ENISA Country Reports 2009

ENISA Primer Informe sobre la Situación de las Redes y de Seguridad de la Información en 30 países de Europa

La UE Agencia ENISA [Red Europea de Información y la Agencia de Seguridad] ha lanzado hoy su primera, global 600 páginas' País''''informes sobre el estado de las Redes y de Seguridad de la Información [NIS] en 30 países de Europa, incluida la cartografía de los interesados y las tendencias.

Los informes de los países son una evaluación de las actividades en curso y previstas de NIS en cada Estado miembro. Como tal, proporciona una visión general sobre el "estado del arte" en NIS en 30 países europeos: los 27 Estados miembros de la Unión Europea y los 3 países del EEE [Islandia, Liechtenstein y Noruega]. Cada capítulo contiene por ejemplo, país; País destacados, las principales partes interesadas Descripción, actividades, y las tendencias actuales, por ejemplo, centrándose en la situación de los regímenes nacionales de identificación electrónica, y las principales incidencias de fallos de seguridad que provocaron la pérdida de datos.

La clasificación y cartografía de los interesados y sus relaciones mutuas fue uno de los objetivos más importantes del informe. Las áreas más importantes en los que las organizaciones de nivel nacional tienen un impacto en los NEI fue trazado, a saber: Desarrollo de políticas: la redacción de, o asistencia en el proceso de elaboración, las políticas gubernamentales relativas a los NEI, NEI Aplicación de Políticas, Privacidad y Protección de Datos, Comunicaciones electrónicas, CIP / CIIP: la protección de infraestructuras críticas / protección de infraestructuras críticas de información, y [CERT] s: Computer Emergency Response Team.

El informe encuentra, no es sorprendente, que las instituciones y las responsabilidades varían sustancialmente de un país a otro. Sin embargo, algunas tendencias generales fueron identificados:

• - Los actores más importantes para la definición de las políticas de los NEI y los organismos gubernamentales: por ejemplo, el Ministerio de Comunicaciones, la Agencia Nacional de Reglamentación de las Comunicaciones Electrónicas (cuando se establezca), la Oficina Nacional para la Protección de Datos, el Ministerio del Interior, Defensa, o haber compartido responsabilidades de las diferentes áreas de NIS.


• - Red pública y Cuerpos de Seguridad de la Información: Público NEI con amplias responsabilidades en los órganos existen en alrededor de un tercio de los países. Sus tareas principales son, por ejemplo. la recopilación de información para cuestiones de seguridad de TI y el asesoramiento científico. Muchos también aprobar y certificar la seguridad de los sistemas nacionales de información.


• - CERT: Hay más de 100 CERT activa en la UE, pero su distribución geográfica es muy desigual. Casi todos los países tienen 1 o 2 del sector público CERT. La mayoría de CERT actúa como punto nacional de contacto con los NEI y coordinar la respuesta a las crisis.

El Director Ejecutivo de ENISA, Andrea Pirotti comentarios:
"ENISA ha realizado un amplio trabajo en el trazado de los nuevos Estados independientes en Europa a través de una serie de informes que diversos aspectos gráficos de NIS, por ejemplo, la identificación de las tarjetas de identificación electrónica de los Estados miembros las características de privacidad, y el Informe sobre escandinavos sensibilización por mencionar sólo algunos. Juntos con este último "los informes de los países'''', tejen un panorama completo de los nuevos Estados independientes en Europa para todos los encargados de formular políticas en los Estados miembros y en la UE."

Descarga del Informe completo

Preguntas más frecuentes

Visto en www.ibls.es/

SecuKid - Juego para moviles para conocer mejor algunos riesgos de Internet

SecuKid es un juego para móviles dirigido a todos los públicos, especialmente niños y adolescentes a partir de los 11 años. Está concebido para conocer mejor algunos riesgos de Internet, sus efectos y cómo prevenirlos.

Descarga

Presentación y objetivos del proyecto SecuKid
¿Quieres ver una DEMO?

dnsmap - Subdomain Bruteforcer for Stealth Enumeration

Main features
I know that bruteforcing subdomains is nothing new, and I also know that there are at least 3 tools out there that allow you to do this (probably many many more :-D ). However, I couldn't find a subdomain brute-forcer that allows me to:

• - obtain all IP addresses (A records) associated to each successfully bruteforced subdomain, rather than just one IP address per subdomain
• - abort the bruteforcing process in case the target domain uses wildcards (subdomain enumeration becomes unfeasible in this case as far as I know)
• - be able to run the tool without providing a wordlist by using a built-in list of keywords (however I also wanted to be able to run the tool using a wordlist file as an option)
  

Version 0.22 improvements
Version 0.22 added some improvements such as:

• - saving the results in human-readable and CSV format for easy processing
• - fixed bug that disallowed reading wordlists with DOS CRLF format
• - improved built-in subdomains wordlist
• - it also includes a bash script - dnsmap-bulk.sh - for running dnsmap against a list of domains from a user-supplied file. i.e.: bruteforcing several domains in a bulk fashion
• - bypassing of signature-based dnsmap detection by generating a proper pseudo-random subdomain when checking for wildcards

Web y descarga

R/3 Security Tips

QucikViewer (SQVI)

QuickViewer (SQVI) is a tool for generating reports. SAP Query offers the user a whole range of options for defining reports. SAP Query also supports different kinds of reports such as basic lists, statistics, and ranked lists. QuickViewer (SQVI), on the other hand, is a tool that allows even relatively inexperienced users to create basic lists. I have created a tutorial for SQVI. SQVI Tutorial

User assignment
Never insert generated profiles directly into the user master record (Transaction SU01). Assign the role to the user in the Roles tab in transaction SU01 or choose the User tab in role maintenance (PFCG) and enter the user to whom you want to assign the role or profile. If you then compare the user master records, the system inserts the generated profile in the user master record.

Do not assign any authorizations for modules you have not yet installed
If you intend to gradually add modules to your system, it is important you do not assign any authorizations for those modules you have not yet installed. This ensures that you cannot accidentally change data in your production system you may need at a later stage. Leave the corresponding authorizations or organizational levels open.

Creating SPRO Display only.
You might be asked to give SPRO display while implementing your SAP. Igenerally give these authoriztion to make it display only. Please test it.

Object	Field	Value
S_PROJECT	PROJECT_ID	*
S_PROJECT	PROJ_CONF	*
S_RFC	ACTVT	03
S_RFC	RFC_NAME	*
S_RFC	RFC_TYPE	*
S_TABU_CLI	CLIIDMAINT	'
S_TABU_DIS	ACTVT	03
S_TABU_DIS	DICBERCLS	*
S_TRANSPRT	TTYPE	Deactivate or remove PIEC and TASK
S_CODE	REMOVE	SPRO

Creating Authorization Fields
In authorization objects, authorization fields represent the values to be tested during authorization checks.
To create authorization fields, choose Tools --> ABAP Workbench --> Development --> Other Tools --> Authorization Objects --> Fields.
To create an authorization field, proceed as follows:

1. Choose Create authorization field.
2. On the next screen, enter the name of the field. Field names must be unique and must begin with the letter Y or Z.
3. Assign a data element from the ABAP Dictionary to the field.

You can often use the fields defined by SAP in your own authorization objects. If you create a new authorization object, you do not need to define your own fields. For example, you can use the SAP field ACTVT in your own authorization objects to represent a wide variety of actions in the system.

