(ISC)2 presenta CCFP, nueva certificación en informática forense

junio 18, 2013 § Deja un comentario

(ISC)2, la mayor agrupación sin ánimo de lucro del mundo profesional de Seguridad de la Información, con administradores CISSP y CSSLP, anuncia el lanzamiento de una nueva certificación: Certified Cyber Forensics Professional (CCFP), como el primer estándar global que acredita los conocimientos y experiencia de los profesionales especializados en evidencias electrónicas e informática forense.

En principio, esta certificación estará disponible en Estados Unidos y en Corea del Sur desde el próximo 25 de septiembre. La certificación CCFP abarca las disciplinas de Digital Forensics y Seguridad de la Información y refleja las prácticas y técnicas internacionalmente aceptadas y los principios éticos requeridos en esta materia.

CCFP se convertirá en una acreditación sobre los conocimientos y experiencia en análisis digital forense de los profesionales y las organizaciones que los contratan. Con el transcurso del tiempo, según se generalice su adopción, estas siglas se asociarán con la calidad de los equipos avanzados en esta disciplina, que aumentarán su credibilidad de cara a futuros contratos y oportunidades de negocio.

Fuente: Red Seguridad

Anuncios

Certificaciones para la nube

septiembre 8, 2012 § Deja un comentario

Hace unos días se hacía pública una nota de prensa por la que se informaba del acuerdo entre la Cloud Security Alliance (CSA) y la British Standard Institution (BSI) para lanzar un esquema de certificación de servicios en la nube basado en el Open Certification Program (Programa de Certificación Abierto) de la primera.

Por lo que hemos visto en la web de CSA, su idea es crear una certificación de proveedores de nube flexible, incremental y con múltiples capas que sea compatible con el resto de estándares (básicamente ISO27001 y las sucesoras de SAS70) y en el que pretenden que los distintos gobiernos incluyan las normas locales que deban ser cumplidas por los proveedores. Para ello, la certificación se apoyará en dos pilares: el CSA GRC Stack (la pila GRC – Gobierno, Riesgo y Cumplimiento) y el CSA STAR (Registro de Seguridad, Confianza y Aseguramiento).

En resumen, la idea de CSA es construir una certificación en tres niveles, en función del nivel de rigurosidad de la validación:

Nivel 1
El proveedor auto-completa el cuestionario publicado en el CSA STAR que, como no podría ser de otra forma, está basado en la CSA CCM (Cloud Controls Matrix) y, simplemente con eso, ya aparece en el registro STAR.
Como se puede comprobar estamos en el nivel más bajo de la certificación, puesto que es el propio proveedor el que manifiesta cumplir con los controles identificados.

Nivel 2
En este punto es donde intervine la BSI, puesto que es un tercero independiente el que valida que el proveedor cumple con dichos controles.
Por tanto, estamos en un nivel de “credibilidad” mayor puesto que ya interviene un tercero.

Nivel 3
Este nivel está todavía en desarrollo y se obtendrá al adherirse a la verificación continua que está siendo objeto de investigación por la CSA.
Por lo tanto, no es que los distintos niveles proporcionan mayores o menores niveles de seguridad, sino que es la credibilidad del cumplimiento lo que aumenta con el nivel de la certificación. Finalmente en cuanto a los plazos, la información disponible en CSA [PDF] recoge los siguientes:

  • El nivel 1 ya está disponible.
  • El Marco Abierto de Certificación (OGF) y el esquema de acreditación de auditores estarán disponibles en el 1er trimestre de 2013.
  • La certificación STAR para proveedores estará disponible en el 2º trimestre de 2013.
  • El nivel 3 de Monitorización Continua no estará disponible antes de 2015.

Fuente: INTECO-CERT

Crecimiento de las empresas certificadas en ISO 27000

enero 11, 2012 § Deja un comentario

El pasado mes de Diciembre de 2011, fiel a su cita, ISO (International Organization for Standardization) publicó, como viene haciendo desde hace ya muchos años, el resumen anual sobre las certificaciones más relevantes a nivel mundial. Se trata, como ya sabrán muchos de los que trabajan en el mundo de los sistemas de gestión y estándares internacionales, de “The ISO Survey of Certifications 2010”.

Antes de continuar, y para despejar las dudas que a alguno seguro le pueden entrar, aclarar que no se trata de una errata confundiendo 2010 por 2011, sino que dado el volumen de certificación mundial en los más diversos sectores, al finalizar un año se publica el survey correspondiente al año anterior para poder contar con todos los datos ya consolidados.

En esta ocasión, el survey de 2010 arroja datos interesantes –como siempre, por otra parte- que vamos a pasar a analizar en lo relativo a la certificación ISO/IEC 27001:2005. Este estándar, como ya es sabido por la mayoría, fija los requisitos de un Sistema de Gestión de Seguridad de la Información (SGSI), y ha contado con gran aceptación en nuestro país casi desde el principio de su existencia. Algo por lo que, sin duda, debemos felicitarnos. Porque si ya lo hacíamos allá por el mes de Febrero de 2010 cuando comentábamos la octava posición de España en el top ten mundial por número de certificados 27001, superando nada más y nada menos que a Estados Unidos, aún más debemos hacerlo ahora con los datos del último survey.

