ISACA ¿Cómo proteger de manera efectiva la información?

noviembre 21, 2013 § 1 comentario

Sólo 4 por ciento de los profesionales de TI han asegurado que sus empresas están preparadas para garantizar asegurar la privacidad y gobierno de Big Data, de acuerdo con una encuesta global realizada por la asociación profesional ISACA. Hoy la información es la divisa y las empresas no sólo deben protegerla y gestionarla, sino también usarla para generar valor para el negocio.

Para ayudar a las empresas a superar este desafío, ISACA dio a conocer una nueva guía basada en el marco de negocio COBIT 5. La guía COBIT 5: Enabling Information  (COBIT 5: Habilitando la Información) ofrece a los lectores tres beneficios principales:

  • Un modelo de información completo que incluye todos los aspectos de la información: usuarios, objetivos y buenas prácticas
  • Una guía sobre cómo usar COBIT 5 para abordar los problemas comunes del gobierno de la información, como Big Data y las preocupaciones de privacidad.
  • Un entendimiento profundo de por qué la información necesita controlarse y administrarse, junto con pasos concretos de cómo lograrlo.

“Las compañías de todas las industrias y todas las geografías están luchando con grandes volúmenes de datos y con requerimientos de cumplimiento cada vez más complejos”, aseguró Steven De Haes, presidente del equipo de desarrollo de la publicación. Cuando las estructuras de gobierno y de procesos están implementadas, las empresas están mucho mejor equipadas para manejar estos desafíos” agregó.

COBIT 5: Enabling Information, también ayuda a las empresas a manejar  tres aspectos clave de Big Data: la detección del fraude, la analítica predictiva de TI y la conciencia situacional de mercadotecnia.

“En muchas empresas, la información está distribuida en diferentes puntos aislados, se repite en copias redundantes dispersas por la compañía, y está subutilizada”, señaló De Haes. “El objetivo de ISACA es ayudar a las compañías a simplificar el gobierno de la información para que no sólo puedan manejar este importante activo que proviene de un vasto número de canales, sino también encontrar valor de ella” finalizó.

COBIT 5: Enabling Information puede adquirirse en la ISACA Bookstore. El marco COBIT 5 puede descargarse sin cargo en www.isaca.org/cobit.



Fuente: ISACA

Manual Tallinn sobre el Derecho Internacional de Ciberguerra

marzo 25, 2013 § Deja un comentario

El Manual de Tallinn sobre el Derecho Internacional aplicable a los Cyber ​​Warfare, escrito por un “Grupo Internacional de Expertos Independientes”, es el resultado de un esfuerzo de tres años para examinar cómo aplicar las normas existentes de derecho internacional a esta nueva forma de guerra.

Nota: Tallinn se refiere a la ciudad homónima y capital de Estonia.

El Manual de Tallinn presta especial atención a la jus ad bellum (derecho a la guerra), el derecho internacional que rigen el recurso de la fuerza como un instrumento de política nacional, y el jus in bello, la ley internacional que regula el desarrollo de un conflicto armado (etiquetada como la “ley de la guerra”, el derecho de los conflictos armados, o derecho internacional humanitario). Órganos conexos de derecho internacional, el derecho de la responsabilidad del Estado y el derecho del mar, se tratan en el contexto de estos temas.

El Manual de Tallinn no es un documento oficial, sino una expresión de las opiniones de un grupo de expertos independientes que actúan exclusivamente de forma personal. No representa la opinión del Centro de Seguridad Europeo, de las naciones patrocinadoras, ni de la OTAN. Tampoco pretende reflejar la doctrina de la OTAN ni la posición de cualquier organización o Estados representados u observados.

El Manual de Tallinn está disponible en papel y en formato electrónico de Cambridge University Press y también para lectura online y hay un resumen en PDF.

También recomendamos leer el artículo del profesor Michael N. Schmitt, “International Law in Cyberspace: The Koh Speech and Tallinn Manual Juxtaposed”,, publicado en la Harvard International Law Journal.

Cristian de la Redacción de Segu-Info

Plan para la Recuperación de Desastres de TI

marzo 25, 2013 § 1 comentario

Los planes de recuperación de desastres (RD) en tecnologías de la información (TI) proporcionan un enfoque estructurado para responder a los incidentes no previstos que ponen en peligro la infraestructura de TI, compuesta por hardware, software, redes, procesos y personas. Proteger las inversiones realizadas por su firma en la infraestructura tecnológica y garantizar la capacidad empresarial para ejecutar sus operaciones corporativas son las principales razones para poner en marcha un plan de recuperación de desastres en TI.