Creating Authorization Objects
An authorization object groups together up to ten authorization fields that are checked together in an authorization check.
To create authorization fields, choose Tools --> ABAP Workbench, Development --> Other tools --> Authorization objects --> Objects.
Enter a unique object name and the fields that belong to the object. Object names must begin with the letter Y or Z in accordance with the naming convention for customer-specific objects.
You can enter up to ten authorization fields in an object definition. You must also enter a description of the object and documentation for it. Ensure that the object definition matches the ABAP AUTHORITY-CHECK calls that refer to the object.

Locking Security Holes through IMG transactions
Even though you have restricted your users from SU01 or PFCG (to modifiy themselves or other people) they can get into these areas by the different IMG transaction codes. If your core team or user community has access to:

OY20 - Authorizations
OY21 - User profiles
OY22 - Create subadministrator
OY24 - Client maintenance
OY25 - CS BC: Set up Client
OY27 - Create Super User
OY28 - Deactivate SAP*

www.sapsecurityonline.com

Parámetros de Seguridad de SAP

¿Qué son los parámetros de seguridad en SAP R/3?

Es la manera que nos provee el sistema para determinar diferentes configuraciones del mismo ya sea de funcionamiento o performance (BASIS), como de seguridad… y estás últimas son las que más nos interesan.

A través de los mismos podremos definir cosas como el largo de la contraseña, la cantidad de dígitos obligatorios, tiempo de caducidad, entre otras opciones. La configuración de los mismos se hace a través de las transacciones RZ10 y RZ11 (perfiles globales, de instancia, o modificación dinámica).

En este post estaremos identificando siempre los parámetros con las versiones más actualizadas de SAP a la fecha… es posible que en versiones anteriores a SAP ECC 5 no se encuentren todos los aquí enunciados o tengan modificaciones en sus valores posibles.

Parámetros de restricción a las contraseñas:

login/min_password_lng = El cual permite definir el tamaño mínimo de la contraseña que va desde 3 a 40 (en las versiones más nuevas de SAP, anteriormente solamente hasta 8 )

login/min_password_lowercase = Cantidad mínima de caracteres en mínusculas.

login/min_password_uppercase = Cantidad mínima de caracteres en mayúsculas.

login/min_password_specials = Cantidad mínima de caracteres especiales (no 0 a 9, tampoco A-Z, ni a-z)

login/min_password_letters = Cantidad mínima de caracterés del alfabeto en la contraseña.

login/min_password_digits = Cantidad mínima de dígitos obligatorios en la contraseña (0-9)

login/min_password_diff = Cantidad de caracteres que deben diferenciarse entre la nueva contraseña y la anterior (para cambios de contraseña realizados por el usuario)

login/password_history_size = Cantidad de contraseña guardadas como historial de manera que no puedan repetirse las últimas “n” contraseñas (Mínimo 1 y Máximo 100).

login/password_expiration_time = Cantidad de tiempo definida en días que transcurre antes que expiré la contraseña del usuario y el sistema solicite un cambio de la misma. (el valor mínimo es 0 que significa sin caducidad y 1000)

login/password_change_waittime = Cantidad de días que deben transcurrir antes que el usuario pueda cambiar por sus propios medios nuevamente una contraseña. (Es para impedir que se evite el control de historial de contraseñas cambiando numerosas veces una misma contraseña)

login/password_compliance_with_current_policy = Este parámetro determina que durante los nuevos logins se verifique si la contraseña cumple con el estándar actualmente definido. (o no chequea, 1 chequea) De esta manera las modificaciones de parámetros de seguridad impactarán inmediatamente en los usuarios requiriendo que los mismos realicen un cambio de contraseñas en su próximo loguin si no cumplen la política actual.

login/password_max_idle_initial = Máximo número de días que la contraseña definida por el administrador (inicial) puede permanecer habilitada para que el usuario la utilice. (0 a 1000). Es utilizado para evitar que los usuarios sean dados de alta con contraseñas iniciales pero nunca ingresen al sistema dejando una puerta semi-abierta en el mismo sistema (contraseñas iniciales débiles)

login/password_max_idle_production = Similar al anterior pero aplicable a los cambios realizados por los mismos usuarios.

login/disable_password_logon = Permite desactivar el logueo por contraseña si se utiliza otro medio como ser SSO o SNC, para acceder al sistema.

login/password_logon_usergroup = Grupo de usuarios que podrá loguearse con contraseña a pesar de haber usado el parámetro login/disable_password_logon.

login/password_change_for_SSO = Define el comportamiento de la solicitud de cambio de contraseñas para sistemas con SSO (o a 3)

Estos son los parámetros de definición de las contraseñas que tiene SAP.



Parámetros respectivos a logueo de errores de logon, multilples loguins y otros varios:

Multiloguin

login/disable_multi_gui_login = Determina si el sistema permite logins desde más de un GUI. (o permite, 1 deshabilita). Es utilizado para evitar riesgos no detectados que un usuario sea utilizado desde más de una terminal, para ahorrar en términos de performance y para evitar problemas de licencias con SAP)

login/multi_login_users = En el se definen separados por comas, las excepciones al parámetro anterior, osea quienes pueden loguearse desde más de un gui independientemente de la definición del otro parámetro.

login/failed_user_auto_unlock = Aquí entre 0 y 1 se define si después de la medianoche los usuarios bloqueados por errores de contraseña se desbloquean automáticamente. Lo recomendable es que esto no suceda a diferencia del valor por defecto de SAP.

login/fails_to_session_end = En este caso se define la cantidad de errores en el ingreso de contraseña hasta que la sesión de un usuario llegué a su fin (pero no se bloquea el usuario, solo se lo desconecta del SAP GUI)

login/fails_to_user_lock = Este parámetro determina la cantidad de errores consecutivos en el ingreso de la contraseña a partir del cual se bloquea el usuario, el cual debe ser desbloqueado por el administrador salvo que el parámetro logins/failed_user_auto_unlock tenga un valor distinto de 0.

Otros parámetros

login/disable_cpic = A partir del mismo se deshabilitan las conexiones por el viejo protocolo CPIC.

login/no_automatic_user_sapstar = Este parámetro deshabilita el usuario harcodeado SAP* con contraseña PASS en caso que se borre el usuario SAP* del maestro de usuarios. (0 habilitado, 1 deshabilita). Para más información ver el artículo: http://www.seguridadsap.com/sap/usuarios-por-defecto-sap-ddic-earlywatch-etc/.

rdisp/gui_auto_logout = Mediante este parámetro se determina en segundos la cantidad de tiempo de inactividad antes que se terminé la sesión del usuario (0 deshabilitado)

login/system_client = El mismo define el mandante por defecto que nos aparecerá propuesto.

Fuente: www.seguridadsap.com

Helix3 vs Helix3 Pro - Learn the difference between these two Helix versions

Drew explains the difference between the old free version of Helix3 and the new soon to be release Helix3 Pro.

Video can be seen here:

CAINE 0.5 released!

Se encuentra disponible la ultima version de CAINE (Computer Aided INvestigative Environment).

Main features:
- WinTaylor, forensic frontend for Windows environment
- Html page IE-compatible to run the forensic tools in Windows
- Ntfs-3g updated to 2009.1.1 (resolve a ntfs-3g bug)
- New boot option: text mode.
- Ubuntu 8.04 packages updated
- Firefox 3.0.6
- Gtkhash, frontend for hashing files
- New reporting features: investigators and case name added
- Multi-language report: italian, english, german, french and portuguese
- Firefox starts with the list of tools and a brief utilization manual.

