Primer CERT en España de carácter privado enfocado a clientes corporativos

S21sec ha obtenido la licencia de Carnegie Mellon como S21sec-CERT y será el primer CERT en España de carácter privado enfocado a clientes corporativos.

S21sec-CERT es el primer CERT nacional de carácter privado dirigido al cliente corporativo, destinado a la información, coordinación y prevención de incidencias relacionadas con la seguridad digital y, a diferencia de otros ya existentes en nuestro país, estará orientado a la gran empresa y clientes corporativos.

S21sec pone en marcha el Centro de Inteligencia en Seguridad (S21sec intelligence center). El centro de inteligencia y seguridad se ha puesto en marcha aprovechando el esfuerzo realizado por la compañía para constituirse como CERT (Computer Emergency Response Team). S21sec-CERT tiene como objetivo detectar y resolver los incidentes que afecten a las organizaciones, debido principalmente a la proliferación de actividades delictivas en Internet las 24 horas, los 365 días del año.

El objetivo de ‘S21sec intelligence center’ es la aplicación de un proceso de inteligencia en el campo de la ciberseguridad. Este proceso consiste en el conjunto de métodos y herramientas que sirven para desarrollar, de forma coordinada, las actividades de búsqueda, obtención, análisis, almacenamiento y difusión de la información relevante y en el momento oportuno, transformada en conocimiento, apoya la toma de decisiones de acuerdo con su estrategia de actuación.

La aplicación de este proceso cíclico de inteligencia a nuestras actividades tradicionales en el ámbito de la seguridad proporcionará a los usuarios de este centro grandes beneficios para la toma de decisiones respecto a las amenazas y riesgos a las que se enfrentan:

• Enfoque proactivo, cuyo paradigma son los informes de prospección.
• Acceso a información que, por sí mismos, nunca podrían tener puesto que se basa en la experiencia de otros sectores o ámbitos de la seguridad.
• Análisis de amenazas con la evaluación de los impactos derivados de su materialización.
• Oportunidades generadas por nuevas tecnologías y procesos de seguridad.
• Cambios producidos en el entorno y que afectan o podrían afectar directa o indirectamente a la organización.
• Estudio de nueva legislación y evaluación de su influencia en el desarrollo de la actividad de la organización.

Los servicios que proporciona ‘S21sec intelligence center’ son posibles gracias a la amplia experiencia de S21sec en número (90% del sector financiero español); en tiempo (más de 9 años); y en exhaustividad de servicios (desde consultoría y formación, hasta auditoría y gestión de incidentes) que nos permite tener acceso a gran cantidad de información sobre la que basar el conocimiento generado.

Finalmente, siendo conscientes de la importancia de que todos los usuarios de Internet dispongan de información relevante para tomar decisiones relacionadas con su seguridad, ‘S21sec intelligence center’ proporcionará con distinta periodicidad información y alertas de seguridad de manera gratuita a todo el público, a través de su site https://cert.s21sec.com, para contribuir a un mejor conocimiento de los riesgos existentes en la Red.

S21sec-CERT, con su web pública https://cert.s21sec.com, sirve como un instrumento más de información sobre riesgos y servicios relacionados con la seguridad digital, uno de los pilares del trabajo de la compañía, que lleva más de ocho años formando a los expertos del futuro en la materia.

www.s21sec.com

Envío de correo electrónico no solicitado no es ilegal: Trend Micro

A pesar de la preocupación por asuntos legales, la practica no es ilegal, o por lo menos no en Rusia.

El botnet Storm ha sido vinculado con la Russian Business Network (RBN) que opera en San Petersburgo, Rusia. La RBN se ha asociado durante mucho tiempo con una variedad de crímenes, como el envío de spam, ataques, distribuidos de negación de servicio, phishing, pornografía infantil, robo de identidad y extorsión.

[...]

Fuente www.infochannel.com.mx

Hackearon la web del partido Oficial luego de las elecciones legislativas 2009 (Argentina)

Cuando uno accede a la web www.pj.org.ar/ se encuenta con este texto:

¿Que te pasa nestor, estas nervioso?
Se cosecha lo que se siembra...
Atte,
La Republica (adioskirchner@gmail.com)
pd: ¿Que te pasa nestor, estas hackeado?

Esta web pertenece al "Partido Justicialista" Consejo Nacional , partido oficial del actual presidente de Argentina "Néstor Kirchner" (http://es.wikipedia.org/wiki/N%C3%A9stor_Kirchner).

Informe sobre criminología virtual: CIBERDELINCUENCIA Y CIBERLEY 2008 (McAfee)

Estudio global anual de McAfee sobre la delincuencia organizada e Internet en colaboración con destacados expertos internacionales en materia de seguridad

El objetivo del informe anual sobre criminología virtual de McAfee ha sido siempre detectar las tendencias nuevas e inminentes en el comportamiento de la ciberdelincuencia, así como poner de manifiesto hasta qué punto este fenómeno es cada vez más organizado, sofisticado y global en lo que respecta a su enfoque y sus consecuencias.

Este año, en colaboración con expertos en ciberdelincuencia de todo el mundo, el cuarto informe anual sobre criminología virtual de McAfee revela en qué medida la ciberdelincuencia está ganando la batalla a la ciberley, y deja patente la necesidad de un esfuerzo global coordinado para restablecer el equilibrio.

Descarga: Informe sobre Criminología Virtual de McAfee - Ciberdelincuencia y ciberley (37 pag)

Tres conclusiones clave
En primer lugar, los gobiernos aún no consideran la ciberdelincuencia como una auténtica prioridad, lo que dificulta el desarrollo de la lucha para combatirla en todo el mundo. Además, la
amenaza física de terrorismo y desplome económico está desviando la atención política a otras cuestiones y, mientras tanto, los ciberdelincuentes no pierden el paso. La recesión ha resultado ser terreno fértil para las actividades delictivas, ya que los estafadores se afanan por sacar partido del uso cada vez más extendido de Internet y del clima de miedo y preocupación. ¿Corremos el riesgo de minar irrevocablemente la confianza de los consumidores y, como consecuencia, limitar las posibilidades de recuperación económica?

En segundo lugar, la acción transfronteriza de las fuerzas de seguridad sigue siendo un requisito insalvable para combatir la ciberdelincuencia. La coyuntura local dificulta la aplicación transnacional de las leyes. Por lo tanto, a menos que se asignen los suficientes recursos a los esfuerzos internaciones, los ciberdelincuentes seguirán siempre jugando con ventaja.

En tercer lugar, las fuerzas de seguridad siguen respondiendo de forma improvisada según el momento y no están convenientemente preparadas para hacer frente a la situación. Si bien se ha observado un cierto progreso, todavía existe una importante carencia en cuanto a formación y conocimientos en análisis forense digital y recopilación de elementos probatorios, así como en los tribunales de justicia de todo el mundo. Los cerebros de la ciberdelincuencia siguen sueltos mientras que los conocidos como “mulas” (o personas utilizadas con fines delictivos, a menudo sin ser conscientes de ello) responden ante la justicia. Algunos gobiernos son culpables de proteger a los delincuentes de su propio país. Las conclusiones sugieren que existe una necesidad cada vez mayor de armonizar las prioridades y coordinar las fuerzas policiales entre los distintos países.
El informe termina con un análisis de las medidas propuestas, tanto a escala local como internacional, para que la lucha contra la ciberdelincuencia sea más eficaz.

