Archivos de Marzo, 2010
Reestructuración y Nuevo Contenido
Mar 22
Hola a Tod@s de nuevo,
Ante todo mis disculpas para aquellos que a lo largo del día de hoy han intentado acceder a la web y se la han encontrado en modo mantenimiento 
. Tenía que hacer bastantes cosas y esto no puedo hacerlo por la noche que es cuando probablmente menos os molesto.
He estado de reestructuración del blog, de instalación de plugins y de introducción de nuevo contenido. Entre los contenidos añadidos podéis encontrar en la sección material (reestructurada) los RSS que suelo utilizar para actulizarme a diario, referencia a la norma 27000, revistas de seguridad en la subsección de prensa y revistas, y algunas cosas más.
En la parte de cursos os he dejado la referencia al curso de Inteco. Yo no he intentado matricularme, si alguno lo intentáis y teneis cualquier problema no dudeis en dejarme un comentario.
Esta parte quizá es la menos agradecida del blog porque siempre gusta más ponerse a escribir cosas que refuerzan tu conocimiento que “poner en orden la casa”, pero… hay que hacerlo y siempre da gusto tenerlo todo a mano 
.
Salu2!
Enlaces a Revistas de Seguridad
Mar 17
Hola a tod@s,
Ya estamos a mitad de esta semana algo más corta (al menos para los que estamos en Murcia ya que el viernes es fiesta). Sea como sea, acabo de ver un post que me ha recordado una de las razones por las que me decidí a embarcarme en esta nueva aventura, bueno… mas bien… a cambiar de barco.
En security by default han publicado este post donde podréis encontrar algunas referencias más (aparte de las que hay en la sección Material) a revistas tanto gratuitas como de pago, en publicación electrónica y/o en papel más relevantes. Visto lo visto voy a tener que organizar la sección material de otra forma. Y siiii, lo seeee, la sección aún no tiene mucha chicha, no seais impacientes… con post como este iré completando la sección para que lo tengamos todo a mano 4ever 
.
Salu2!
Gag sobre DRM
Mar 15
Para empezar bien la semana.
Buena tira cómica sobre Gestión Digital de Derechos, ¿por qué no funciona?.
Un saludo y buena semana a tod@s.
Fuente: http://www.schneier.com
Schneier sobre el futuro de la seguridad de la Información
Mar 11
Bruce Schenier es un reconocido experto en seguridad de la información a nivel mundial, en esta conferencia de casi una hora y media habla sobre el cloud computing, las preferencias en ocasiones irracionales que tenemos a la hora de asumir el riesgo y muchos más factores que influirán en el futuro de la seguridad informática.
Fuente: La comunidad DragonJAR
Esteganografía
Mar 10
Esta mañana repasando los RSS me he topado con un documento muy interesante que analiza el arte de la esteganografía. Para aquellos no familiarizados con el tema, la esteganografía es la ocultación de información de forma que, por ejemplo se puede introducir contenido de otra índole en una imagen.
Este documento ha sido publicado por el Observatoria de Seguridad de la Información de Inteco y lo tenéis disponible a partir de este enlace.
Lo añado también a la sección Material para no perder esta referencia.
Un saludo.
El Riesgo Residual en ISO 27001
Mar 8
Hola a tod@s
De entrada aviso que este post es puramente sobre ISO 27001 y 27005 por lo que aquellos que no se encuentren familiarizados con el tema les puede resultar algo denso.
Los debates sobre el riesgo residual suelen ser un tema recurrente entre consultores de seguridad de la información. Normalmente estos debates están enfocados en cómo es posible asignar un porcentaje de reducción a una determinada contramedida que permita calcular el riesgo remanente tras su aplicación, pero el propio concepto de riesgo residual en ocasiones genera otras controversias.
Este término no viene definido en ISO 27000 como cabría esperar puesto que ésta norma es de 2009 y el término ya quedó definido en ISO 27001 en el apartado 3, término 3.9 se describe como sigue:
Riesgo Residual: Riesgo remanente que existe después de que se hayan tomado las medidas de seguridad
Sin embargo, si acudimos a la norma 27005 ésta deja bien claro que este riesgo residual no se refiere al riesgo efectivo tras la aplicación de las medidas sino al teórico que se calcula durante el análisis de riesgos en la fase de Plan.
Esto empieza a dejarlo claro en la tabla 1 donde expone lo siguiente:
Tabla 1 – Alineación del SGSI y el Proceso de Gestión del Riesgo de Seguridad.
En esta tabla se puede observar que la aceptación del riesgo se encuentra en la fase de Plan del ciclo PDCA. Vamos a ver qué dice ISO 27005 en lo referente al riesgo residual.
La efectividad del trataminento de riesgo depende de los resultados de la evaluación de riesgo. Es posible que el tratamiento de riesgo no dé con un nivel aceptable de riesgo residual. Ante esta situación, si es necesario, podría requerirse otra iteración de la evaluación del riesgo con otros parámetros del contexto (por ejemplo valoración del riesgo, aceptación del riesgo o criterio de impacto), seguido a posteriori por otro tratamiento de riesgo (Vea la figura de abajo)
La actividad de aceptación del riesgo tiene que asegurar que los riesgos residuales son aceptados por los gerentes de la organización. Esto es especialmente importante en una situación donde la implmentación de controles se omite o pospone por motivos como los costes.
[...]
Una vez el plan de tratamiento de riesgo ha sido definido, es necesario determinar los riesgos residuales. Esto implica una actualiación o re-iteración de la evaluación de riesgos, teniendo en cuenta los efectos esperados de los tratamientos de riesgos propuestos. En caso de que los riesgos residuales no cumpliesen los criterios de aceptación de riesgo, una iteración más podría ser necesaria antes de proceder a la aceptación del riesgo.
Este último párrafo acaba de despejar las dudas, lo que se calcula es el riesgo resultante tras la aplicación de los tratamientos seleccionados teniendo en cuenta los efectos esperados. Es por esto también que en el punto 4.2.1.h de la norma 27001 habla de “Obtener la Aprobación de los Riesgos residuales propuestos“.
Tras leer todo esto parece quedar todo claro pero si tan sólo se ve la definición parece hablar del riesgo tras implantar las medidas de seguridad, lo que puede desviarnos de una buena interpretación.
Salu2!
Comenzamos la sección “Material”
Mar 2
Hola a tod@s,
Esta noche he encontrado un rato para ponerme manos a la obra con la sección de Material donde iré haciendo una recopilación de aquellas cosas que te vas encontrando en el mundo de la seguridad informática y que no quieres que se pierdan entre los post con el paso del tiempo. Hay determinadas publicaciones, referencias o documentos que deben estar accesibles a un click de distancia y que pueden ser realmente útiles.
La sección Material ha quedado inaugurada con la siguiente estructura:
- Seguridad de la Información
- Iso27001security
- Hacking
- HackxCrack
- e-Zines
- (IN)Secure
Esto sin duda alguna crecerá en la siguiente sentada donde incluiré las listas de distribución en castellano de iso27000, los rss a los que estoy suscrito para mantenerse actualizado, y varias cosas más .
Espero que esta nueva iniciativa os sea de utilidad.
Salu2!
