esto ya está se está replicando en las redes sociales. Como ejemplo, citó el caso de un usuario de Twitter que abrió la cuenta @israel, la que, con posterioridad, fue vendida, sin que trascendiera el monto, al gobierno de ese país.

Hoy por hoy se reciben cerca de 100 presentaciones por mes de personas que presentan una oposición a un nombre de dominio registrado en la Argentina. Entre esas surgieron los casos de Carlos Reutemann, Federico Pinedo o la Fundación Fortabat.

“Con la próxima implementación del nuevo sistema de registro se impulsará además una medida por la que no se podrán renovar nombres de dominio que no estén hospedados, es decir, que los sitios estén activos”, adelantó Soliño.

“El NIC.AR se maneja con una inutilidad extrema”, criticó Amartino. Con la idea de que debe ser gratuito el sistema tiene tantas fallas que no se puede creer”, dijo.

“Hay abusos gigantescos de personas con 60.000 dominios a su nombre (o de terceros), que sólo registran “a lo animal” con scripts [programas diseñados para eso] y que luego revenden a empresas o particulares que buscan su propio apellido, el nombre de su firma o incluso palabras genéricas; y todo gratis, o sea, que se depende de un sistema que es malo por su propia ineficacia”, señaló el consultor.

Fuente: La Nación

Guía de continuidad de tu negocio para PyMEs

octubre 31, 2010 § Deja un comentario

En los últimos años hemos sido espectadores de una serie de sucesos que sin duda han quedado fijos en nuestra retina. El incendio de la Torre Windsor en Madrid (12/02/2005), los graves cortes de luz y carreteras en Tenerife (febrero 2010) o el temporal de nieve de Cataluña (marzo 2010) son algunos ejemplos. Con ello, queremos reflexionar sobre la cierta posibilidad de que ocurran incidentes y que estos incidentes afecten a nuestro negocio.

Continuando con uno de los casos anteriormente citados, la Torre Windsor contaba con un sistema de seguridad según la normativa vigente, pero no contaba con un sistema de control contra incendios. Las consecuencias, varias empresas con sus actividades paralizadas y procesos judiciales entre empresas y aseguradoras por la responsabilidad civil derivada, que ascendería a más de 180 millones de euros. Por tanto, a raíz de este suceso, parece que una planificación más ajustada a las características reales del edificio podría haber evitado, o por lo menos, aminorado su efecto.

Con la Guía práctica para PYMES: cómo implantar un Plan de Continuidad de Negocio, queremos poner a disposición de todas las organizaciones, y especialmente aquellas empresas de menor tamaño y con menos medios a su alcance, una hoja de ruta para que puedan diseñar, implantar y mejorar una estrategia de continuidad de negocio válida para su realidad concreta.

Esta Guía ha sido elaborada por INTECO en colaboración con Deloitte, en el marco de un proyecto de investigación sobre el nivel de adopción de planes de continuidad de negocio entre las pymes españolas, cuyos resultados se publicarán en el mes de noviembre. A través de los canales del Observatorio os tendremos puntualmente informados.

Ejemplares de esta Guía en formato papel, están a disposición del público en los stands que tanto INTECO como Deloitte han instalado en ENISE4, el Encuentro Internacional de Seguridad de la Información en su edición de 2010, que durante estos días se está celebrando en León, y que os venimos comentando a través del Blog del Observatorio.

Fuente: INTECO

Publicado Boletín 160 – 30/10/2010

octubre 30, 2010 § Deja un comentario

Boletín 160 – 30/10/2010

  1. Memorias de Vive ForoS! (1 de 2)
  2. El factor gente y la Seguridad de la Información
  3. Desafío informático de Vive ForoS!
  4. Segu-Info busca autores
  5. Apoya a Segu-Kids, Juntos en la Red

Leer Boletín

Correcta utilización del DNI Electrónico

octubre 30, 2010 § Deja un comentario

Cada vez son más las personas que poseen el DNI Electrónico, y por ello desde Ontinet.com, dentro del apartado consejos de seguridad, hace tiempo que pusimos nuestro granito de arena mostrando las características físicas y electrónicas del DNIe y además indicando una serie de recomendaciones para su uso.

http://www.dnielectronico.es/oficina_prensa/animaciones/060216/caracteris_dnie.swf
Esta semana, el Instituto Nacional de Tecnologías de la Comunicación (INTECO), junto con Anova IT, han publicado un documento muy completo en el que se explican detalladamente las posibilidades que nos ofrece y las ventajas respecto a la seguridad de utilizar el DNI Electrónico. Pueden acceder a dicho documento pulsando aquí.

Los aspectos a destacar que se muestran en el documento son los siguientes:

  • Hardware y software necesario para el correcto funcionamiento del DNI electrónico, mostrando los enlaces de descarga del software para su descarga.
  • Como acceder a un sistema con el DNI electrónico e identificación a través de PIN.
  • Funcionamiento de certificados y firma electrónica.

Aunque el DNI Electrónico es un método muy seguro, escribimos en su día que existen todavía, a día de hoy, algunos riesgos tales como que la privacidad pueda ser vulnerada o que el software para utilizarlo pueda estar manipulado, por ello desde el departamento técnico de ESET en Ontinet.com, aconsejamos aplicar los consejos respecto a seguridad indicados tanto en el documento como en nuestra página web.

Fuente: Ontinet

Otra vulnerabilidad en Adobe Reader y Flash

octubre 30, 2010 § Deja un comentario

Adobe confirmó que otra vulnerabilidad “crítica” sin parchear de día cero que afecta a Adobe Flash Player, Reader y Acrobat está siendo explotada.

El fallo, que podría causar un accidente o permitir a un atacante tomar el control de un sistema afectado, está siendo explotado activamente contra Adobe Reader y Adobe Acrobat, según Adobe. La compañía no tiene conocimiento de que esté siendo explotado en Flash.

La vulnerabilidad existe tanto en las aplicaciones para Windows, como en Mac OS X y sistemas operativos basados en Unix.

Adobe está desarrollando una solución para la vulnerabilidad y espera proporcionar una actualización para Flash el 9 de noviembre y para Reader y Adobe Acrobat durante la semana del 15 de noviembre.
 
Fuente: Blog Antivirus

¿Dónde estoy?

Actualmente estás viendo los archivos para octubre, 2010 en Seguridad Informática.