Link relacionado:
- McAfee: Informe 2007 de Criminología Virtual

¿A qué peligros pueden estar expuesto los niños y adolecentes que hacen un uso activo de Internet?

Como complemento al post "Programa Internet Segura - Recursos Docentes de Nivel Primario (Argentina)" donde le habíamos publicado algunos recursos del exitoso programa de capacitación y concientización "Internet Segura", presentamos las respuestas planteadas por el programa a la siguiente pregunta:

¿A qué peligros pueden estar expuesto los niños y adolecentes que hacen un uso activo de Internet?

1. Exposición a la violencia
A través de Internet, niños y adolescentes pueden acceder a sitios que hacen apología de la bulimia y la anorexia, las drogas, el racismo, el nazismo, la violencia y el suicido. Además de pornografía, páginas que incitan a la violencia, el terrorismo, la pedofilia y a realizar actos delictivos.

2. Violación de la intimidad familiar y personal

Pedófilos y delincuentes están permanentemente buscan niños y adolescentes, con el objetivo de tomar contacto con ellos, solicitándoles fotografías, conocerse personalmente, posar frente a una cámara Web, a veces a cambio de dinero, u ofreciéndoles publicación en diarios, castings de TV, ser modelos, etc. Algunas veces pidiéndoles sus datos personales: nombre, dirección, entre otros, con el objetivo de provocar daños (robos, secuestros, etc.) a la familia, involucrando a niños y adolescentes, algunas veces ingenuamente y otras concientemente, en delitos económicos, penales, contra los DDHH, etc.

3. Abuso emocional
El fácil acceso a la pornografía en línea expone al adolescente a materiales sexualmente explícitos y ésta suele ser una táctica usada por los pedófilos para reducir la resistencia del menor o las inhibiciones respecto del sexo.

Los pedófilos captan sus víctimas a través de salas de Chat, fotologs, Messenger, E-mail, juegos en red, sitios de encuentros personales, mensajes de texto (telefonia celular), etc. Una vez establecida la relación "amistosa" suelen enviar pornografía, primero adulta y luego infantil. Una vez creadas las condiciones apropiadas promueven un encuentro físico personal que, por lo general, es registrado a través de fotografías y videos. Aunque no se llegue a concretar el encuentro físico, los explotadores pueden conseguir imágenes del niño o niña a través de E-mail o cámara web.

4. Producción y difusión de imágenes indeseables

Las cámaras digitales y las cámaras web son otra manera de producción de pornografía infantil que involucran a niños y jóvenes que tienen acceso a las últimas TICs. Con ellas crean imágenes pornográficas de sí mismos, de sus amigos y de sus pares y luego las transmiten a espacios virtuales. Esto puede ocurrir por pedido de uno de sus pares o de un extraño. El advenimiento de las mini-cámaras, entre otras cosas, también permite que se tomen fotografías y videos sin que la persona objeto de esas fotos o video lo sepa.

5. Crisis en los patrones de cuidado
Han cambiado los peligros a los que los niños están expuestos y no han cambiado, al mismo tiempo, los paradigmas de cuidado de las familias y las escuelas. Los niños, niñas y adolescentes se han vuelto vulnerables en su propio hogar. Los adultos deben tomar conciencia que Internet es "salir al mundo" y la posibilidad de tener contacto con desconocidos, aún en la "seguridad" del hogar.

6. Cyber cafés: espacio compartido por adultos y niños/as
Se han constituido en otro lugar en el que los pedófilos-explotadores captan a las víctimas. Lamentablemente estos son considerados por los padres como lugar de juego o usados, muchas veces, como "guarderías" por padres y madres.

Hackearon la página oficial para consultar los padrones (Argentina)

Cuando faltan poco más de 24 horas para las elecciones, hackearon la página oficial para consultar los padrones.

La web www.padrones.gov.ar está modificada con calificativos de "chorros" y "ladrones". Todavía no se pudo comprobar si la base de datos también fue alterada.

Fuente: www.lahoradejujuy.com.ar

Network Barometer Report: Un 73% de los dispositivos de red funcionan con vulnerabilidades de seguridad (Dimension Data)

Los resultados subrayan los riesgos de una inadecuada configuración de los dispositivos de redy de los equipos que han finalizado su ciclo de vida.

Dimension Data, proveedor de servicios y soluciones de TI, ha dado a conocer un estudio que pone de manifiesto que un 73% de los dispositivos de red tienen vulnerabilidades de seguridad conocidas que pueden exponer a las organizaciones a ataques de seguridad tanto externos como internos y que podrían tener implicaciones importantes para el cumplimiento de normativas. La compañía también ha comunicado que cada dispositivo desplegado, por ejemplo un router, gateway, switch, etc, tiene en promedio 30 errores de configuración, exponiendo a las organizaciones a mayores riesgos y a tiempos de inactividad, a pesar del hecho de que existan amplios estándares publicados y recomendados para hacer frente a estos problemas.

Estos son algunos de los resultados más importantes del estudio “Network Barometer Report” dado a conocer por Dimension Data. El estudio presenta los datos agregados de 152 servicios de Secure Network Infrastructure Assesment (SNIA) realizados por Dimension Data en 2008 en organizaciones de todo el mundo. El SNIA es un servicio de evaluación de seguridad y de redes que descubre, cataloga y proporciona recomendaciones para soluciones de hardware y software en las redes de las organizaciones. La compleja situación de las evaluaciones de 2008 ofrece una visión general de la configuración de la red, las vulnerabilidades de la seguridad y el status de ciclo de vida de los dispositivos, acentuando la necesidad de mejora y concientización.

Conclusiones importantes del estudio incluyen:

· Errores en la configuración de la seguridad: de los 30 errores de configuración encontrados por dispositivo de red, 15 estaban relacionados a la configuración de la seguridad. Estos errores pueden exponer directamente a la organización a riesgos tanto internos como externos de violaciones de seguridad.

· Vencimiento de soporte: se encontró que un 43% de todo el equipo de red evaluado se encuentra dentro de la primera etapa de su ciclo de fin de vida, lo que significa una mayor dificultad para adquirir piezas de repuesto. Cuando esto ocurre, las organizaciones generalmente tienen que comprar equipo de fuentes alternas del “mercado gris”, que pueden ser mucho menos fiables que el fabricante original.

· Hacia la obsolescencia: de los equipos que tenían el status de end-of-sale, 56% se encuentra al final del periodo de mantenimiento del software (end-of-software-maintenance) o en los últimos días de soporte (last-day-of-support). El envejecimiento de los activos de TI y redes es un riesgo potencial para las organizaciones ya que incurren en tiempos de reparación más largos en el caso de fallas y una eventual falta de soporte.
· An amazing 73% of deployed IOS versions have known security vulnerabilities.

Download the Network Barometer Report (requiere registro), PDF, 25pag.



Link relacionado:

- Nota de prensa - Un estudio de Dimension Data señala que un 73% de los dispositivos de red funcionan con vulnerabilidades de seguridad

- Business is ready for networks are networks ready for business?

Rapidshare deberá pagar 34 millones de dólares (Alemania)

Un tribunal de Alemania dictaminó que el servicio de alojamiento de archivos Rapidshare deberá pagar alrededor de 34 millones de dólares por haber violado derechos de autor.

Gema, el organismo que representa a compositores de todo el mundo, llevó a Rapidhsare a juicio por haber alojado cinco mil canciones pretegidas con copyright, según registra el sitio Urgente24.com.

La Justicia le dio la razón al organismo y condenó al servicio a pagar una cifra millonaria. Además, lo obligó a retirar la lista de temas protegidos y tomar las medidas pertinentes para impedir que vuelva a estar disponible.