Tools and packages included in CAINE Live CD

• Autopsy 2.20
• foremost
• Fundl
• gtkhash
• Guymager
• LRRP
• ophcrack
• photorec
• scalpel
• SFDumper
• stegdetect
• testdisk
• TheSleuthKit 3.0
• afflib
• cryptcat
• libewf
• md5sum
• sha256sum
• sha512sum
• Abiword 2.6.4
• Firefox 3.0.5
• Dvdisaster
• GCalcTool
• Geany
• gparted
• gtk-recordmydesktop
• liveusb
• ntfs-3g
• VLC
• Wicd

Técnicas de seguridad y manejo de información

La División de Seguridad de EMC, presentó la semana pasada los resultados de una encuesta realizada a más de 200 profesionales de TI Colombianos, en cuanto al uso de los estándares mundiales de TI, como parte los programas de seguridad de la información y cumplimiento de normas de su organización.
La encuesta titulada “Cumplimiento de TI Simplificado” fue realizada por RSA en Septiembre de 2008 en la conferencia Cisco Networkers en Cartagena, y en ésta se demostró que las organizaciones colombianas poseen una gran comprensión sobre cómo facilitar el cumplimiento de normas y regulaciones, apoyándose en la implementación de iniciativas basadas en estándares y/o mejores practicas como ISO 27002 e ITIL.

La encuesta incluyó resultados obtenidos de instituciones financieras reguladas por la Superintendencia Financiera de Colombia, quien ha emitido normas mínimas obligatorias de calidad y seguridad para manejo de la información confidencial de clientes.

Requisitos de calidad y seguridad de información como estos, surgen constantemente y los negocios de todo el mundo se esfuerzan por establecer programas proactivos para la seguridad y el cumplimiento de normas.

ISO 27002 es un estándar de la industria que se estableció para brindar lineamientos para iniciar, implementar, mantener y mejorar los sistemas de administración de seguridad y los procesos dentro de una organización.
ITIL es un conjunto de conceptos y políticas que organiza el enfoque para administrar la tecnología de la información y adopta los códigos de prácticas de ISO, para administración de la seguridad de la información.
La investigación demuestra que las organizaciones que comprenden los puntos en común entre ISO 27002 y los requisitos específicos de cada país, como el emitido por la Superintendencia Financiera de Colombia, están mejor posicionadas para garantizar que sus soluciones tecnológicas puedan ser reutilizadas, lo que permite mayor eficacia, uniformidad y disminución de costos.

Los resultados de la encuesta de RSA realizada en Colombia hacen eco de esta tendencia mundial.
Una metodología basada en estándares puede satisfacer el cumplimiento de los requisitos de la Circular 052 u otras regulaciones y también centralizar múltiples iniciativas de TI. El resultado: los negocios se benefician por medio de la disminución de controles redundantes y el aprovechamiento de las inversiones en tecnología.
“En la actualidad, los negocios se enfrentan con el complejo desafío de demostrar y mantener el cumplimiento de múltiples regulaciones”, comentó Jorge Cortés, Gerente de Ventas de RSA en Colombia. “La encuesta revela que las organizaciones colombianas están usando un enfoque sofisticado para resolver estos problemas, mediante la implementación de un solo estándar estratégico, basado en las mejores prácticas mundiales. Este enfoque eliminará muchos ciclos repetitivos por los cambios y el desarrollo constantemente de requisitos legales y regulatorios”.

De los principales beneficios obtenidos al aprovechar los estándares mundiales, los encuestados afirmaron que el seguimiento de las normas ISO mejorará significativamente la seguridad de su organización (23%) y simplificará y optimizará el cumplimiento de normas (21%).

Las ventajas de un enfoque integral, basado en estándares para la seguridad de TI, es que excede el cumplimiento de cualquier regulación establecida y contribuye con la seguridad integral y la eficacia operacional. La adopción de un estándar mundial también puede ayudar a la organización a adaptar la seguridad de la información a la toma de decisiones estratégicas y a las políticas de administración de riesgos de manera más específica.

Descarga del informe completo de los resultados de la encuesta: Cumplimiento de IT Simplificado, Encuesta de RSA, Cartagena, Colombia, del 24 al 28 de septiembre de 2008.

Resultados en cifras
- El 63% de los encuestados recibieron capacitación sobre la importancia de las mejores prácticas y los estándares de la industria.

- El 62% de los encuestados enfrentan múltiples iniciativas de cumplimiento de normas, entre ellas, las reglamentaciones colombianas sobre la protección de datos y las reglamentaciones internacionales como PCI y Sarbanes Oxley.

- El 64% de los encuestados afirmó la importancia de que los estándares de seguridad de IT se acepten a nivel internacional.

- El 40% de estas organizaciones y que son reguladas por la Superintendencia Financiera, sostienen que el adecuado cumplimiento de normas es una obligación continua que se extiende más allá de cualquier plazo regulatorio explícito.


Link relacionados
- Informes de mercado revelan que el miedo a comprometer la seguridad TI disminuye la innovación en el 80% de las organizaciones
- Expertos en seguridad revelan las estrategias para sacar ventaja del negocio durante la crisis económica - continuación
- Seguridad de los Datos de Tarjetas de Crédito en América Latina

Acer presenta teléfono móvil con seguridad biométrica

La compañía taiwanesa Acer, uno de los cinco principales fabricantes de computadoras del mundo, presenta en el evento Mobile World Congress 2009 que se celebra en Barcelona una nueva línea de teléfonos móviles inteligentes, entre los que se destaca el Acer M900.

El Acer M900 es un terminal con un teclado completo deslizante, centrado en la gestión de correo electrónico, sincronización con el ordenador y edición de documentos. Incorpora el sistema operativo Windows Mobile 6.1 Professional, ofrece conectividad HSDPA, una pantalla táctil WVGA de 3,8 pulgadas y un sensor de huellas digitales integrado, como sistema de seguridad que simplifica la gestión de contraseñas. El terminal incorpora además un GPS, radio FM, grabadora de voz y una cámara de 5 megapíxeles con flash.

Noticia completa

Visto en www.idnoticias.com

Vídeos del 1st Security Blogger Summit

El equipo de Panda Security publico en su blog, los vídeos resúmenes con las declaraciones más relevantes del 1st Security Blogger Summit, el primer encuentro Internacional sobre Seguridad Informática celebrado por Panda Security el pasado 3 de febrero del 2008.

Mas videos...

Link relacionado:
- 1st Security Blogger Summit (Madrid)

Informe Anual de Deloitte sobre Seguridad en Instituciones Financieras

El Informe Anual de Seguridad en Instituciones Financieras, realizado por Deloitte, analiza el estado de las entidades financieras en materia de seguridad de la información:

Menos ataques a los bancos, pero más sofisticados; el presupuesto de seguridad sigue siendo escaso. Según sostiene el Informe Anual de Deloitte sobre Seguridad en Instituciones Financieras.

El 80% de las instituciones financieras dispone ya de un responsable de seguridad de la información. La seguridad se está convirtiendo en una función estratégica en las entidades, alineada cada vez más con el negocio. En este sentido, cada vez son más los CISOs (Chief Information Security Officer) que reportan al más alto nivel en las organizaciones (Consejo de Administración, Consejero Delegado, Comité de Seguridad).

Estas son algunas conclusiones del Informe Anual de Seguridad en Instituciones Financieras, realizado por Deloitte, en el que han participado más de 200 instituciones financieras, bancos y compañías aseguradoras de todo el mundo.