En esta guía conoceremos todo lo necesario acerca de la elaboración del plan. Aprenderemos a desarrollar paso por paso el plan de RD de TI y los aspectos más importantes a tener en cuenta durante su elaboración.

¿Qué es un plan de recuperación de desastres TI?

Los planes de recuperación de desastres TI proporcionan unos procedimientos detallados a seguir, paso a paso, para recuperar los sistemas y redes que han sufrido disrupciones y ayudar a resumir la normalidad en las operaciones. El objetivo de estos procesos es minimizar cualquier impacto negativo en las operaciones de la compañía. El proceso de recuperación de desastres identifica los sistemas y redes críticos de TI; fija las prioridades para su recuperación y dibuja los pasos necesarios para reiniciar, reconfigurar y recuperar dichos sistemas y redes. Todo plan integral de recuperación de desastres debería incluir también a todos los proveedores relevantes, las fuentes de experiencia para recuperar los sistemas afectados y una secuencia lógica de los pasos a seguir hasta alcanzar una recuperación óptima.

Asumiendo que hemos completado una evaluación de riesgos e identificado amenazas potenciales a nuestra infraestructura de TI, el siguiente paso será determinar qué elementos de dicha infraestructura son los más importantes para las operaciones corporativas. Además, asumiendo que todos los sistemas y redes TI funcionan con normalidad, nuestra empresa debería ser plenamente viable, competitiva y sólida desde el punto de vista financiero. Cuando un incidente —interno o externo— afecta negativamente a la infraestructura de TI, las operaciones corporativas pueden verse amenazadas.

Según la NIST SP 800-34 [PDF], Contingency Planning for Information Technology Systems (Planificación de contingencias para los sistemas de tecnologías de la información), del National Institute for Standards and Technology (NIST, o Instituto Nacional de Estándares y Tecnología) de los Estados Unidos, lo que viene a continuación resume la estructura ideal de un plan de recuperación de desastres TI.

1. Elaboración de la declaración de políticas para el plan de contingencia. Contar con unas directivas formales proporciona la autoridad y orientación necesaria para elaborar un plan de contingencia efectivo.

2. Realización del análisis de impacto sobre el negocio (BIA). El análisis del impacto sobre el negocio ayuda a identificar y priorizar los sistemas y componentes críticos de TI.

3. Identificación de controles preventivos. Medidas que reducen los efectos de las disrupciones al sistema y pueden aumentar su disponibilidad y reducir los costos de contingencia del ciclo de vida.

4. Desarrollo de estrategias de recuperación. Tener una estrategia integral garantiza que el sistema se recuperará de manera rápida y efectiva después de una disrupción.

5. Desarrollo de un plan de contingencia TI. El plan de contingencia debería contener orientaciones y procedimientos detallados para la restauración del sistema dañado.

6. Prueba, formación y ejecución del plan. La prueba del plan identifica lagunas en la planificación, mientras que la formación prepara al personal de recuperación para la activación del plan; ambas actividades mejoran la eficacia del plan y la preparación general de la entidad.

7. Mantenimiento del plan. El plan debería ser un documento vivo que se actualiza regularmente para mantenerlo al día con mejoras al sistema.

Desarrollo paso a paso del plan de recuperación de desastres TI

Utilizando la estructura apuntada en la publicación SP 800-34 del NIST, podemos ampliar esas actividades a la siguiente secuencia estructurada de actividades.

1. El equipo de desarrollo del plan debería reunirse con el equipo interno de tecnología, el equipo de aplicación y los administradores de redes, y establecer el alcance de la acción, como por ejemplo, elementos internos, activos externos, recursos de terceros y enlaces a oficinas/clientes/proveedores; debemos asegurarnos de informar a la dirección del departamento de TI sobre dichas reuniones para que estén bien informados.

2. Recopilar todos los documentos relevantes de la infraestructura de redes, como los diagramas de las redes, la configuración de los equipos y bases de datos.

3. Obtener copias de los planes de recuperación de redes y de TI existentes; si no los hay, proceder con los siguientes pasos.

4. Identificar las amenazas contra la infraestructura de TI que la dirección considere más preocupantes: por ejemplo, incendios, errores humanos, apagones de energía, fallo de los sistemas.

5. Identificar aquello que la dirección considera que son las principales vulnerabilidades de la infraestructura: por ejemplo, inexistencia de sistemas de respaldo en caso de apagón eléctrico, copias de bases de datos obsoletas.

6. Examinar el historial previo de apagones y disrupciones, y cómo fueron gestionados por la empresa.

7. Identificar los activos TI que la dirección considera de importancia crítica. Por ejemplo: centro de llamadas, granjas de servidores, acceso a internet.