[...]

Fuente: La voz del Interior

Estudio: Barómetro Internacional de Seguridad en PYMEs 2009

Para completar el post "Según Panda, las empresas españolas son las más afectadas por los virus", publicamos el link para descargar el documento referenciado en el post.

Descarga del Estudio: Barómetro Internacional de Seguridad en PYMEs - Estudio anual sobre hábitos de seguridad (55 pag., PDF)

Estudio: Los profesionales de la seguridad también descuidan su protección

Esto lo indica un estudio de Credant Technologies, según el cual, estos profesionales, a pesar de sus conocimientos, descuidan la protección de sus datos al no poner contraseñas a sus dispositivos móviles lo que deja expuestos sus datos personales y corporativos.

Even IT Security Professionals can't be bothered with Passwords, finds survey!

Thirty five percent revealed they just don't get around to using a password on their business phones and smartphones, even though they know they should as they contain sensitive and confidential information! Surprisingly, IT professionals are only marginally better at using passwords than the general population, as a survey conducted earlier in the year by CREDANT found that 40% of all users don't bother with passwords on their mobile phones.

The sorts of information that IT professionals are storing on their smartphones and mobiles, many of which are totally unprotected with a password, include:

• 80% Business names and addresses
• 66% Personal names and addresses
• 23% Business emails
• 16% Personal emails
• 12% Bank account details
• 12% Business diary with details of all their appointments and meetings
• 7% Personal diary
• 5% Credit card information
• 4% Photos
• 1% Passwords and Pin numbers

Andrew Kahl, Sr. VP of Operations & Co-Founder from CREDANT Technologies explains "It is alarming to note that the very people who are responsible for IT security are not much better at protecting the information on their business phones than most of their co-workers, who don't necessarily know any better. If a mobile or smartphone goes missing and isn't protected with a password, and contains business names and addresses and other corporate data such as business emails, then the company is immediately in breach of the data protection act by failing to meet some of its principals on electronic data."

Notes to editors

The "mobile usage survey" of IT professionals was carried out amongst 227 IT professionals at Infosecurity Europe 2009.

A cheeky cartoon accompanies this release – if you would like a copy to use copyright free please download from visit: Cartoon
To hear more from Andrew Kahl about CREDANT Technologies at Infosecurity Europe 2009 visit:




www.credant.com

Link relacionado:
- Los profesionales especializados en seguridad TI también se saltan las normas.

A nivel mundial el mercado de software de seguridad en 2008, casi un 19% más respecto al año anterior (Gartner)

Al mercado de la seguridad no le afecta la situación económica

Aunque muchas industrias están sufriendo lo que algunos han denominado la mayor depresión desde la Segunda Guerra Mundial, la del software de seguridad parece mantenerse al margen de la actual situación económica, según la empresa de investigación de mercado Gartner.

A nivel mundial el mercado de software de seguridad alcanzó los 13.500 millones de dólares en 2008, casi un 19% más respecto al año anterior. La creciente demanda de productos basados en aplicaciones, particularmente en el segmento de seguridad de correo electrónico y gateways securizados son los responsables de ese crecimiento, dice Gartner. La economía, sin embargo, ha hecho que sea más difícil cerrar las ventas.

“Durante las épocas de incertidumbre económica y restricción de presupuestos se incrementa el valor de la efectividad de los costes y las medidas de seguridad, y esto impacta en ciclos de venta más lentos”, afirma Ruggero Contu, analista de Gartner. La ventaja, según Contu, son los nuevos métodos como las ofertas basadas en Software as a Service (SaaS), que incrementarán el interés de las pymes y que mantendrán el crecimiento en 2009.

Las cinco principales compañías de seguridad han incrementado sus ingresos en 2008, pero sólo McAfee incrementó su cuota de mercado, y sólo un 0,1%. Symantec perdió algo de cuota de mercado, desde el 24,4% de 2007 al 22% de 2008. Por regiones Europa del Este es la de mayor crecimiento, un 35%, aunque Norteamérica y Europa Occidental siguen contabilizando más del 76% del mercado.

Gartner prevé que el mercado de software de seguridad continuará creciendo en 2009, aunque menos, probablemente un 9%.

Por Rosalía Arroyo

Visto en www.itespresso.es

Programa Internet Segura - Recursos para Docentes de Nivel Primario (Argentina)

Chicos.net en colaboración con Save the Children Suecia y ECPAT international, desde el 2006 implementa el programa Internet Segura, sobre prevención de violencia a niños, niñas y jóvenes a través de TICs.

Este programa publica en su web distintos recursos para lograr entre todos los objetivos que busca el programa:

Materiales para docentes:

• Manual Programa Internet Segura - POR UNA NAVEGACIÓN E INTERACCIÓN RESPONSABLE - Nivel Primario
• Cuadernillo para el docente
• Aficheta con tips de Internet Segura
• Juego didáctico para implementar en el aula sobre la comunicación
  de los chicos a través del chat - Objetivo: Que los chicos puedan reflexionar sobre sus actitudes en un canal de chat cuando se comunican con una persona desconocida y adquieran pautas de autocuidado. Materiales: Tablero de Chat
• Tips de seguridad para niños
• Rol del docente
• Pautas para docentes y padres
• Recomendaciones sobre uso seguro y responsable de las TIC
• De qué hablamos cuando decimos “Uso responsable de las TIC por parte de niños, niñas y adolescente” - Por Andrea Urbas, Marcela Czarny - Chicos.net

www.chicos.net/internetsegura/index.html

Guía para la seguridad online de la familia (Google)

Internet es un maravilloso océano de información que ha cambiado la forma en la que estudiamos, jugamos, trabajamos y nos divertimos. Pero somos concientes de que no todas las páginas de Internet tienen contenidos apropiados para las familias y nuestros hijos.

Las redes sociales y lo que se ha dado en llamar Web 2.0 son herramientas insuperables para la comunicación y colaboración. Y si bien muchos lo llaman "mundo virtual", para los niños y adolescentes de hoy, ese es su "mundo real" y como tal tiene su lenguaje, sus códigos de conducta, sus bondades y también sus peligros.

Concientes del impacto que la tecnología genera en los jóvenes, queremos acercarles a las familias esta Guía que contempla una serie de consejos prácticos con el propósito de:

• Brindarle a los padres herramientas que los ayuden a elegir qué contenidos quieren que sus hijos vean online.

• Educar a las familias sobre cómo pueden hacer uso de Internet en forma segura.

Esta publicación brinda algunos consejos que les permitirán conocer como cuidar su privacidad, cómo minimizar el acceso a contenidos inapropiados y como participar de redes sociales sin revelar información sensible que no es para compartir con cualquiera, como así también saber cómo participar para denunciar la publicación de materiales considerados inadecuados.

Google Latinoamérica

Descarga Guia

SAP R/3 Security - Audit Check

There comes a time when you have to deal with auditors. I have put together a check list to go through. If this is a new implementation you should go through this and may be you can impress your boss.

If you have any doubts as to whether or not revisiting your SAP infrastructure security is worth your while, take this short test and see how well your SAP systems security now fares....

• follow the link
  
  
• SAP R/3 user ID SAP* and other system user id has been adequately secured.
  
  
• The production system has been set to productive.
  