Un 92% de las entidades consultadas considera fundamental definir e implantar una estrategia a nivel de seguridad de la información. En este sentido, el 61% de las organizaciones tiene ya definida y formalmente documentada su estrategia de seguridad, un 21% se encuentra en fase de definición, y un 10% espera desarrollar una estrategia de seguridad en los próximos 12 meses.

Además, cada vez es mayor la involucración de los profesionales del negocio en la estrategia de seguridad de la organización (una de cada cuatro organizaciones afirma estar involucrada en este sentido). Pero se experimenta un descenso respecto al año anterior en aquellos que opinan que la seguridad se encuentra adecuadamente alineada con la estrategia de la compañía (un 32% en 2008 frente al 40% en 2007).

En sintonía con la coyuntura actual, las restricciones presupuestarias son, para el 56% de las entidades consultadas, el mayor impedimento a la hora de desarrollar una estrategia eficiente de seguridad. La cada vez mayor sofisticación de los ataques y la escasez de profesionales especializados en materia de seguridad son otras dos grandes preocupaciones para las instituciones financieras.

Inversión en seguridad
El presupuesto que las entidades dedican a seguridad de la información sigue siendo escaso. El 29% de las organizaciones consultadas destina entre un 1% y un 3% de su presupuesto de tecnología, mientras que sólo un 5% destina más de un 10% de su presupuesto a seguridad de la información.
En este sentido, más del 60% del presupuesto de seguridad se destina a la contratación de profesionales especializados, debido a la escasez de personal cualificado en esta materia dentro las entidades. Otra gran partida presupuestaria es la que se dirige a productos para garantizar la seguridad en accesos, antivirus, etc.
La principal causa por la que fallan los proyectos de seguridad en las compañías consultadas es la carencia de recursos. Además, el error humano sigue siendo el motivo principal de los fallos de los sistemas, por delante de la propia tecnología. En este sentido, la pérdida de información es la principal amenaza que observan las entidades para el próximo año, junto con otro tipo de riesgos propios del sector como el phising y el pharming. El ciber-terrorismo aparece como creciente amenaza para las entidades, con cada vez más ataques en la red de forma organizada.
La frecuencia de ataques externos en las entidades financieras se ha reducido respecto a 2007. Así, el porcentaje de empresas que afirmaron ser víctimas de repetidos ataques externos en 2008 fue del 47%, frente al 65% del año anterior. Sin embargo, el nivel de sofisticación de los ataques es mayor, haciendo que éstos sean cada vez más críticos.

La principal fuente de ataques externos hacia las entidades financieras son virus y gusanos, correo basura y programas de spyware. El phising continúa siendo frecuente en el sector, mientras que las conductas inapropiadas de los empleados suponen ya un elevado porcentaje (11%) motivo de ataques externos. Cabe destacar que hasta un 20% de las entidades afirma no haber sufrido ataque externos durante el último año.
En cuanto a amenazas internas, la principal fuente de ataques son los virus y gusanos, mientras que las fugas de información se han incrementado en los últimos años y son ya una de las amenazas más comunes.

Tecnología y soluciones
Las tecnologías líderes continúan siendo las soluciones de antivirus y filtrado de spam, así como los firewalls. Se ha extendido de forma notable la utilización de sistemas de detección de intrusos, y se detecta una tendencia al diseño y adopción de sistemas de gestión de vulnerabilidades. Sin embargo, la parte reactiva de la gestión de la seguridad se encuentra ya en un estadio maduro, y cada vez más surgen iniciativas orientadas a actuar de forma preventiva.


Descarga del estudio (PDF, 1,1Mb, 42 páginas), pulse aquí

Visto en www.financialtech-mag.com

Fallo en Canada dice que no se requiere orden judicial para acceder a logs

En Canada no se requiere orden judicial para acceder a logs.

Canadian judge: No warrant needed to see ISP logs
A Superior Court in Ontario, Canada has ruled that IP addresses are akin to your home address, and therefore people have no expectation of privacy when it comes to their online activities being accessed by law enforcement. This means that, in Canada, police can potentially request information from your ISP about online activities, and can do so without a warrant.

El fallo está comentado en Ars Technica.

Visto en www.delitosinformaticos.com.ar

Software gratuito de firma electrónica

Una de las aplicaciones de firma electrónica más populares es la herramienta ProFirma desarrollada por Albalia Interactiva.
Esta herramienta es totalmente gratuita y genera firmas codificadas según el formato PKCS#7 o CMS (Cryptographic Message Syntax).

Ya han aparecido instrucciones de instalación en video, desarrolladas por terceros:

Este es solo un ejemplo de los muchos en los que se opta por esta herramienta como una de las más sencillas para llevar a cabo la facturación electrónica.
Sin embargo, Albalia Interactiva dispone en la actualidad de herramientas más avanzadas y potentes tanto para firma (BackTrust) como para factura (Faccil).

Visto en inza.wordpress.com

Los menores ignoran su grado de desprotección en Internet

Pertenecer a una red social implica tener un perfil más o menos público donde hacer un diario sobre estados de ánimo, viajes, amigos... y completarlo con fotos, vídeos y comentarios. La estructura de información que esto genera alcanza una magnitud de la que no todos los usuarios son conscientes: El 43% tiene configurado su perfil de forma que todo el mundo puede verlo. Estas sociedades cibernéticas han enganchado ya a casi la mitad de los internautas en España. Facebook, Tuenti, MySpace y compañía se han convertido en las redes sociales más demandada por sus casi ocho millones de usuarios para compartir o subir fotos (el 71% utiliza esta aplicación), enviar mensajes privados (62%), comentar fotos de amigos (55%) y cotillear (46%).

Los riesgos a los que están expuestos los usuarios de las redes, el 70% menores de 35 años, han sido recogidos en un estudio elaborado por la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Tecnologías de la Comunicación (INTECO), dependiente del Ministerio de Industria. Ambas organizaciones han querido alertar sobre los peligros en relación a la privacidad de datos personales y seguridad de la información en redes sociales y ofrecer algunas recomendaciones para todos los implicados.

"El 37% de los usuarios tiene más de 50 contactos, pero ¿cuánta gente tiene más de 50 amigos?" Enrique Martínez, director de Inteco, explica esto en relación al crecimiento exponencial de las redes, cuyos adeptos en todo el mundo aumentaron un 21% entre 2007 y 2008 hasta alcanzar los 272 millones. El control de tal número de usuarios es muy complicado, sobre todo porque dos de las redes de más éxito en España, Facebook y Tuenti, no llegan a los tres años desde su creación, y menos aún desde que realmente han comenzado a implantarse de forma masiva. Aún así, Artemi Rallo, director de la AEPD, resaltó durante la presentación del estudio que ya les ha llegado la primera denuncia por suplantación de personalidad en una red social, uno de los riesgos a los que pueden enfrentarse los usuarios. Este problema, afirmó Rallo, puede ser menos importante cuando se trata de personas famosas, pero se agrava en el entorno escolar.

Darse de baja también puede complicarse: "Así como el acceso es ciertamente fácil", apuntó Rallo, "la suspensión de la cuenta puede plantear confusión porque a veces puede no implicar la eliminación de toda la información del usuario".

Los menores de edad son los usuarios más activos de las redes. Y también los más vulnerables. Aunque el 77% tiene un perfil público, el 59% no sabe hasta qué punto lo es. Además, por ley, los menores de 14 años no pueden dar ninguna información y no existe ninguna forma en la Red para controlar efectivamente la edad de los usuarios.