Así que vamos a entrar en esos datos, que a primera vista ya indican un crecimiento mundial de las certificaciones 27001 del 21% respecto al año anterior. Así, al finalizar el año 2010, 15.625 certificados –como mínimo- habían sido concedidos en todo el mundo, en un total de 117 países. Como decimos, se trata de un notable incremento del 21% sobre el dato del año 2009, en el que se registraron 12.934 certificados.

Los tres países con mayor número de certificados son Japón (a quien nadie podrá arrebatar nunca la primera posición que viene manteniendo desde hace años) India y el Reino Unido. En cuanto a los países con mayor crecimiento en certificados, éstos fueron Japón, China y la República Checa.

¿Y entonces, España? Pues España ha escalado ya a la sexta posición en ese ranking mundial, con un total de 711 certificaciones en el estándar más reconocido en materia de Seguridad de la Información en todo el planeta. Habrá algunos, o incluso muchos, que consideren que el dato no tiene ninguna trascendencia por motivos cuyo debate dejaremos para otra ocasión. Nosotros respetamos esas posturas críticas –cuyo aporte reconocemos como fundamental-, pero no podemos evitar celebrar de nuevo lo que consideramos una posición muy destacada de nuestro país en un ámbito en el que en principio no estaba tan claro que fuéramos a ser punteros.

Sin llegar a afirmar que el hecho de tener más certificados en 27001 que, por ejemplo, Alemania (novena posición con 357 certificados), signifique que los españoles nos tomamos más en serio la Seguridad de la Información que los alemanes, sí que creemos que es motivo de orgullo que en un campo tan abierto y con tanto futuro e importancia como éste, estemos entre los seis países del mundo que más Sistemas de Gestión de Seguridad de la Información han conseguido certificar. Porque, reiterando nuestro reconocimiento de ciertas críticas que pudieran hacerse, al fin y al cabo, los datos que nos ha traído el ISO Survey de 2010, algo significan.

Fuente: INTECO

Webcasts gratis sobre CISSP desde ISC2

diciembre 23, 2011 § Deja un comentario

Como profesional de seguridad de la información, usted sabe que hay una variedad de certificaciones para elegir. ¿Cuál es la mejor opción para usted? La certificación CISSP es la certificación estándar de oro en la industria y es muy respetado y reconocido en todo el mundo. Si usted está buscando una certificación que validen sus conocimientos INFOSEC, habilidades y experiencia, la certificación CISSP es la certificación para usted.

Esta serie de webcast sobre CISSP son gratuitos
y pueden servir para averiguar lo que necesita saber antes de tomar el examen CISSP. Incluye el conocimiento se espera de un CISSP, una descripción detallada de cada dominio cubiertos en el examen CISSP y cosas importantes que saber antes de sentarse para el examen. Usted recibirá un webcast por semana para una serie de once semanas

Fuente: Carlos Solis

Hazte miembro de ISSA Argentina y disfruta los beneficios

noviembre 17, 2011 § Deja un comentario

Por Claudio B. Caracciolo – Presidente de ISSA Argentina

Ser miembro de una asociación por lo general tiene muchos beneficios, algunos tangibles y otros no tanto.

Por mi parte soy miembro activo de varias asociaciones y colaborador sin ser miembros en muchas otras. En particular desde hace pocos meses asumí el cargo de Presidente de ISSA Argentina, pero la pregunta real que siempre me hice fue: ¿para qué? ¿Por qué me meto en esto si no cobro un peso y me ocupa demasiado tiempo al mes?

La respuesta es simple, porque los beneficios no tangibles de pertenecer a una asociación como ISSA son gigantes. Por supuesto que, sin ser tangibles, también son subjetivos y podría decirse que es producto de mi sensación, sin embargo puedo afirmar que algunos de ellos son común a muchísimos miembros tanto de Argentina como de otros países:

  • Satisfacción es el primero que se me viene a la mente para describir. Ayudar a otros colegas y permitir que me ayuden a crecer entre todos enfrentando problemas comunes es algo que no tiene precio.
  • Valor a partir de la participación ciudadana trabajando en proyectos desde hace muchos años llevando charlas sobre seguridad en internet para chicos, padres y docentes de muchísimos colegios de Capital Federal, de Gran Buenos Aires, de otras provincias e incluso de otros países. E incluso participando en proyectos como el Plan Sarmiento para que de manera gratuita los padres que retiran las netbooks para sus hijos, reciban una charla sobre seguridad en internet.
  • Networking, tan importante en nuestras funciones y sobre todo pensando en que no somos seres aislados y que necesitamos conectarnos entre si, conocer a los oficiales de seguridad de las empresas mas importantes, a los consultores especializados, e incluso a quienes podrían ser en algún momento nuestros amigos y colegas.
  • Y se me ocurren muchas otras cosas mas como la oportunidad de trabajar con otros profesionales en proyectos interesantes para el sector (como leyes, reformas, normas, etc.) u Educación a partir de los talleres exclusivos y gratuitos para miembros de ISSA Argentina.