8. Determinar el tiempo máximo de apagón eléctrico que está dispuesta a aceptar la dirección en caso de indisponibilidad de los equipos TI.

9. Identificar los procedimientos operativos que se utilizan actualmente para responder a los apagones críticos.

10. Determinar cuándo se probaron estos procedimientos para validar si siguen siendo adecuados o no.

11. Identificar el/los equipo/s de respuesta de emergencia para todas las disrupciones de la infraestructura crítica de TI; determinar su nivel de conocimientos y preparación para manejar los sistemas críticos, especialmente en casos de emergencia.

12. Identificar las capacidades de respuesta de los proveedores en casos de emergencia; si se han utilizado alguna vez; si funcionaron correctamente; cuánto paga la compañía por estos servicios; el estado del contrato de servicio; la existencia del acuerdo de nivel de servicio (SLA) y si se usa alguna vez.

13. Recopilar los resultados de todas las evaluaciones en un reporte de análisis de carencias que identifique lo que se está haciendo frente a lo que debería hacerse, con recomendaciones sobre cómo lograr el nivel requerido de preparación y las inversiones necesarias para ello.

14. Lograr que la dirección lea el repote y acuerde tomar las acciones recomendadas.

15. Preparar un plan de recuperación de desastres IT que cubra los sistemas y las redes esenciales de TI.

16. Realizar pruebas de los planes y activos de recuperación de sistemas para validar su operatividad.

17. Actualizar la documentación del plan de RD para que recoja los cambios efectuados.

18. Programar la próxima revisión/auditoría de capacidades de recuperación de desastres TI.

Aspectos clave a considerar al planificar la recuperación de desastres TI

  • Apoyo de la alta gerencia. Asegúrese de tener el apoyo de la alta gerencia a fin de lograr alcanzar los objetivos del plan.
  • Tomarse en serio el proceso de planificación de RD de TI. Aunque la recopilación y análisis de los datos para el plan de RD de TI puede llevar mucho tiempo, no es necesario que tenga docenas de páginas. Los plantes simplemente necesitan la información correcta, y esa información debería ser actual y precisa.
  • Disponibilidad de estándares. Entre los estándares relevantes que podemos usar a la hora de desarrollar los planes de RD de TI están los siguientes: NIST SP 800-34, ISO/IEC 24762 y BS 25777.
  • La sencillez es un grado. Es esencial reunir y organizar la información correcta.
  • Estudiar los resultados con las unidades de negocio. Una vez finalizado el plan de recuperación de desastres, debemos cotejar sus conclusiones con los líderes de las unidades de negocio para comprobar que nuestras premisas son correctas.
  • Flexibilidad. La plantilla sugerida en este artículo puede ser modificada en lo que sea necesario para conseguir nuestros objetivos.

Análisis de la plantilla del plan de RD de TI

A continuación, examinaremos el índice de la plantilla, señalando las cuestiones clave a tratar y las actividades a desarrollar.

1. Declaración de intenciones del departamento de TI — Marca la pauta y dirección del plan.

2. Declaración de políticas — Es muy importante incluir una declaración aprobada con las políticas relativas a la provisión de servicios de recuperación de desastres.

3. Objetivos — Principales metas del plan.

4. Información de contacto del personal clave — Muy importante tener la información clave de contacto cerca del comienzo del plan. Es la información más susceptible de ser utilizada de inmediato y debería ser fácil de ubicar.

5. Visión general del plan — Describe los aspectos básicos del plan, como la actualización.

6. Respuesta de emergencia — Describe lo que hay que hacer inmediatamente en caso de incidente.

7. Equipo de recuperación de desastres — Miembros y datos de contacto del equipo de RD.

8. Alerta de emergencia, escalada y activación del PRD — Pasos a seguir en las primeras fases del incidente hasta que se activa el plan de RD.

9. Medios — Consejos para tratar con los medios de comunicación.

10. Seguro — Resume la cobertura de seguros asociada con el entorno TI y otras políticas relevantes.

11. Cuestiones legales y financieras — Acciones a tomar para administrar las cuestiones legales y financieras.

12. Ejecución del PRD — Subraya la importancia de ejecutar el plan de recuperación de desastres.

13. Apéndice A — Plantillas del plan de recuperación de desastres tecnológicos — Plantillas modelo para una variedad de recuperaciones por incidentes tecnológicos; es útil tener disponible la documentación técnica de algunos proveedores selectos.

14. Apéndice B — Formularios recomendados — Formularios listos para usar que ayudarán a facilitar la finalización del plan.

Teniendo en cuenta las inversiones que las empresas realizan en infraestructuras TI, sería conveniente que inviertan también tiempo y recursos para proteger dichas inversiones de acontecimientos no previstos y potencialmente destructivos.