  
• Access Restriction: SCC4 and SE06
  
  
• S_DEVELOP is secured
  
  
• Change management is secured and controlled
  
  
• Transport access to production is restricted
  
  
• Developer access in production
  
  
• Change critical number range is restricted
  
  
• Custom tables has authorization group
  
  
• Locking of sensitive systems transaction codes
  
  
• BDC user types should has only required access
  
  
• Run Program in the back ground
  
  
• Changes to critical SAP R/3 tables are logged
  
  
• Scheduling and Monitoring Batch jobs
  
  
• Access to run reports should be restricted.
  
  
• Critical and custom SAP R/3 tables are restricted.

If you feel I should add more email me admin@sapecc.com

Fuente: www.sapsecurityonline.com

Revista Sistemas ACIS # 110: Evolución y Monitoreo de la Inseguridad Informática

Este numero incluye los siguiente temas:

Monitoreo y evolución de la seguridad de la información -
Jeimy J. Cano. Ph.D, CFE

Information Security Savvy with Dr. Eugene Schultz
Entrevista a una de las autoridades mundiales en el tema central de esta edición.

“Sobrevivir en la economía del conocimiento - Seguridad Informática”
Álvaro José Trujillo M

Monitoreo y cumplimiento en la seguridad de la información
Sara Gallardo M.

Seguridad de la Información en Latinoamérica Tendencias 2009
Jeimy J. Cano. Ph.D, CFE

III encuesta nacional sobre seguridad informática en México Análisis de resultados y estudio comparativo 2007-2008-2009
MDOH. Gabriela María Saucedo Meza

Gestión de eventos y monitoreo en el estándar PCI DSS
David Eduardo Acosta R.

Convergencia de la seguridad
Andrés Ricardo Almanza Junco

www.acis.org

Buenos hábitos en seguridad informática

US-CERT ha publicado unos consejos que podemos usar todos los usuarios para reducir al mínimo el riesgo de que otras personas tengan acceso a nuestra información privada, así como que otras medidas podemos tomar.

Las recomendaciones de US-CERT nunca hay que despreciarlas, ya que US-CERT coordina la defensa y las respuestas de los ataques cibernéticos en EE.UU., por lo que me ha parecido interesante haceros llegar estos consejos mediante el artículo de esta semana.

Aunque se puede identificar a las personas que podrían tener acceso físico a tu ordenador fácilmente, ya que pueden ser los miembros de la familia, compañeros de cuarto, compañeros de trabajo, los empleados de la limpieza, ….. Identificar a las personas que podrían tener acceso remoto a tu ordenador es mucho más complicado.

Y siempre y cuando tengas un ordenador y conectado a la red, eres vulnerables a alguien, pero comentan desde US-CERT puedes acostumbrarte a realizar algunos de los siguientes hábitos que hagan que sea más difícil que alguien acceda a tu información.

• Bloquea tu ordenador siempre que estés ausente, incluso si sólo vas a ausentarte unos minutos, ya que es tiempo suficiente para que alguien destruya o corrompa la información de tu ordenador. El bloquear el equipo impide a otra personas que simplemente se sienten delante de tu ordenador y accedan a todo tu información.
• Desconecta el equipo de Internet cuando no lo estés usando, y aunque el desarrollo de las tecnologías, como DSL y módems de cable han hecho posible que estemos conectados todo el tiempo, puede ser peligroso.
  Ya que los atacantes escanean la red en busca de ordenadores que siempre estén conectados, de está forma si introducen un virus siempre puede estar propagándose por la red, por lo que un ordenador que siempre está conectado tiene más probabilidades de ser atacado.
  
  Y cuando se está conectado, hay que asegúrese de que tienes activado un firewall, en el foro podéis encontrar una lista de algunos firewalls.
• Otros de los hábitos a tener en cuenta es evaluar la configuración de seguridad, la mayoría de los navegadores y programas de correo electrónico ofrecen algunas funciones que permitan aumentar la comodidad o la funcionalidad, pero pueden más vulnerables nuestros sistemas.
  Por lo que es importante examinar la configuración de seguridad y seleccionar las opciones que satisfagan tus necesidades sin que pongan en riesgo tu ordenador.

El acceso a nuestros datos o sobre todo la perdida de ellos, no siempre es causada por lo atacantes, sino también pueden ser por subidas de tensión, …, y aunque no hay manera de controlar o prevenir estos problemas, podemos prepararnos para cuando sucedan y de esa forma minimizar los daños.

• Protege tu ordenador contra picos y subidas de la corriente que pueden producir que algún componente de tu ordenador se estropee.
  Hay muchas regletas de luz que proporcionan salidas para enchufar el ordenador, así como todos sus periféricos y que protegen el equipo contra picos, por lo que es muy recomendable usarlos ya que su coste no es muy elevado, y las piezas de un ordenador si que lo pueden ser.
  O bien podemos usar un SAI, que nos ofrezca un sistema de alimentación interrumpida cuando hay picos o cortes, de forma que nos permita apagar el ordenador correctamente, aunque son un poco más caros, en caso de apagón nos permitirá guardar toda tu información.
• Haz copias de seguridad de todos sus datos, probablemente ya hayas sufrido la mala experiencia de perder uno o más archivos debido a un virus, malware, troyano,… u otro motivo. Y si eres de los afortunados que aún no lo has sufrido, posiblemente algún día lo sufrirás.
  
  Por lo que es muy recomendable realizar regularmente copias de seguridad de tus datos en un CD, discos duros externos,… Cada cuanto realizar una copia de seguridad de tus datos es una decisión personal y la cantidad de información importante que trates cada día, semana o mes.
  
  Pero si no tienes claro cada cuanto tiempo realizar las copias de seguridad, puedes tener en cuenta las respuestas del resto de usuarios de Websecurity que contestaron a la encuesta ¿Con que frecuencia haces una copia de seguridad?.

Espero que estos hábitos os sean útiles y que los tengáis en cuenta para evitar perder vuestra información en la medida de lo posible.

Fuente original Cyber Security Tip ST04-003 - Good Security Habits.

Visto en www.websecurity.es

Schneier: "Los internautas son cada vez más sofisticados, pero más ingenuos"

El experto mundial en seguridad informática Bruce Schneier cree que los usuarios de Internet "son cada vez más sofisticados, pero también más ingenuos", y que lo que les interesa son "los resultados" y solo se preocupan por la seguridad "cuando las cosas no funcionan bien".

Ésta es la principal conclusión de la conferencia que pronunció hoy Schneier con motivo de la sexta cumbre del Club Málaga Valley, la reunión de compañías de telecomunicaciones que pretende convertir a la ciudad en el centro tecnológico europeo.

Schneier ha alertado de que a los internautas no les importan las estrategias que sigue la plataforma de correo G Mail o las formas de actualización de la red social Facebook, lo que les interesa es que todo funcione.
En este sentido, el considerado gurú de la seguridad en Internet ha señalado que la gente "compra servicios de seguridad por miedo a que les pase algo o a que algo no funcione" y que esto es utilizado por las empresas, "que lo aplican a sus nuevos eslóganes para incrementar las ventas".

El experto estadounidense ha alertado también de la dificultad que tienen las compañías de seguridad electrónica para vender sus productos, ya que "los comerciales no saben explicar lo que venden por su complejidad" y, como consecuencia, "se suelen perder buenas ideas".

La charla ha estado enmarcada dentro del seminario "Cómo pueden sobrevivir las empresas al día después: los nuevos retos de la seguridad en la sociedad de la información", celebrado en la Confederación de Empresarios de Málaga (CEM) y que ha servido de apertura al congreso de mañana.