Sin duda que formar parte de una organización puede trae grandes beneficios, y en ISSA Argentina intentamos que sean muchos los que recibas pero que también tengas la oportunidad de brindar otros beneficios al resto de los miembros y de la comunidad. ¡Participar es crecer!

Si deseas conocer más sobre ISSA Internacional puedes ingresar a: http://www.issa.org/ y si deseas conocer más sobre ISSA Argentina, puedes ingresar a: http://www.issaarba.org/ o bien a http://argentina.issa.org

En el sitio se pueden conocer los beneficios directos (o tangibles) de ISSA Argentina y si deseas puedes seguirnos en las redes sociales (Twitter, Facebook y otros) para mantenerte actualizado.

Y, lo más importante, puedes hacerte miembro de ISSA Argentina:

  • Seleccionar el tipo de membresía en “Choose your new membership type”
  • Completar el formulario y pagar la membresía a ISSA Internacional
  • Seleccionar el Capitulo de Buenos Aires, Argentina para afiliarte.
  • Si tienes dudas, puedes contactarte con membresia@issaarba.org

Colaboración entre Segu-Info e ISSA Argentina

Desde la formación de ISSA Argentina, Segu-Info ha trabajado en estrecha colaboración con sus diferentes comisiones directivas y profesionales que forman dicha organización.

Ha partir de la formación de la comisión actual, ambas organizaciones hemos firmado un convenio de colaboración con el compromiso de seguir aportando conocimiento y valor agregado a los miembros de ambas comunidades.

>Curso: Tecnología de Redes Empresariales conectadas a Internet

marzo 8, 2011 § Deja un comentario

>Tecnología de Redes Empresariales conectadas a Internet
Complemento técnico para las certificaciones CISA y CISM

Objetivo:
Brindar los conocimientos técnicos, complementarios a los cursos CISA y CISM, necesarios para dominar la tecnología de redes de computadoras, sus topologías, principios básicos, protocolos, estándares, equipos y aspectos constructivos para realizar una gestión y auditoría adecuada de las mismas.

Destinatarios:
Profesionales de IT, Administradores y Auditores vinculados al área de informática y de comunicaciones que pretendan desempeñar funciones vinculadas al diseño, operación, supervisión, auditoría y gestión de redes de datos e interesados en rendir el examen CISA y CISM (no excluyente).

Temario:
Unidad 1: Modelos de comunicaciones. Arquitecturas de redes de voz y datos. Estándares de las redes. Software de red. Funciones de las capas de red. Topologías de redes LAN y WAN. Equipos y dispositivos activos para la comunicación de datos: nics, hubs, switches, routers, firewalls.

Unidad 2: Modelo OSI. Arquitectura TCP/IP. Análisis y comparación de la arquitectura TCP/IP con el modelo OSI. Estudio de las capas de aplicación, transporte, internet y física. Suite de protocolos TCP/IP y protocolos de aplicación asociados DNS DHCP SMTP SNMP FTP TFTP telnet. Direccionamiento físico y lógico. Concepto de subredes.

Unidad 3: Fundamentos de Switches y VLANs, VPNs y Redes wireless.

Duración: 9 hs

Fechas: lunes 21, martes 22, miércoles 23 de marzo de 2011

Horario: 9:30 a 12:30 hs

Lugar: Corrientes 389 entrepiso Capital Federal

Contenido completo en: ADACSI

¿Dónde estudio seguridad?

enero 20, 2011 § Deja un comentario

Por Federico Pacheco

Esta pregunta la recibo al menos una decena de veces al mes, y la he recibido innumerables veces en los últimos años, pero tiempo atrás no era una pregunta común, quizás porque no tenía respuesta alguna, o al menos era rotunda: en ningún lado.

La seguridad informática ha avanzado a pasos agigantados en lo que va del siglo 21, ya ha pasado una década de experiencias, normativas, y muchos profesionales haciendo seguridad, que han dejado una huella clara del camino a seguir. No obstante, la seguridad aun permanece en un estadio intermedio, es lo suficientemente importante como para que mucha gente quiera dedicarse a ella, pero no lo suficiente como para que exista una carrera donde estudiarla.

Históricamente los especialistas en seguridad eran en realidad especialistas en otras áreas, que además les gustaba la seguridad informática, o bien que eran forzados o empujados por las circunstancias a trabajar y entender del tema. Este contexto formó a los primeros grandes conocedores, algunas décadas atrás. Estos no tenían donde estudiar algo que no sean especialidades tradicionales, como ciencias de la computación, electrónica, sistemas de información, o disciplinas relacionadas. Lo bueno es que con esa formación de base, se podía hacer frente a muchos de los problemas a los que se enfrentaba la seguridad en aquel entonces.

Contenido completo en CXO

¿Dónde estoy?

Actualmente estás explorando la categoría certificación en Seguridad Informática.