Articulos Relacionados

Acerca del autor: Paul Kirvan, CISA, CISSP, FBCI, CBCP, tiene más de 20 años de experiencia en gestión de continuidad del negocio como consultor, autor y educador. Además, es secretario del Instituto de Continuidad del Negocio, capítulo de EE.UU.

Fuente: Search Data Center

Manual de Hashcat en español

enero 21, 2013 § 1 comentario

Hashcat es la herramienta de recuperación de contraseñas más rápida del mundo. Además, los tiempos pueden ser reducidos con un buen diccionario y con un poco de familiaridad con los vectores de ataque.

La familia de software Hashcat es un conjunto de herramientas profesionales sin cargo para la comunidad. Hashcat está destinado a ser usado legalmente como una herramienta para recuperar cadenas de texto plano para una variedad de métodos de cifrado tales como:

  • MD5
  • SHA1
  • MySQL
  • phpass, MD5(WordPress), MD5(phpBB3)
  • md5crypt, MD5(Unix), FreeBSD MD5, Cisco IOS MD5
  • NTLM
  • Muchos otros…

Hashcat está bajo constante desarrollo así que más algoritmos podrán ser añadidos en el futuro y este manual en español (mirror) compilado por MEXICANH TEAM es una completa guía para su uso, al igual que el este otro de SecurityArtWork.

Cristian de la Redacción de Segu-Info

Manual National Cyber Security Framework

diciembre 13, 2012 § Deja un comentario

¿Qué es, exactamente, “Ciberseguridad Nacional”? El ciberespacio como un campo de la actividad humana es, probablemente, uno de los avances más significativos en la historia del mundo. El ciberespacio tiene un impacto directo en todas las facetas de la existencia humana, incluyendo la evolución económica, social, cultural y política.

El manual National Cyber ​​Security Framework información [PDF] provee los marcos teóricos para ayudar al lector a comprender las diversas facetas de la National Cyber ​​Security, de acuerdo a los diferentes niveles de la formulación de políticas públicas.

Cada uno de los cuatro niveles de gobierno – político, estratégico, operacional y táctico/técnico – tiene su propio punto de vista en este manual y cada uno es abordado individualmente. Además, el manual presenta ejemplos de instituciones que son afectadas por National Cyber ​​Security, así como las estructuras criticas de gestión de crisis y otras instituciones similares.

Fuente: NATO Cooperative Cyber Defence Centre

Manual Esquema Nacional de Seguridad, con Microsoft

septiembre 14, 2011 § Deja un comentario

Juan Luis G. Rambla, José María “Chema” Alonso Cebrián y Julián Blázquez García han elaborado este manual sobre el Esquema Nacional de Seguridad, con Microsoft [PDF] de distribución gratuita y que ha sido publicado por Microsoft Ibérica.

Este es un trabajo eminentemente divulgativo, dirigido a los responsables técnicos de las administraciones, encargados de cumplir los requisitos y las recomendaciones del Esquema.
Este manual es un nexo entre las medidas con implicaciones tecnológicas descritas en el Esquema, y su implementación práctica en aquellos entornos con tecnología Microsoft. El libro toma como hilo conductor los grandes principios que conforman el esquema Nacional de Seguridad, tales como sus principios, dimensiones, medidas, implementaciones, explotación, protección etc., para a continuación comentarlos de forma sencilla y detallar cuáles serían las configuraciones y recomendaciones técnicas más adecuadas para su cumplimiento.

Cristian de la Redacción de Segu-Info

>Referencia de seguridad para Debian (y otras distribuciones de Linux)

abril 9, 2011 § Deja un comentario

>El documento “Center for Internet Security Benchmark for Debian Linux v1.0” [PDF] ha sido creado en The Center for Internet Security (CIS) por Blake Frantz y Leviathan Security Group y es una referencia rápida de todos los puntos que se deben tener en cuenta para fortificar Debian, si bien puede ser aplicado a muchas otras distribuciones de Linux.

El documento comienza con una instalación de Linux, continúa con una configuración básica y sigue avanzado en el hardening completo del sistema operativo:

  • BIOS
  • Particionado
  • Paquetes
  • SSH
  • Deshabiltar servicios
  • Firewall y TCP Wrappers
  • Telnet
  • FTP If Absolutely Necessary
  • IMAP/POP
  • X
  • SMB/NFS/NIS
  • Impresoras
  • SNMP
  • DNS
  • SQL Server
  • Kernel Tuning
  • Logging
  • Permisos
  • Passwd, Shadow, y grupos
  • Uso de USB
  • Crones
  • LILO/GRUB
  • Anti-Virus
  • Backup

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría manual en Seguridad Informática.