La sexta reunión del Club Málaga Valley reúne en esta ocasión a un centenar de presidentes y directores generales de empresas tecnológicas internacionales que debatirán sobre la seguridad en la red.

Visto en www.adn.es


Bruce Schneier (ver en Wikipedia)

www.schneier.com/blog/

Symantec detecta Invitaciones falsas de Twitter

Usan el popular sistema de microblogging para atacar a usuarios.

Symantec Security Response detectó recientemente algunas invitaciones falsas de Twitter que contienen código malicioso y un gusano mass-mailer. Los mensajes detectados parecen ser enviados desde una cuenta de Twitter. Sin embargo, a diferencia de un mensaje legítimo de Twitter, no existe un URL o dirección web en el cuerpo del correo. En lugar de esto, el usuario que recibe la invitación falsa ve un archivo adjunto que parece ser un “.ZIP” que, supuestamente, incluye una tarjeta con detalles de la invitación que le han mandado. Al abrirlo, el adjunto contiene un gusano que recolecta direcciones de correo de la computadora infectada y se distribuye automáticamente al auto-copiarse en drives removibles y carpetas compartidas.

En mayo de 2009, Symantec observó que los niveles del spam aumentaron, representando ahora hasta 90% de todo el correo electrónico, situación que es consistente con lo observado en el mismo mes del año 2008.

Aunque la actividad de esta amenaza se ha mantenido baja hasta el momento, a medida que Twitter y otras redes sociales ganen popularidad entre los usuarios, el intercambio de invitaciones y correos entre usuarios de la misma red seguirá a la alza y los spammers seguirán aprovechándose del auge de las redes sociales para realizar sus ataques. Por ello, Symantec y recomienda tomar precauciones y mantener actualizado su software para evitar sufrir un ataque o contagiar a sus contactos.

Más información sobre este tema...

Visto en www.revistaitnow.com

WORKSHOP DE SEGURIDAD INFORMÁTICA - WSegI 2009 (Argentina)

Mar del Plata, Miércoles 26 de agosto de 2009

SADIO, la Sociedad Argentina de Informática organiza desde 1961 las JAIIO (Jornadas Argentinas de Informática), cuya realización se ha transformado ya en el hito anual de la Informática Argentina.

Desde hace varios años la seguridad informática marca su camino como disciplina independiente y como un componente vital de todos los sistemas informáticos. Día a día gana un papel cada vez más importante en el mundo de la tecnología.

En el ámbito académico es una disciplina transversal y de referencia en el desarrollo de investigaciones que posibiliten la comprensión de los riesgos y la mejora consiguiente de la informática en general. Hoy en día es difícil concebir la creación de un sistema informático que no integre, de alguna forma, algún aspecto de seguridad informática, convirtiendo a esta disciplina en un componente vital en el futuro del software y en el uso de las redes y sistemas en un mundo interconectado.

En el año 2009 las JAIIO regresan a Mar del Plata y abren sus puertas para recibir a esta actividad anual de la Facultad de Ingeniería de la Universidad FASTA y darle alcance nacional: el Workshop de Seguridad Informática (WSegI), convirtiéndose así en el primer espacio dedicado exclusivamente a la seguridad informática en la historia de las JAIIO.

La misión del WSegI es generar un marco académico de intercambio, discusión, encuentro y análisis de ideas, experiencias y proyectos en el mundo de la Seguridad Informática.

Temas a tratar (no excluyentes):

• Identificación, prevención o clasificación de Botnets.
• Identificación, prevención o clasificación de Malware.
• Penetration Testing. Metodologías y frameworks.
• Honeypots, Honeyfarms, Network Telescopes o Dark Networks.
• Detección de intrusiones e intrusos.
• Análisis de técnicas de ataques e intrusión.
• Protección de equipos y software.
• Autenticación y autorización. Sistemas biométricos. Anonimato.
• Seguridad en agentes móviles.
• Técnicas de ataque automático en la Web.
• Ingeniería inversa, seguridad en aplicaciones.
• Robo de identidad.
• Cifrado de datos y comunicaciones. Protocolos seguros.
• Seguridad en sistemas de almacenamiento.
• Seguridad en sistemas de redes sociales y en la Web Semántica.
• Privacidad.
• Seguridad en Maquinas Virtuales.
• Seguridad en sistemas Wireless.
• Prevención, estudio, eliminación o identificación de Spam.

[...]

Video: Seguridad en redes inalámbricas wifi

, shockwave-flash@http://www.youtube.com/v/vo90wWMqiwU&hl=es&fs=1&color1=0x234900&color2=0x4e9e00&border=1" href="http://www.youtube.com/v/vo90wWMqiwU&hl=es&fs=1&color1=0x234900&color2=0x4e9e00&border=1" id="">

Seguridad informática para pymes ¿Gasto o inversión?

􀃎 Plantear un correcto uso de las TIC es un asunto que requiere atención por parte del empresario y/o equipo directivo, porque es una herramienta de trabajo que, aprovechándola al máximo genera productividad y eficiencia.

􀃎 Ante los riesgos informáticos las pymes necesitan tomar precauciones con el fin de impedir ataques o infecciones externas. Según Coelco un 50% de los delitos a futuro se cometerán por medio de sistemas virtuales (cyberfraudes), resaltando que un 50% de las pymes nacionales no aplican una política de seguridad informática.

􀃎 En España el gasto en seguridad en las pymes con respecto al año anterior se ha mantenido en un 61% de las empresas, mientras que en un 10% ha diminuido, y en un 2% ha subido sustancialmente.

􀃎 Parece que algo de complejidad y respuesta tardía en los sistemas existe y condiciona el resultado. Es decir, la seguridad informática ayuda más ex-post y menos ex-ante con lo que no se anticipa plenamente a los riesgos.



Las pymes, componente importante en el motor de la economía, generan el 89% del empleo nacional. Plantear un correcto uso de las TIC es un asunto que requiere atención por parte delempresario y/o equipo directivo, porque es una herramienta de trabajo que, aprovechándola al máximo genera productividad y eficiencia. El uso de ordenadores en las pymes según señala AETIC es considerable, lo que representa la cara más visible de la implementación TIC en las empresas. Su penetración llega a un 93,3%, y con un incremento anual del 1,3% en los tres últimos años.

Ahora bien, la inversión en ordenadores es necesaria y esto está claro. Sin embargo, hay necesidades que surgen a raíz de estas implementaciones, como la seguridad informática, o inseguridad a que puedan estar expuestos los ordenadores de las pymes.

[...]

Fuente: www.n-economia.com/

Seguridad en la Gestión de Procesos Batch en SAP

A la hora de asegurar un sistema, un factor importante es la ejecución de procesos de fondo en SAP.

La posibilidad de ejecutar procesos de fondo es agradecida por muchos usuarios, y administradores ya que permite descargar los workprocess de diálogo de tareas pesadas para el sistema, pero que no necesitan una mayor interacción con el mismo.

De esta manera, procesos de cálculo, queries, largos reportes, etc, son ejecutados desde la SM36/SM37 o desde el menú de los mismos cuando lo permiten.

