Posteos etiquetados Noticias
¿Es válido el enfoque actual de seguridad para el futuro?
Ene 14
Recientemente publiqué en Twitter que analizaría una noticia que encontré en CSO. Esta noticia titula “El enfoque tradicional de la seguridad TI ya no es aplicable, según Ernst & Young”. Me llamó la atención cuando lo analicé desde el punto de vista de cómo plantea ISO 27001 la seguridad de la información mediante un enfoque basado en proceso. Cada cosa que leía me planteaba más dudas sobre las afirmaciones que allí se hacen. Esta noticia está basada en una entrevista hecha a Gerry Chng. Aquí dejo mi opinión al respecto sin el ánimo que se entienda como una crítica sino simplemente como un punto de vista. No dudeis en darme el vuestro propio.
Chng cree limitarse a cuestiones como securizar la infraestructura, evitar la entrada de hackers o centrarse en el mantenimiento de la conformidad con las normas son algunas de las medidas de seguridad que han ido quedando obsoletas, teniendo en cuenta la emergencia de nuevas tecnologías.
Entiendo que se refiere a la conformidad legal, no a la conformidad normativa en términos de seguridad según ISO 27001 porque allí precisamente se detallan todos los ámbitos de seguridad que se deben tener en cuenta (organizativo, físico, ambiental y lógico).
La necesidad de centrarse en la información misma se hace, según este experto, evidente a la luz de los diversos incidentes que se produjeron el año pasado cuando se robaron datos de forma masiva de diversas grandes organizaciones, como consecuencia de su negligencia en cuanto a la seguridad.
Una conducta negligente en cuanto seguridad implica que los riesgos no se estaban gestionando y/o las leyes aplicables no se estaban cumpliendo. Una vez el riesgo se encuentra gestionado se ha tomado una decisión acerca de si se Mitiga, Transfiere, Evita o Acepta y lo único que se podría echar en cara es que en algún momento durante el Análisis de Riesgos y/o aplicación del Plan de tratamiento de riesgos, hubo alguna desviación ya que la seguridad al 100% no es alcanzable. Habría que conocer los diferentes casos y las explicaciones que se han dado para cada uno de ellos, sinceramente me gustaría saber a cuales se refiere exactamente (igual se lo pregunto y os lo cuento).
Chng señala el cloud computing como ejemplo de tecnología llamada a cambiar el enfoque que las empresas hacen de la seguridad de su información, principalmente porque en este modelo los datos no residen en las instalaciones corporativas. “Cloud computing presenta una fuerte dependencia de Internet y, por tanto, hace más crítico que no se produzcan caídas en la conectividad para mantener la continuidad del negocio”, explica.
Ah!, ahora se a lo que se refería cuando decía: “teniendo en cuenta la emergencia de nuevas tecnologías”. Y tiene mucha razón, pero ahí está otra vez 27001, el análisis de riesgos y la gestión de relaciones con terceros. Será la organización la que tendrá que decidir si realmente quiere que sus activos estén en una ubicación que no es de su propiedad y en ese caso, estimar las garantías necesarias que debe cumplir el depositario de la información. Todo esto tendrá que trasladarse a la relación contractual. Derecho a Auditoría, Conformidad con ISO 27001 con alcance a todos los procesos de almacenamiento, indemnizaciones por incumplimiento, SLAs, etc serán algunas de las medidas a contemplar.
En cuanto a la conformidad, debe enfocarse con cuidado, según Chng, y no convertirla en el principal criterio para considerar que la información está adecuadamente protegida. “La conformidad con las reglas internas y legales no se traduce necesariamente en una buena seguridad. Puede resultar de gran ayuda pero resulta cara, y no es sostenible”, asegura, defendiendo que la mejor estrategia al respecto consiste en comprender lo que se pretende con las normas exigidas y enfocar la conformidad como una práctica de seguridad producto a producto.
Estoy de acuerdo en que la conformidad con la legislación aplicable no es requisito suficiente para una buena seguridad. El mejor ejemplo lo tenemos con la LOPD y su Reglamento de Desarrollo. Su cumplimiento no garantiza la seguridad pero no es una elección, sea como sea de cara y de difícil de sostener. Coincido en que no se debe caer en que el cumplimiento legal es, a día de hoy, una garantía de seguridad en un alcance organizativo, pero a su vez no entiendo cómo hay quien se plantea cumplir la ISO 27001 sin ni siquiera haberse planteado cumplir la LOPD.