La propiedad intelectual es también un asunto comprometido. En la mayoría de las redes, el contrato que se establece incluye la adquisición de los derechos de lo que en ella se publique, pero lo complicado y poco probable es que los usuarios lean este contrato: "A mí, que soy licenciado en Derecho, me llevaría unas tres horas leer el contrato detenidamente; al usuario medio de una red imagínese", dijo Rallo. Por esto ayer se instó a las redes a cambiar estas fórmulas de contrato por otras con un mensaje más comprensible y en el idioma correspondiente, ya que a veces sólo está disponible en inglés.

En el estudio se recomienda un mayor control de los datos personales, que en muchos casos quedan indexados en los buscadores por lo que son accesibles al total de los internautas. Defendieron también un cambio en las configuraciones de los perfiles, que en muchos casos se encuentran por defecto en el nivel de mayor publicidad.
La principal fuente de financiación de las redes sociales es la publicidad, que supone el 86% de sus ingresos. Éste es otro problema, porque en la mayoría de los casos la publicidad está demasiado contextualizada, y eso se debe a que el sistema indaga en el perfil del usuario para conocer sus gustos y preferencias a través de cookies.

El objetivo del estudio es evitar los posibles delitos como suplantación de personalidad, ciberacoso o introducción de virus, y alertar a los usuarios, directivos de las redes sociales, etcétera, sobre estos riesgos y las necesidades de adaptarse a los cambios sociales dentro de la Red.

Fuente ELPAIS.com

Check online: Anubis - Analyzing Unknown Binaries

International Secure Systems Lab ofrece un servicio on-line de análisis de Malware, llamado Anubis.

Anubis is a service for analyzing malware.
Submit your Windows executable and receive an analysis report telling you what it does.
Alternatively, submit a suspicious URL and receive a report that shows you all the activities of the Internet Explorer process when visiting this URL.

For analyzing Javascript and Flash files try Wepawet.

Features:
- Report formats: In addition to the HTML report it is now possible to view the Anubis report in the PDF, plain text or the (original) XML format. The report is available for download in the MHT, PDF, XML or plain text format.
- Auxiliary File Submission: It is now possible to additionally submit DLLs or other auxiliary files, which are required by the executable.
- Pre analysis: For submitted files that are certainly no valid Windows executables we do no start Anubis but immediately present the output of the popular Unix 'file' command.
- Stability enhancements: Several bugs have been fixed in the main Anubis executable
- URL Analysis: Anubis analyzes an URL by opening it in the Internet Explorer and monitoring the brower's behavior.
- User accounts: You can create a user account on our homepage for having easy access to all your previous submissions.
- Webpages: All our web-pages and the Anubis analysis reports are now fully XHTML 1.0 conform. Moreover, you can now reach our homepage via HTTPS. In particular, you can submit samples via HTTPS (which allows one to submit samples if one is behind a virus-scanning HTTP proxy).
- ZIP submission: An executable can be submitted together with its auxilliary files packed in a ZIP archive.

Sample Reports

Anubis

Windows logra la certificación de seguridad internacional Common Criteria para varios productos

Microsoft ha anunciado que varios productos de la plataforma Windows, basados en Windows XP y Windows Server 2003 han obtenido la certificación Common Criteria (CC) para la evaluación de seguridad, un estándar que en España es otorgado por el Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI).

Según explicó en rueda de prensa Luis Jiménez, subdirector del Centro Criptológico Nacional, el marco de procedimientos para la evaluación de la seguridad se basa en parámetros aceptados en 22 países de todo el mundo, y se ha puesto en común con la industria y la Administración para su aceptación generalizada para todos los productos tecnológicos, tanto 'hardware' como 'software'.

En la actualidad, el CNI ya emite esta certificación de seguridad, y será su centro Criptológico el que evalúe --todavía no se encuentra a pleno funcionamiento-- las condiciones de seguridad de todos los productos tecnológicos que aspiren a un reconocimiento en esta materia. "El CNI --dependiente del Ministerio de Defensa-- incorporará al certificado de seguridad tecnológica todos los aprendizajes aplicados a la defensa nacional, y en el caso español ya está siendo aplicado al desarrollo del DNI electrónico", añadió Jiménez.

Por su parte, Héctor Sánchez, director de seguridad corporativa de Microsoft Ibérica, concretó que los productos que han obtenido la certificación con nivel 4 son Microsoft Windows Server 2003 (cuatro ediciones) y Microsoft Windows XP (dos versiones), sello que a su juicio aporta al producto "un criterio de objetividad" para los usuarios y "demuestra en especial el compromiso de Microsoft con la seguridad informática". La certificación de estos productos incluyó la simulación de 20 escenarios reales y pruebas a escala del código fuente de los distintos programas.
Acerca de la protección de sistemas operativos, entre ellos, los de código abierto o 'software libre', el directivo de Microsoft aportó datos de los fallos de seguridad registrados en 2005 (5.198 vulnerabilidades en los distintos programas), de los que 812 incidencias correspondían a Microsoft, 2.328 a las distintas versiones de Linux, y 2.058 eran comunes a todos los sistemas.

Miguel Bañón, representante de Common Criteria en España, precisó que la certificación no es "un cheque en blanco", pues pierde plena vigencia cuando aparece un "parche" o modificación de los programas, pero aseguró que "el certificado demuestra una alta calidad de producto y un firme compromiso de la empresa con la seguridad real".

"La declaración no es genérica ni universal, pero está aceptada por las principales instancias de países como Estados Unidos, Canadá, Australia, Francia, Alemania, Reino Unido o Japón, y por las grandes empresas y consorcios de todo tipo de productos, como Visa y otros fabricantes de tarjetas de crédito", concluyó Bañón.

Cibersur.com/Agencias

Las contraseñas más utilizadas en Internet son '1234' y 'password'

Lo reveló un estudio que analizó 28 mil claves que fueron robadas por hackers. Según los especialistas, el desinterés por asignar un código seguro facilita el trabajo de ciberdelincuentes.

Un estudio realizado en los Estados Unidos reveló que las contraseñas más utilizadas en Internet son '1234' y 'password' (que significa contraseña, en inglés), lo cual simplifica el robo de datos para los ciberdelincuentes. Según los analistas, la falta de imaginación y el desinterés a la hora de elegir una clave convierte a estos usuarios en una presa fácil de los hackers.
La investigación, llevada a cabo por la firma de seguridad informática Errata Security, analizó 28 mil contraseñas que fueron robadas recientemente de un sitio Web de Estados Unidos y se postearon en Internet. De ellas un 16% eran nombres, a menudo el del usuario o de sus hijos. Otro 14% se valió de claves fáciles de recordar y también de adivinar-, tales como '12345678', o 'QWERTY'.
Robert Graham, quien llevó adelante el estudio de Errata Security, sostuvo que la mejor protección ante ciber ataques es "elegir una contraseña que contenga más de ocho caracteres, y que cuente con algún símbolo y al menos una letra en mayúscula". También es recomendable no usar la misma clave en diferentes sitios, y renovarlas periódicamente.

Periodismo.com

BackTrack 4 beta release

Desde ayer ya se encuentra disponible la nueva versión de BackTrack.

BackTrack 4 Beta Is Now Debian Based

BackTrack 4 Beta is now based on Debian packages and uses Ubuntu software repositories, this change allowing any updates that are deployed to be immediately applied.