Para poder ejecutar procesos batch es necesario contar con el objeto S_BTCH_JOB, el cual tiene como opciones en su campo:

DELE - Eliminar jobs de fondo
LIST - Visualizar órdenes SPOOL creadas mediante job
PLAN - Copiar o repetir jobs
PROT - Visualizar logs de proceso de job
RELE - Liberar jobs (se realiza automáticamente si se planifica)
SHOW - Visualizar cola de jobs

Estas opciones deben configurarse funcionalmente a la necesidad del rol, aunque probablemente no sean para usuarios comunes los permisos de PLAN, DELE y la autorización de RELE puede estar segregada en el administrador del sistema. (Los usuarios planifican un job, y el administrador lo libera cuando considera que el sistema tiene menos carga)

También tenemos el objeto S_BTCH_ADM, que solo tiene las posibilidades de Yes y NO (Y/N), lo cual brinda autorización cross mandantes, y todos los permisos, la cual solo debe asignarse a administradores de de corresponder.

Y por último, uno que nos resulta interesante a la hora de revisar la seguridad es el S_BTCH_NAM. Este curioso objeto nos brinda la posibilidad que los jobs que nosotros creemos sean ejecutados por otro usuario, especificamente puede ser cualquiera de los usuarios que enumeremos en este objeto (seleccionable a la hora de crear el job, por parte del usuario).

Este objeto es de especial importancia, ya que en caso de poseerlo, nos permitiría ejecutar un proceso de fondo con permisos que no son los nuestros, y claramente el riesgo está en que es una práctica común utilizar un usuario con amplios permisos como BATCH, de manera que no “de errores”.

De esta manera un usuario podría ejecutar reportes para los que habitualmente no tiene permiso en forma batch y consultar el spool resultante del mismo.

En caso de requerirse este tipo de ejecución “impersonada”, los permisos deberían estar correctamente restringidos, para las necesidades específicas de la organización.

Fuente: www.seguridadsap.com

Survey: 20% of IT security professionals cheat on audits

A survey of IT security managers and technical staff has revealed that 20% admit to cheating on an audit to get it passed.

The survey by Tufin was conducted amongst 151 IT security professionals, many of whom were from multinational organizations and government departments, employing 1000 to 5000+ employees as part of their annual “Reality Bytes” security survey.

In fact, the survey discovered that 63% of companies only check and audit their firewalls from anything between 3 months to a year, with a staggering 9% never bothering to check their firewalls at all. 51% admitted that their firewall rules are a mess.

The survey also found that 22% of firewall audits take anything from a few weeks to a few months, with 70% saying that their audits take a few days.

However, from a security perspective with audits not being undertaken frequently and with many taking time to conduct, it can mean that many companies have firewalls that, at best, are running under par and, at worst, contain shadowed or obsolete rules that introduce unnecessary risk to the organization.

In the current climate cost savings are a huge priority to most companies, however in the area of IT security and compliance, 52% of companies have revealed that their organizations have not made them focus on cost cuttings at the cost of security and compliance, which are still priorities that money will be spent on. 48% report cost cuts have impacted their compliance efforts.

Fuente: www.net-security.org

Video: OWASP Top 5 and Mutillidae

According to IronGeek.com: This is a recording of the presentation I gave to the Louisville Chapter of OWASP about the Mutillidae project.
A while back I wanted to start covering more web application pen-testing tools and concepts in some of my videos and live classes. Of course, I needed vulnerable web apps to illustrate common web security problems. I like the WebGoat project, but sometimes it's a little hard to figure out exactly what they want you to do to exploit a given web application, and it's written in J2EE (not a layman friendly language). In an attempt to have something simple to use as a demo in my videos and in class, I started the Mutillidae project. This is a video covering the first 5 of the OWASP Top 10.

The slides for the presentation can be downloaded here.

Owasp Louisville 2nd Meeting from Adrian Crenshaw on Vimeo.

Visto en www.securitytube.net

Las redes sociales online redefinen la privacidad personal

Una generación entera está creciendo en compañía de webs de redes sociales como Facebook y MySpace, donde colocan información sobre su vida para que la vean sus amigos, y todo el mundo. Pocos usuarios se dan cuenta de que la información que revelan, cuando se combina con nuevas tecnologías de recopilación de datos, puede crear una especie de huella dactilar de su comportamiento.

19/6/2009 Universia Knowledge @ Wharton
Esa información genera oportunidades no sólo para los negocios legítimos, sino también para ladrones de identidad y otros depredadores, de acuerdo con profesores de Wharton y de otras instituciones.
"Se está desafiando la definición tradicional de privacidad", observa Andrea Matwyshyn, profesora de Estudios Jurídicos de Wharton, responsable de la organización, a principios de este año, de una conferencia en Wharton sobre las mejores prácticas de seguridad de la información [Information Security Best Practices Conference]. Entre otros temas, la conferencia trató sobre cuestiones de seguridad motivadas por las redes sociales.
La investigación sobre las redes sociales y la forma acerca de cómo se pueden alterar los patrones de privacidad está dando sus primeros pasos, según explican analistas del sector de tecnología. "Hoy en día, nuestros hijos darían toda su información personal, pero no sabemos qué consecuencias podrá tener eso a largo plazo", evalúa Peter S. Fader, profesor de Marketing de Wharton. "La privacidad es una diana en constante movimiento".
Los investigadores dicen que los límites de la privacidad varían de acuerdo con la persona y que esos límites están siendo probados por las redes sociales. Es difícil, dicen, señalar cuál es el impacto exacto de las redes sociales en Internet. Pero es evidente que las personas recurren cada vez más a las webs para mantenerse en contacto con los amigos, conseguir empleo y ampliar las posibilidades profesionales. Las webs de redes sociales atrajeron 139,8 millones de visitantes en abril, un aumento del 12% en relación a los 124,4 millones registrados en marzo, de acuerdo con comScore, empresa que mide el tráfico en Internet. La encuesta de abril constató que MySpace lideraba la categoría con 71 millones de visitas, Facebook venía a continuación con 67,5 millones y Twitter con 17 millones, lo que supone un aumento del 83%.


Explorando los datos
Lance Hoffman, profesor de Ciencias de la Computación de la Universidad George Washington que habló en el congreso de Wharton, dijo que al proporcionar datos como nombre, fecha de nacimiento y redes de amigos, los usuarios revelan mucho más de lo que se imaginan. Aplicaciones de terceros, dijo Hoffman, pueden llevar esa información fuera de los límites de camaradería de una web de red social y combinarlas con datos de otras fuentes y con eso reunir un volumen suficiente de información para robar la identidad del usuario. El nombre y la fecha de nacimiento -comúnmente encontrados en el perfil de Facebook- pueden ser muy útiles para un ladrón de identidades, dice Hoffman.
"He tenido estudiantes que usaron aplicaciones de terceros y así obtuvieron acceso a amigos de amigos, que fueron identificados por medio de reconocimiento facial", dice Hoffman. "Ellos no sabían qué hacer con esa información, pero quizás otra persona lo sabría. ¿Qué sucede cuando la obtención de ese tipo de información se automatiza?"
Durante la conferencia, Hoffman mostró cómo se establecen las conexiones sociales online y la facilidad con que un extraño puede formar parte de una red. Él dijo que constantemente le añaden a listas de contactos y le invitan a hacerse amigo de empresas que usan las webs como herramienta de marketing. Las páginas usadas por empresas en Facebook se han rediseñado recientemente para que se parezcan más a las páginas usadas por usuarios comunes.
Además de eso, la línea que separa las redes profesionales como LinkedIn, y redes sociales como Facebook, "se ha vuelto extremadamente fina", dijo Hoffman. Diversos usuarios de Facebook pueden crear una imagen más informal en ese tipo de sitio web, al contrario de lo que sucede en LinkedIn, donde sólo suelen poner información profesional. Sin embargo, ambas webs son visitadas por posibles empleadores y clientes, lo que puede generar complicaciones. Por ejemplo: cuando un contacto profesional de LinkedIn manifiesta que quiere hacerse su amigo en Facebook, ¿aceptaría la invitación? Si acepta, sepa que eso le permitirá acceder a las fotos de su perfil en las que usted aparece en imágenes captadas en una fiesta en la playa el pasado verano.