Teniendo en cuenta todas estas consideraciones, en opinión de Chng, una buena estrategia de seguridad de la información debería incorporar cuatro elementos: gestión proactiva y continua de la seguridad en lugar de reactiva y puntual; iniciativas de seguridad efectivas en costes para satisfacer los requerimientos regulatorios; definir las fronteras de los retos operacionales; y atender a los riesgos derivados de las tecnologías emergentes.
Y esto es (salvo connotaciones de índole económico) lo que promulga ISO 27001, que por si cabe alguna duda es ya desde hace algún tiempo el enfoque actual de seguridad.
Tras más de una lectura se puede llegar a la conclusión de que la intención de Gerry Chng es probablemente incentivar la protección basada en la información y de forma indirecta las normativas de cumplimiento voluntario que la gestionan, pero creo que la traducción, en ocasiones, si no “interpretas” juega malas pasadas, en este caso, por culpa del término “normativa”.
Todo comentario es bienvenido, como siempre.
Salu2!
Aprobado el Esquema Nacional de Seguridad
Ene 11
Hoy estamos de enhorabuena, en realidad lo está toda España sea o no consciente. El Consejo de Ministros ha aprobado el ENS que será publicado bajo un Real Decreto.
Lo único que espero es que el Gobierno se moleste en que este Esquema Nacional de Seguridad sea Auditado e Impuesto a todas las Organizaciones bajo el alcance legal de la ley 11/2007 y no quede en un papel, aunque probablemente, si no lo hace en primera instancia, el devenir de los acontecimientos acabará por dar argumentos de sobra para que así sea.
Este ENS requiere en mi opinión de personal especializado y un cuerpo de auditores capacitado para verificar su cumplimiento ya que aquello que se pretende salvaguardar no es baladí… tiempo al tiempo.
Fuente: sociedad de la información
Salu2!.
Pornografía Infantil NO
Dic 10
Desde seguinfo vi ayer una bonita y necesaria campaña contra la pornografía Infantil que no he dudado un segundo en secundar.
Vaya mi condena ante cualquier abuso a menores y mi propuesta para todo aquel que me lea de que, si dispone de un blog lo publique.
La inocencia de un niño debe ser salvaguardada de cualquier abuso y en especial de los abusos sexuales.
Esta campaña tiene como propósito llenar internet de páginas con las palabras clave empleadas por los pedófilos para dificultar en la medida de lo posible que encuentren el material que buscan.
Pedófilos y Pedrastas NO.
La seguridad de la información se afianza a nivel organizativo
Nov 18
Categoria: Noticias
Hoy visitando las noticias de actualidad me he encontrado con algunos datos interesantes que corroboran la buena salud de la seguridad de la información:
Según la séptima encuesta global sobre el Estado de la Seguridad de la Información, elaborada por PricewaterhouseCoopers y las revistas especializadas CIO y CSO Magazine, entre más de 7.200 líderes empresariales de 130 países, pese a la situación de recesión económica, las inversiones en seguridad de la información no tendrán recortes en las empresas. El 63% de los encuestados afirma que la inversión en seguridad se incrementará o se mantendrá estable en 2010.
A nivel global, el 65% de los entrevistados aseguran que en la actualidad sus compañías disponen de una estrategia global de seguridad de la información. En general, la recesión se ha convertido en el primer y principal motivo para impulsar la inversión en seguridad en las empresas. En muchos casos la seguridad se percibe como una ayuda a la hora de mitigar posibles riesgos asociados a aspectos como la globalización. Todo esto ha contribuido a alinear los objetivos de los responsables de seguridad con los propios de la compañía y por lo tanto, los líderes empresariales han dotado a la seguridad de la información de una cierta relevancia.
Podeis ver la noticia completa aquí.
Fuente: sociedaddelainformación
Salu2!
ISO 27004 pendiente de aprobación
Oct 30
Categoría: Seguridad de la Información
Hola a tod@s, hoy estamos de enhorabuena, estamos a punto de tener un miembro más en la familia y no me refiero a la mía, me refiero a la 27000. Como ya vimos, la norma 27000/2009 se encuentra disponible de manera pública. Este estándar con título “Information technology — Securitytechniques — Information security management systems — Overview and vocabulary” consituye una introducción al Sistema de Gestión de Seguridad de la Información proporcionando una guía para el primer acercamiento al SGSI en términos de vocabulario, funcionamiento y utilidad.