Highlights of Backtrack 4 Beta:
· the Kernel was updated to version 2.6.28.1 bringing better hardware support;
· BackTrack 4 Beta can now be booted over a network, using PXE supported cards;

· SAINT EXPLOIT, a network vulnerability assessment tool, and MALTEGO 2.0.2, an open source intelligence and forensic app, are now included;
· the latest mac80211 wireless injection patches were applied along with speed improvements for rtl8187;
· Pico e12 and e16 cards are now 100% functional with native support, enabling BackTrack 4 to take advantage of everything these incredibly small devices have to offer;
· Unicornscan, an information gathering and correlation engine is fully functional and features a web front end and postgress logging support;
· RFID support;

· Pyrit CUDA support and many more new and updated tools.

news.softpedia.com

Description: DVD Image
Name:: bt4-beta.iso
Size: 854 MB
MD5: 7d1eb7f4748759e9735fee1b8a17c1d8
Download: Click here

Disklabel: bt4-label.png

Description: VMware Image
Name: bt4-beta-vm-6.5.1.rar
Size: 1 GB
MD5: 38acdcbaf6c73d7c55180dfea8641e5d
Download: Click here

Mas informacion de Live CD/DVD/USB Back Track...

6th Annual Global Security Survey 2009 - Deloitte

Protecting what matters

The 6th Annual Global Security Survey, which benchmarks IT security and privacy in the financial services industry was published in February 2009. Some of its findings include: As in previous surveys, respondents recognize that people are both an organization’s greatest asset as well as its weakest link. But security vigilance is even more important in hard economic times, when the increased stress levels can lead people to behave in atypical ways. Even though both internal and external security breaches at financial institutions worldwide have fallen over the past 12 months, employee misconduct is a growing concern. The growing popularity of social networks and the proliferation of mobile media such as USB keys, MP3 players and PDAs, all cause an extra load on internal and external security. These devices present opportunities for unauthorized download and storage of confidential information in an unprotected medium. This is one of the factors that has contributed to the sudden rise of data protection and information leakage as a top priority for financial institutions—tied at second place with access and identity management. The top three information security priorities of financial institutions are: security regulatory compliance, followed by data protection and information leakage, and access and identity management. In 2008, financial institutions saw a decline in the number of both external (47% vs. 65% in 2007) and internal (27% vs. 30% in 2007) security breaches. The leading drivers for financial institutions to protect the privacy of their clients information are privacy regulatory requirements (79%) followed by reputation and brand concerns (70%).

Download: Sixth Annual Global Security Survey (2032 KB)
Published 4 February 2009

Día Europeo de Internet Seguro - Safer Internet Day

Campaña contra el ciber acoso en el Día de Internet Seguro

Microsoft se ha unido a la Comisión Europea, Protégeles, la Asociación Española de Pediatría y la Federación de Asociaciones de Scouts de España para concienciar a la sociedad española de la importancia de un buen uso de Internet por parte de los menores. Los esfuerzos se centran, principalmente, en la denuncia del acoso en Internet o cyberbullying.
Con motivo de la celebración del Día Europeo de Internet Seguro y coincidiendo con la inauguración del nuevo programa de la Comisión Europea Safer Internet 2009-2013, se ha presentado en Madrid una campaña que pretende contribuir a que los niños y adolescentes puedan disfrutar y divertirse en la Red sin riesgos. A tal causa contribuyen Microsoft, la Asociación Española de Pediatría (APE), Protégeles, la Federación de Asociaciones de Scouts de España (ASDE-Scouts) y la Comisión Europea.

La principal plataforma de esta iniciativa será la página web www.protegeatushijos.com, donde padres y menores cuentan con material educativo y formativo orientado a la protección contra los peligros de Internet: ciberacoso, robo de datos, abuso sexual… Además, se realizarán una serie de 80 jornadas de formación en colegios de Madrid, Barcelona, Bilbao y Sevilla a cargo de trabajadores voluntarios de Microsoft. El resultado serán 3.000 niños, 15.000 jóvenes scouts y 300 padres concienciados de la necesidad de hacer un buen uso de Internet. En las mismas, se hará entrega de una guía de seguridad online con consejos básicos y recomendaciones útiles realizada en colaboración con la APE y la organización, sin ánimo de lucro, para la protección de la infancia en Tecnologías de la Información y Comunicación, Protégeles.

Asimismo, la compañía de software mantendrá a lo largo del día de hoy una Infolínea de Seguridad Online Infantil, en la que empleados de Microsoft ofrecerán, de forma gratuita, soporte telefónico (913919889) y online a través de la dirección de Messenger diadeinternetseguro@hotmail.es. La campaña de comunicación de estas iniciativas estará presente en todos los websites de Microsoft: en su portal MSN, en Hotmail y en Messenger, así como en sus páginas corporativas

Además, Microsoft ha desarrollado en colaboración con la Asociación Española de Pediatría el software gratuito Windows Live Protección Infantil, con el que los padres pueden gestionar y supervisar el uso que sus hijos hacen de Internet. Se puede descargar en la web www.protegeatushijos.com.

Esta campaña de concienciación social se enmarca en el programa Safer Internet 2009-2013 de la Comisión Europea, que prestará especial atención al ciberacoso. El cyberbullying es un problema que según Marta Múgica, responsable de relaciones con la sociedad y campañas de comunicación de la Comisión Europea en España, “preocupa al 60% de las familias europeas, de acuerdo con los datos del Eurobarómetro”.

Y es que en los últimos tiempos, el acoso entre iguales utilizando Internet ha crecido, tal y como apuntaba Guillermo Cánovas, presidente de Protégeles. “Es un fenómeno que se está desarrollando particularmente entre las adolescentes, a quienes les gusta más Internet para relacionarse que a los chicos”. La asociación cuenta con la página www.protegeles.com donde se puede denunciar páginas con contenidos ilegales que atentan contra la integridad de los menores, como aquellas que fomentan la anorexia o el acoso escolar. “El número de denuncias se ha duplicado entre 2007 y 2008”, apunta Cánovas, “por la mayor concienciación y disposición de los ciudadanos a denunciar”.

Las redes sociales se perciben también como uno de los principales focos del acoso a menores. Desde las distintas asociaciones participantes en la iniciativa se promulga una mayor colaboración y compromiso de toda la industria. De hecho, la representante de la Comisión Europea enfatizó este punto incidiendo en el acuerdo firmado hoy en Bruselas entre 17 compañías de Internet, entre las que figuran Microsoft, Yahoo o Facebook, entre otras, con el objetivo de luchar contra los riesgos de Internet en el campo de las redes sociales. También el presidente de Protégeles señaló el vínculo existente entre su organización y distintas redes sociales –como MySpace, Habbo o Tuenti - como signo del mayor compromiso y colaboración de la industria en la lucha por la protección de los menores en Internet. Asimismo, destacó el papel jugado por ISP y empresas en el bloqueo de páginas que alentaban la anorexia, “al margen de la regulación española”.

Visto en www.idg.es

Link relacionado:
- El acoso escolar centra las acciones en el Día de Internet Seguro- Safer Internet Day 2009

Los códigos de seguridad fallan y sólo puedes rezar para que no te toque a ti

«La criptografía era patrimonio de militares y diplomáticos pero con la sociedad de la información pasó a ser un asunto del hombre de la calle»

Entrevista: AMPARO FÚSTER SABATER Investigadora del Instituto de Física Aplicada de Madrid y especialista en Criptografía

Las observaciones que la investigadora Amparo Fúster, del Centro Superior de Investigaciones Científicas (CSIC), hace sobre la seguridad de nuestros datos, nuestras operaciones bancarias, historiales médicos y otras informaciones confidenciales son inquietantes. «Vivimos en un mundo peligroso», sentencia, entre amenazante y divertida, a su paso por el congreso de la Real Sociedad Matemática Española que se celebra en Oviedo.