¿Y qué pasa con aquella persona, que no conoce, pero que desea ser su amiga porque tienen amigos en común? Según Hoffman, ese nuevo amigo tal vez sólo esté investigando su círculo social en busca de información. A medida que las redes crecen, y más amigos de amigos (y los amigos de ellos) son aceptados por los usuarios, ya no se sabe en quien confiar.
A fin de cuentas, la seguridad de las redes sociales depende del uso que haga cada usuario del servicio (es posible rechazar las invitaciones para hacerse amigo). Hoffman aconsejó a los usuarios de las redes sociales que conozcan las políticas de privacidad de las webs que frecuentan, gestionando, entre otras cosas, de qué forma se utiliza la información que suministra.
Al mismo tiempo, dijo Hoffman, las webs deben trabajar con políticas de privacidad fáciles de entender. "Las políticas difieren en la teoría y en la práctica. En la teoría, el consumidor conoce la política de privacidad de la web y confía en la red. La realidad es que nadie lee ese tipo de cosas. Yo no las leo". Hoffman citó la política de privacidad de Facebook como ejemplo de política oscura, que garantiza a los usuarios el control de sus datos y las informaciones que comparte. (La versión más reciente tiene más de 3.700 palabras - es decir, más del doble de palabras de este artículo). Hoffman aboga por la necesidad de nuevos formatos para las políticas de privacidad. Éstos serían semejantes a los rótulos de nutrientes que hay en los productos alimenticios.

Privado aquí, pero allí no
Un estudio realizado por Alessandro Acquisti, profesor de Gestión y Políticas públicas de la Universidad Carnegie Mellon, que participó en el congreso, constató que las ideas de las personas sobre privacidad son maleables dependiendo del contexto de la interacción. De acuerdo con Acquisti, las personas se muestran más dispuestas a divulgar información personal importante -foto, fecha de cumpleaños, ciudad natal y número de teléfono- en webs de red social que en otras webs. Su estudio, de 2005, llamó la atención sobre los problemas relativos a la privacidad, como el acoso virtual y real.
"La gente dice que su privacidad es importante, pero se comporta de tal forma que se hace evidente la falta de preocupación por ella", dijo Acquisti. "Las decisiones y evaluaciones de privacidad son cosas maleables", pero hay dudas en cuanto a los factores que conducen a una apertura mayor. Uno de esos factores puede ser el "efecto manada", dijo. En un estudio realizado, Acquisti constató que las personas divulgan información cuando ven a otras haciendo lo mismo. Esa tendencia, en su opinión, tal vez explique porque tantas personas se muestran dispuestas a suministrar información personal en Internet.
La información cosechada en esas webs es útil no sólo para los ladrones de identidad, sino también para quienes trabajan en marketing y otros negocios igualmente honestos. A veces, la información puede ser usada para cazar delincuentes, según muestra la investigación llevada a cabo por Shawndra Hill, profesora de Gestión de Operaciones y de la Información de Wharton, junto con Deepak K. Agarwal, Robert Bell y Chris Volinsky, investigadores de AT&T. Hill dice que el patrón de comportamiento en varias redes puede revelar características esenciales del usuario semejantes a huellas dactilares - o quizás huellas dactilares de amigos, - que podrán ser usadas para solucionar una serie de dificultades propias de los negocios, del marketing dirigido a la publicidad o a la detección de fraudes.

El estudio, titulado Construyendo una representación eficaz para redes dinámicas [Building an Effective Representation for Dynamic Networks], tiene su origen en una propuesta de solución de fraude en la industria de telecomunicaciones. Los autores querían identificar los suscriptores del servicio telefónico que dejaban de pagar frecuentemente sus cuentas contratando el servicio mediante seudónimo. El problema no es nuevo. Pero el enfoque del estudio era mostrar de qué forma se podía identificar claramente la firma de la red social del cliente y compararla a las firmas creadas por clientes que habían dejado de pagar la cuenta anteriormente. "Los morosos reincidentes pueden ser identificados a lo largo del tiempo, a pesar de los seudónimos, gracias a su 'firma de red social', según explica el estudio.
"En otras palabras, el consumidor es aquel a quien telefonean, envían un correo electrónico o un mensaje instantáneo", dice Hill. "Aunque no sea difícil entrar usando un seudónimo, es extremadamente difícil cambiar de amigos y de familia". Grandes empresas de telecomunicaciones, proveedores de Internet y webs de redes sociales como MySpace y Facebook disponen de ricos conjuntos de datos que pueden ser consultados para identificar las firmas de red. Hill dice que la técnica está en fase de perfeccionamiento. Su precisión actual es del 95%.
Pero las cuestiones relacionadas con la privacidad son problemas complicados para los profesionales de marketing, que han estado buscando modelos de éxito de publicidad para las redes sociales. De acuerdo con la empresa de investigación eMarketer, el gasto en ese tipo de publicidad será de cerca de US$ 1.290 millones este año, mucho más que el valor previsto de US$ 1.170 millones en 2008. MySpace es dueño del 50% del total de los ingresos. La publicidad en redes sociales corresponde a una pequeña parte de los US$ 25.700 millones que se gastarán en anuncios online en 2009, según datos de eMarketer.

Eric T. Bradlow, profesor de Marketing de Wharton, dice que el mayor objetivo de cualquier profesional del área de marketing es monitorizar el cliente y sus amigos -y lo que dicen acerca de un determinado producto- por medio de las redes sociales. "Las personas se muestran más dispuestas a divulgar información si el objetivo es social, y los principales usuarios están en la franja de los 18 a los 25 años", observa Bradlow. "Los patrones sociales relativos a la privacidad ya no serán los mismos de antes".
Pero según dijo Acquisti, las normas sociales aceptables estarán sujetas al contexto. "Vamos a imaginar que una gestora de tarjetas de crédito tuviera la información que usted colocó en Facebook", dice Bradlow. "Se asustaría. Es el contexto. Las personas quieren determinar cuándo y dónde se pueden compartir los datos".

Fuente: www.universia.pr

Decálogo Seguridad (Campaña AVG)

Decálogo Seguridad

• - Instalar todas las actualizaciones de seguridad de tu sistema operativo, sobre todo las críticas para evitar que tu sistema se vea comprometido por tercero.
  
  
• - Mantén tu antivirus actualizado al día, realiza análisis diarios y sobretodo mantén tu cortafuego activado en época de vacaciones.
  
  
• - Evita consultar tu correo, cuentas bancarias o información sensible a través de ordenadores públicos.
  
  
• - Utiliza las conexiones Wifi públicas (aeropuertos, restaurantes, bares, etc.) para consultas generales evitando enviar ni consultar información privada ya que puede ser capturada por terceros.
  
  
• - No abrir correo electrónico dudoso incluso viniendo de conocidos. Es mejor asegurarse que ha sido enviada por la persona conocida antes de abrirlo.
  
  
• - Evita mantener encendido el bluetooth y wireless del móvil, ordenador o PDA si no es necesario.
  
  
• - Asegúrate de desactivar el auto arranque de las unidades extraíbles como memorias USB, tarjetas SD, CF, etc. Para evitar ser contagiado por USB de terceros, protege tus tarjetas de memoria y USB contra escritura para cuando los insertes en ordenadores de otros.
  