Tras no pocas dificultades, ISO 27004/2009 se puede ver en fase de aprobación en el portal de ISO. Con título “Information technology — Security techniques — Information security management — Measurement” viene a solucionar uno de los más grandes problemas de la seguridad de la información, si es que no el peor, la medición. Este hecho ha sido siempre un quebradero de cabeza e incluso fuente de trabajos de investigación y tesis sobre cómo medir el cumplimiento de los objetivos en materia de seguridad de la información.
Dentro de muy poco tendremos una guía sobre cómo orientar la medición de estos objetivos.
Salu2
Algunas certificaciones de seguridad están sobrevaluadas
Oct 2
Categoría: Noticias
Quiero dejaos aquí una referencia a una noticia en la que se expone el punto de vista de Carsten Casper, director de investigación de Gartner y poseedor de las certificaciones CISA y CISSP que ya comenté aquí.
En esta entrevista, Casper habla sobre las certificaciones que tratan de abarcar un nicho concreto de la seguridad como por ejemplo el análisis forense o el hacking ético y otras más amplias en cuanto a seguridad de la información y cómo cada una de éstas certificaciones contribuye al conocimiento dependiendo del perfil que se busca. Quizá la conclusión más importante la podais encontrar en el último párrafo de manera que si no os es posible leer la entrevista completa, echadle un ojo a dicha parte de la misma.
Metasploit
Sep 25
Categoría: Noticias
Hola,
Hoy quiero comentaros un framework denominado Metasploit que permite programar y llevar a la práctica exploits. Lo probé hace bastante algo de pasada de lo que recuerdo que tenía un interfaz web y que disponía también de uno en modo consola. El uso no resultaba demasiado complejo pero ahora lo va a ser aún menos. En Offensive Security han liberado un manual completo en formato HTML, el PDF es de pago pero todo lo que se recaude será donado a HFC (Hackers For Charity).
El manual está disponible a partir del siguiente enlace y es muy completo:
http://www.offensive-security.com/metasploit-unleashed/
Fuente: Cryptex
Virus en compilador de Delphi
Sep 2
Categoría: Noticias
Un virus que afecta a todos los programas en lenguaje Delphi en tiempo de compilación ha infectado miles de aplicaciones, incluyendo otros programas maliciosos.
El virus conocido como Win32.Induc, sustituye el archivo SysConst.pas usado por los compiladores Delphy dejando una copia del archivo original. Los programas compilados con el nuevo fichero diseminarán el código a otros sistemas si éstos disponen de versiones antiguas de ordenadores Delphi instalados. A pesar de que este código malicioso es antiguo, las firmas antivirus acaban de empezar a detectarlo.
Fuente: SecurityFocus
Las páginas web más peligrosas de Internet
Sep 1
Categoria: Seguridad en Internet
Norton presentó unos días atras un estudio realizado a través de su herramienta Norton Safe web donde se exponen los sitios más peligrosos de internet y se extraen conclusiones como las siguientes:
- El 48% de los sitios web con conteido malicioso son webs para adultos
- Hay gran variedad de sitios peligrosos entre los que se pueden encontrar algunos dedicados a la caza, servicios legales o compra electrónica entre otros.
- Los virus son la amenaza más común en los sitios con este tipo de contenido.
- 40 de los 100 sitios más peligrosos tienen más de 20.000 amenazas por sitio.
Como no, toda esta información está perfectamente cumplimentada con una lista de donde NO DEBEIS IR.
Podeis encontrar algo más de información aquí.
Fuente: http://www.elhacker.net/
El crecimiento de Internet
Sep 1
Categoria: Noticias
Holaaaaaaa!!!!
Muy buenas a tod@s!!!, encantadísimo de reencontrarme con vosotros después de las vacaciones y os deseo que hayais tenido un feliz y esperanzador retorno. He de decir que las mías se me han hecho cortas, pero cortas cortas.
Buceando por las noticias he visto algunas muy interesante y en el periodo vacacional que he pasado currelando y haciendo un artículo que he presentado a una conferencia en pisa, he aprendido algunas cosas que creo pueden resultar de utilidad y que voy a ir dejando aquí paulatinamente. Además, las cosas arrancan en mi nueva ubicación y eso me va a permitir, a buen seguro, disponer de gran cantidad de temas a tratar.
Ya os dejo la noticia.
Internet se parece bien poco a sus comienzos, esto no es ningún secreto, pero cómo todo esto ha sido posible, la infraestructura necesaria y algunas curiosidades ha sido estudiado y está disponible a partir de aquí. Un resumen con imágenes tan ilustrativas como ésta:
Fuente:
http://www.microsiervos.com/archivo/internet/mapeando-crecimiento-internet.html