-¿Qué es la criptografía?
-La criptografía se ocupa de que una información confidencial aparezca oculta, de modo que el público general no tenga acceso a ella, sólo puede obtenerla el que la envía y el que la recibe. Ese es el arte de la criptografía -empezó siendo un arte y luego lo convertimos en ciencia-. Julio César ya utilizaba la criptografía para comunicar órdenes a sus generales. Durante siglos ha sido patrimonio de militares y servicios diplomáticos, pero al entrar en la sociedad de la información con tantos datos confidenciales la criptografía ha pasado a ser un asunto del hombre de la calle. Los matemáticos inventan procedimientos para proteger esa información pero siempre puede aparecer un criptoanalista malintencionado que lo rompa.

-¿Hay un código infalible?
-El cifrado Vernan, creado en 1917, es la panacea universal. Se ha probado su seguridad matemática. ¿Por qué no se usa? Pues porque es muy engorroso. Es caro y peligroso. Luego están los otros cifrados, más factibles pero matemáticamente hablando no son incondicionalmente seguros.

-¿Quiere decir que toda la información codificada que se maneja en el mundo se puede descifrar?
-Existe un grado confiable o fiable de seguridad. Es suficiente para que nuestros datos estén protegidos y para que se asiente la sociedad, aunque no es perfecta. Existe un código, el RSA, que se presta a aplicaciones reales como el DNI electrónico o los certificados de Hacienda, muy seguro, pero tiene una seguridad computacional. Eso quiere decir que son necesarios tantos cálculos que no habría tiempo para hacerlos. Pero los computadores cada vez son más rápidos. Con los ordenadores cuánticos el RSA se vendrá abajo y eso también sucederá si aparece alguien genial que descubre un procedimiento rápido de factorización, de descomponer esos números en otros más simples. Hay un argentino, Skolnic, que está trabajando en ello y en 2007 ya se aventuró a decir, en un congreso en Salamanca, que el sistema acabaría «quebrando».

-¿Qué sucederá entonces?
-Habrá que renovar el código, con números más grandes y difíciles de factorizar.

-¿Y ese interés de los matemáticos por hacer caer el código?
-Para un matemático se trata de prestigio personal. Quien lo descibre recibirá la medalla Fields, que es el Nobel de Matemáticas. Existe la posibilidad de sacarle un rendimiento económico, el que podría interesarle a una mafia, pero no creo que Skolnic acabe descodificando nuestra información bancaria.

-En la práctica el RSA es indescifrable pero, ¿es posible encontrar una pequeña brecha por la que acceder a la información?
-Pues sí. Todos los sistemas de cifrado tienen una fisura por la que colarse. Todos, incluso el RSA.

-A diario creamos y usamos un sinfín de códigos personales: el PIN del teléfono, el número secreto del cajero... ¿Cuál es su nivel de seguridad?
-Bajo, muy bajo para un experto y suficiente para ti. Hoy todo es información binaria: el cine, las fotos, la música... A nivel electrónico el mundo es 0 y 1, así que para un medio aficionado que disponga de algunos recursos es muy fácil descodificar el Canal Plus o piratear nuestra conexión wi-fi a internet.
-Mejor no plantearse lo que puede ser de nuestros datos en internet.
-Cuando haces una compra y das tu número de tarjeta hay compañías serias, que utilizan el «triple desk», pero aun cuando actúan correctamente tienes que pensar que ahora tienen el número de tu tarjeta y pueden usarlo. Lo mismo sucede en un restaurante: das tu tarjeta al camarero y ¿cómo sabes que no la va a clonar? Vivimos en un mundo peligroso.

-¿Usted realiza compras por internet con su tarjeta?
-Yo he dado mi número de tarjeta para hacer la reserva de este congreso, pero tengo un compañero que se resiste a hacerlo. Hay que pensar que el mundo funciona con estos códigos y que hay un negocio muy floreciente en torno al comercio digital. Fallan, pero se usan tan masivamente que la posibilidad de que te toque a ti es muy baja. Los códigos de seguridad fallan y sólo puedes rezar para que no te toque a ti, porque puede suceder.

-¿La identificación por caracteres físicos es más fiable?
-¿La seguridad biométrica? Los algoritmos de reconocimiento de huellas no son muy seguros, ni los del iris o el reconocimiento de voz... La máquina intenta imitar al ser humano pero es muy burda: es muy difícil de imitar.

-¿La votación electrónica tampoco es fiable?
-Aquí pueden darse tres problemas: que alguien suplante a un votante, que una persona vote más de una vez y que el voto sea conocible. Es un tema muy delicado porque se puede pifiar de muchas maneras.

«El PIN del teléfono o el número secreto del cajero tienen un nivel de seguridad
muy bajo para un experto pero suficiente para ti»
«Hoy todo es información
binaria: cine, fotos, música..., así que a nivel electrónico el mundo se reduce
a 0 y 1»
«La votación electrónica es un asunto muy delicado porque se puede
pifiar de muchas maneras»

Amparo Fúster Sabater
Licenciada en Ciencias Físicas por la Universidad Complutense en junio de 1979, se doctoró en la misma institución académica en el año 1985.
Es profesora de la Universidad Nacional de Educación a Distancia (UNED).
Trabaja como investigadora del Departamento de Tratamiento de la Información y Codificación del Instituto de Física Aplicada, un organismo dependiente del CSIC (Centro Superior de Investigaciones Científicas).
Está especializada en criptografía, codificación y claves secretas.
Ha publicado varios libros y artículos, con otros investigadores y en solitario, sobre técnicas criptográficas y métodos de cifrado.
Ayer asistió, como congresista, a las sesiones de trabajo organizadas por la Real Sociedad Matemática Española y dejó patente su capacidad divulgativa hablando de las aplicaciones de su especialidad en la vida cotidiana.


Fuente www.lne.es/

Quinto Congreso Argentino de Seguridad de la Información

Organiza: USUARIA

Lugar: Sheraton Buenos Aires Hotel

Fecha: 19 de Marzo 2009.

Usuaria (Asociación Argentina de Usuarios de la Informática y las Comunicaciones), consciente del significativo crecimiento de la Información en las empresas y la variedad de formas en que es posible compartirla, tanto en su magnitud como en su expansión en el mundo de los negocios, organiza esta Quinta Edición de SEGURINFO continuando así con sus aportes a la comunidad, generando el ámbito para compartir experiencias y evaluar soluciones a los desafíos que genera el crecimiento del uso de la Tecnología de la Información y las Comunicaciones.