  
• - Comprueba periódicamente los movimientos en cuentas bancarias y tarjetas de crédito.
  
  
• - Evita dejar tu portátil sin supervisión en lugares públicos.
  
  
• - Haz copias de seguridad de tu sistema antes de salir de vacaciones.

Fuente: www.avg-antivirus.es/VeranoSeguro/

Microsoft Security Essentials será el verdadero nombre del antivirus gratuito de Microsoft

Microsoft Security Essentials parece ser el verdadero nombre del próximo antivirus de Microsoft, que accelerará la desaparición del anterior Windows Live One Care y posiblemente de Windows Defender, como soluciones antimalware. En un artículo anterior habiamos llamado al nuevo antivirus de Microsoft con el nombre de Morro, parece ser que era un codename propio de la empresa de Bill Gates para referirse a la aplicación antes de su lanzamiento.

Pese a que Morro era el nombre que se conocia hasta ahora, una versión pre-beta de la aplicación de Microsoft y una actualización de Windows Defender, han sido filtrados. Pese al esfuerzo realizado por Microsoft para mantener limitada la información acerca de su próxima solución antimalware, que será gratuita, el producto que se conocia como Morro, ha sido filtrado, revelando el verdadero nombre como Microsoft Security Essentials (MSE), y junto con algunas imágenes previas, unos screenshots que no revelan su funcionamiento aunque aparecen algunas características como protección en tiempo real además de las prestaciones antivirus.

[...]

Visto en www.spamspam.info

Propiedad intelectual de ISO

He leído algunos lineamientos con respecto al uso de la palabra ISO, por parte de la Organización Internacional para la Estandarización (International Organizatión for Standarizatión). A pesar de que originalmente se consideró la palabra ISO, con el significado griego "isos", "igual", hoy dia se ha ligado esa palabra a la Organización prohibiendo su uso principalmente en sitios de internet, sujeto a demandas. Como ISO, no son siglas pues no corresponden en ningún idioma con el nombre, ni abreviatura, me causa duda si es posible que exista alguna restricción para utilizar la palabra ISO ligada a otras palabras como "isosceles", "isobárico" o bien "isoscorecard".

Quisiera conocer el criterio de los miembros de esta red al respecto.

Lineamientos
Sobre la utilización del nombre de ISO

Dentro del contexto de la normalización internacional y sus actividades relacionadas (como las de consultoría, capacitación, evaluación de conformidad – incluyendo la certificación), “ISO” (o, “iso”) corresponde a la abreviatura del nombre de la Organización Internacional para la Normalización. El nombre se encuentra registrado, dentro de este contexto, como propiedad exclusiva de la ISO, y la Organización lo protege en nombre de todos los miembros de ella – estos son los organismos nacionales de normalización de alrededor de 150 países. De manera particular, la ISO desautoriza la utilización de la denominación “ISO” (o, “iso”) por parte de cualquier organización que no sea miembro de ella; y esto aplica a nombres de dominio en Internet, nombres de sitio en la Red, marcas registradas o comerciales, compañías/organizaciones, productos, y otros. El uso del nombre, fuera de esta condición, puede conducir a terceras partes a la engañosa conclusión de que un nombre de dominio, o de un sitio web, o de una marca comercial o registrada, o de una empresa u organización, o de un producto involucrado, representan a la ISO; o de que existe alguna aprobación o autorización para actuar en representación de la ISO, o de que pertenece a la ISO.

Bajo estas consideraciones, la ISO emprenderá todas las acciones que sean necesarias para prever la utilización fraudulenta de su nombre.

Sobre la utilización del logo de ISO

El logo de ISO es una marca comercial registrada. Salvo que exista una autorización expresa de la ISO, el uso de su logo se encuentra prohibido. De manera específica, la ISO no permite que su logo sea utilizado de ninguna manera en asociación con actividades de evaluación de la conformidad. Tales actividades incluyen la certificación tanto de sistemas de gestión, como de productos, servicios, materiales, o de personal, aun cuando cualquier certificación dé prueba de conformidad con respecto a una norma ISO, tales como a alguna de las ISO 9000 o de las ISO 14000. Algunos ejemplos de utilización inaceptable del logo de ISO incluyen su uso en productos, en publicaciones, en sitios de Internet, en materiales y acciones de mercadeo, avisos publicitarios y encabezados membretados.

La permisibilidad del uso del logo de ISO podría generar la falsa idea de que la ISO desarrolla actividades de certificación, o de que aprueba o autoriza a alguna organización para que utilice su logo. En realidad, tales actividades no constituyen funciones operativas de la ISO.

La ISO no constituye un ente auditor, ni registrador, ni certificador de sistemas de gestión, ni de productos, servicios, materiales, ni de personal, y tampoco la ISO avala a cualesquiera de tales actividades que llevan a cabo otras entidades. La ISO desarrolla Normas Internacionales, pero no desempeña ningún papel en cuanto a la evaluación de conformidad con respecto a ellas.

Bajo estas consideraciones, la ISO emprenderá todas las acciones que sean necesarias para prever la utilización fraudulenta de su nombre.

El servicio de consultas dispone de guías adicionales, y de un formato para realizar consultas con respecto a la utilización del logo de la ISO.

Casos de mal uso de la abreviatura “ISO” (o “iso”) en los nombres de dominios

Algo que repetidamente preocupa a nuestra atención es que un número cada vez mayor de compañías e individuos –ya sea involuntariamente o con la intención de obtener provecho del prestigio de la ISO– desarrollan actividades de capacitación, consultoría o de certificación, utilizando dominios de Internet en cuyos nombres incluyen la abreviatura “ISO” (o “iso”). Por esta razón, la ISO declara que estas compañías o individuos no se encuentran ni afiliadas ni patrocinadas por la ISO, que no tienen relación alguna en absoluto con la ISO, y que, en consecuencia, no están autorizadas ni cuentan con aprobación para actuar en nombre de la ISO, y que la ISO no les ha encargado ni la venta ni la entrega de productos o servicios de la Organización.

La ISO emprende acciones en los casos de mal uso del nombre ISO. Por ejemplo, la ISO ha contactado a numerosos propietarios de tales nombres de dominio, pidiéndoles que suspendan la utilización de los dominios que contienen “ISO” (“iso”). La mayoría ha accedido a cumplir con esto. En algunos casos, y por iniciativa propia, los propietarios nos han contactado en relación a los nombres de sus dominios, y, posteriormente, han accedido voluntariamente a suspender el uso de nombres confusos de dominio; por ejemplo, Charter Business Solutions (iso9.org, iso14001.org).

Cuando un propietario no ha accedido al requerimiento de la ISO, la Organización ha procedido a trasladar su reclamo al Centro de Arbitraje y Mediación de la OMPI (Organización Mundial de Propiedad Intelectual). Como resultado de estas acciones, hasta la fecha, los siguientes nombres de dominio han sido transferidos a la ISO:

iso-audit.com
isoaudit.com
iso-compliance.com
isoconsultant.net
iso-standard.com
iso-qa.com
iso9.com
isoquality.com
iso14.com
isostandards.org
iso17.com
isostandards.net
isoninethousand.com
qs-iso9000.com
iso-online.com
iso9000commerce.com
isowizard.com
iso1stop.com

La ISO también se reserva el derecho de emprender acciones legales en casos de mal uso del nombre ISO.

Fuente: http://ictnet.es/2009/propiedad-intelectual-de-iso