Entre las áreas temáticas incluidas en el Programa del Congreso se desatacan:

• Unified communications
• Fraude y privacidad - Estrategia para disminuir riesgos
• Governance, Risk & Compliance
• Integración de seguridad en el SDLC
• Administración de la Seguridad de la Información
• Seguridad de la Información en la Administración Pública : Iniciativas, Normas, Prácticas y Soluciones
• Tecnologías Emergentes
• Seguridad, Amenazas y Riesgos en Comunicaciones Móviles
• Seguridad en sistemas Fiancieros


SEGURINFO 2009 reunirá a referentes de la actividad nacional, pública y privada:
• Directivos del sector público (nacional, provincial, municipal)
• Directivos de empresas (CEOs)
• Ejecutivos con decisión en temas afines (CFOs, CIOs)
• Integrantes del mundo académico
• Cámaras empresariales del sector de las TICs
• Organizaciones de la sociedad civil
• Medios de comunicación
• Políticos

USUARIA está formalizando el auspicio institucional de:
• Organismos públicos
• Cámaras empresariales
• Cámaras del sector TIC
• Asociaciones Profesionales
• Universidades y centros académicos de todo el país
• ONGs con actividad en el tema

Web del evento

Guía para proteger y usar de forma segura su móvil

El Observatorio de la Seguridad de la Información publica una guía para proteger y utilizar de forma segura el teléfono móvil.

En la actualidad, la inmensa mayoría de la población española cuenta con un dispositivo móvil. Bien se trate de un teléfono básico, bien de un dispositivo más sofisticado (tipo PDA o SmartPhone) la realidad es que se ha convertido en un elemento cotidiano para nosotros.
La Guía que le presentamos ofrece recomendaciones para garantizar una utilización segura de su móvil: qué hacer para proteger tanto el terminal como la información que contiene y cómo actuar en caso de robo o pérdida. También ofrece pautas sobre utilización segura de dispositivos con bluetooth y Wi-Fi. Todo ello, presentado de forma gráfica y didáctica.

La Guía para proteger y usar de forma segura su móvil es la primera entrega de una colección de materiales dirigidos a securizar los dispositivos móviles y redes inalámbricas. Pronto estarán disponibles en el apartado Estudios e Informes de la web del Observatorio de la Seguridad de la Información los siguientes ejemplares: la Guía para proteger la red inalámbrica Wi-Fi de su hogar y la Guía para proteger la red inalámbrica Wi-Fi de su empresa. Esperamos que le resulten de utilidad.

Descarga de Guia (PDF, 1.49 Mb)

1er Estudio Mundial sobre Seguridad de la Información Económica - McAfee

Unsecured Economies: Protecting Vital Information (Economías inseguras: protección de la información vital)

Se publicó las conclusiones del primer estudio mundial sobre seguridad de la información económica. En el estudio, Unsecured Economies: Protecting Vital Information (Economías inseguras: protección de la información vital), los expertos en seguridad y los principales encargados de la toma de decisiones en IT advirtieron que la actual recesión mundial pone en riesgo la información vital como nunca antes. Los resultados fueron analizados por el Consejo de expertos en seguridad cibernética de McAfee.

Investigadores del Centro para la Educación y la Investigación en Aseguramiento y Seguridad de la Información de la Universidad Purdue, examinaron las respuestas de más de 800 CIOs en Estados Unidos, Reino Unido, Alemania, Japón, China, India, Brasil y Dubai. La investigación examinó el lugar donde se origina la información vital como la propiedad intelectual, en dónde se almacena mundialmente, cómo se transfiere y se pierde.
Las empresas encuestadas estimaron que perdieron un valor combinado de US$4,6 mil millones en propiedad intelectual sólo el año pasado y gastaron aproximadamente US$600 millones en reparar los daños ocasionados por filtraciones de datos. Con base en estas cifras, McAfee proyectó que las empresas del mundo perdieron más de US$1 billón durante el año pasado.
“Basándose en las conclusiones de la encuesta, McAfee estima que el daño mundial de la pérdida de datos asciende a un billón de dólares”, afirmó Dave DeWalt, presidente y director ejecutivo de McAfee. “Este informe es una llamada de alerta, puesto que se estima que la crisis económica actual producirá una debacle mundial en lo que se refiere a la información vital. Las crecientes exigencias para que las empresas reduzcan sus gastos y su personal han llevado a un debilitamiento de las defensas y han generado mayores oportunidades para el delito. Las empresas deben dejar de percibir la seguridad como un objeto de costos y deben comenzar a considerarla un habilitador de negocios”.
El informe Unsecured Economies de McAfee sugiere que la capacidad de almacenar la propiedad intelectual en forma segura, es fundamental para la inversión en seguridad en Brasil, Japón y China. Sesenta por ciento de los encuestados en China mencionaron al "almacenamiento seguro" como una razón para resguardar la propiedad intelectual y otro tipo de información fuera de su propio país.
“Las empresas están subestimando demasiado la pérdida y el valor de su propiedad intelectual”, señaló Eugene Spafford, profesor de ciencias informáticas de la Universidad Purdue y director ejecutivo de CERIAS. “Al igual que el oro, los diamantes o el petróleo crudo, la propiedad intelectual es un tipo de divisa que se transa a nivel internacional y puede tener graves consecuencias económicas si es robada”.

Conclusiones clave:
- La recesión pone a la propiedad intelectual en riesgo:

Las organizaciones manifiestan una clara preocupación por la crisis financiera mundial y su impacto en la seguridad de información vital como la propiedad intelectual. El treinta y nueve por ciento de los encuestados cree que la información vital es más vulnerable en el entorno económico actual que antes.

- El compromiso de proteger la información vital varía:
Los países en vías de desarrollo se muestran más motivados e invierten más en proteger la propiedad intelectual que sus contrapartes occidentales. Brasil, China e India invierten más dinero en seguridad que Alemania, Reino Unido, Estados Unidos y Japón. El setenta y cuatro por ciento de los encuestados chinos y el sesenta y ocho por ciento de los encuestados indios invirtieron en asegurar su propiedad intelectual con miras a obtener ventaja competitiva.

- Actualmente, la propiedad intelectual es una divisa internacional:

Un objetivo emergente para los criminales cibernéticos es la propiedad intelectual y los expertos afirman que se ha producido un incremento en el número de intrusiones para robar datos corporativos por parte de las mafias cibernéticas organizadas. Los criminales cibernéticos se están concentrando cada vez más en engañar a los ejecutivos mediante sofisticadas técnicas de fraude electrónico. La principal preocupación del treinta y nueve por ciento de los encuestados es proteger su propiedad intelectual de ladrones de datos externos.

- Los empleados roban propiedad intelectual para obtener ganancias financieras y ventaja competitiva
Un número creciente de empleados con problemas económicos está usando su acceso a datos corporativos para robar información vital. A medida que la recesión mundial se prolonga y el trabajo legítimo desaparece, quienes buscan trabajo desesperadamente o los “topos cibernéticos” están robando datos corporativos valiosos, que pueden ser considerados interesantes por posibles empleados con el fin de incrementar su valor en el mercado laboral. Cuarenta y dos por ciento de los encuestados afirmó que los empleados desplazados eran la amenaza más significativa para la información vital.

- Amenazas geográficas para la propiedad intelectual:
Las percepciones geopolíticas están influenciando la realidad de las políticas de gestión de datos. Las empresas encuestadas identificaron a China, Pakistán y Rusia como zonas problemáticas por diversos motivos legales, culturales y económicos. Veintiséis por ciento de los encuestados evitaba intencionalmente almacenar propiedad intelectual en China. Sin embargo, cuarenta y siete por ciento de los encuestados chinos creía que Estados Unidos representaba la amenaza más grande para su propiedad intelectual.

El informe concluye con mejores prácticas sugeridas para proteger los activos digitales valiosos, no sólo con miras a sobrevivir, sino que a progresar, en estos tiempos complejos.

Descarga de informe Unsecured Economies/Protecting Vital Information (Requiere registro)

Video - McAfee, Inc. Research Shows Global Recession Increasing Risks to Intellectual Property


visto en www.compublish.com