2009 IT Skills and Salary Report

Como complemento al post donde presentamos un reporte relacionados con los salarios: "Security Industry Salary and Certification Survey 2008", tenemos otro estudio similar denominado "2009 IT Skills and Salary Report" publicado por Global Knowledge Training LLC y TechRepublic donde se describen distintos roles con IT entre ellos los vinculados a la seguridad.

Download reporte (ingles)

NASA IT Vulnerable After 1,120 Security Incidents

GAO: Malicious Software Installed on Space Agency Systems

NASA reported 1,120 security incidents that have resulted in the installation of malicious software on its systems and unauthorized access to sensitive information in fiscal years 2007 and 2008, according to a report issued Thursday by the Government Accountability Office. And, the GAO reports, National Aeronautics and Space Administration systems remain vulnerable despite the establishment of a security operation center last year to deter such incidents.

"The control vulnerabilities and program shortfalls, which GAO identified, collectively increase the risk of unauthorized access to NASA's sensitive information, as well as inadvertent or deliberate disruption of its system operations and services," wrote Gregory Wilshusen, GAO's information security issues director, in a report cosigned by GAO Chief Technologist Nabajyoti Barkakati. "They make it possible for intruders, as well as government and contractor employees, to bypass or disable computer access controls and undertake a wide variety of inappropriate or malicious acts. As a result, increased and unnecessary risk exists that sensitive information is subject to unauthorized disclosure, modification, and destruction and that mission operations could be disrupted."

GAO cited a NASA report that said the number of malicious code attacks - 839 - was the highest experienced by any of the federal agencies, which accounted for more than one-quarter of the total number of malicious code attacks directed at federal agencies in 2007 and 2008. GAO cited an official at the U.S.-CERT as saying NASA's high profile makes the agency an attractive target for hackers seeking recognition, or for nation-state sponsored cyber spying.

More...

New Hyena v7.7 'C' Release !

New Features

Terminal Server Session Management
For Enterprise Edition users, Terminal Server sessions can now be viewed and managed (disconnect, log off, send message). Over two dozen informational columns can be displayed for terminal server sessions; individual columns can be customized by the user. The Terminal Server 'Send Message' function has more capabilities than the standard Windows user messaging function. In particular, the icon used for the message dialog box can be customized, and an optional response can be captured from the user. As responses are received or timed out, Hyena will update the Send Message dialog; this information can be copied to the clipboard if desired.
Processes can also be viewed and terminated on a per-session basis.

Extensive Logging Capabilities
While nearly all Active Directory tools lack any sort of logging capability, Hyena adds this much-needed feature by logging each AD modification or object access, yet also puts you in control of what actions get logged. The log file format is a tab-delimited text file, so loading it into a database or spreadsheet is an easy task.
More User Active Directory Attributes
A number of new properties have been added to Hyena's User Properties dialogs:
'Object dialog' - The cn of the 'Managed By' account is now displayed directly above the full path for easier viewing.
'Organizational dialog' - 'Direct Reports' has been added, plus 'Employee Type' and 'Building No'. These new attributes are already part of the Active Directory schema and have been added for ease of access.

Easier Microsoft Excel Exporting
Hyena's existing copy mechanism has been modified to allow faster and easier exporting directly to Microsoft Excel. Any Hyena view can now be exported to Excel in as few as three (3) mouse clicks.

Other Changes...

La seguridad de la urna electrónica brasileña será probada por 26 "hackers"

Río de Janeiro, 28 oct (EFE).- La seguridad de las urnas electrónicas brasileñas será puesta a prueba el próximo mes por 26 especialistas en informática y "hackers" que se inscribieron en un desafío abierto por el Tribunal Superior Electoral (TSE).

"El tribunal decidió aceptar la inscripción de todas las personas que manifestaron interés en poner a prueba las urnas para mostrar que no hay intención en vetar a nadie ni ningún tipo de estrategia", dijo hoy a Efe un portavoz del TSE.

Los 26 "hackers" y especialistas, que tendrán acceso tanto al hardware como al software del sistema, podrán participar entre el 10 y el 13 de noviembre próximo en los test públicos de la seguridad del sistema electrónico de votación de Brasil que serán realizados en la sede del tribunal.
Los diez desafiantes, ya que algunos trabajarán en grupo, tendrán cuatro días para intentar violar los códigos de seguridad del software o para intentar violar el sigilo del voto (conocer por quién votó un elector) o para alterar algún voto digitado con ayuda de los programas o equipos de que dispongan.

El tribunal decidió poner a prueba el software del sistema electoral en respuesta a las quejas de algunos partidos políticos que alegan que el escrutinio de una elección en Brasil puede ser manipulado por expertos en informática y objeto de un fraude.
Desde las elecciones municipales de 2000, la totalidad de los votantes brasileños usa urnas electrónicas, que son pequeños computadores con un teclado numérico para que el elector marque el número de su candidato.
Una de las principales ventajas de estas urnas es que ofrecen casi que automáticamente el resultado al final de la votación.

El voto electrónico comenzó a ser implantado en Brasil en las elecciones municipales de 1996 y ha demostrado su efectividad para facilitar el sufragio y el escrutinio.

Por un acuerdo con la Organización de Estados Americanos (OEA), las urnas electrónicas han sido cedidas para elecciones en otros países latinoamericanos como Argentina, Colombia, Ecuador, México, Paraguay y República Dominicana.

Para el secretario de Tecnología de la Información del Tribunal, Giuseppe Janino, el desafío también servirá para que el organismo detecte posibles vacíos en el sistema y lo perfeccione.

Según Janino, entre los desafiantes inscritos figuran desde profesionales en ciencias de computación, ingeniería electrónica y análisis de sistemas, hasta especialistas en auditoría.
El funcionario agregó que la diversidad de las estrategias que serán utilizadas por los desafiantes puede ser medida en el plazo que cada uno solicitó para intentar violar el sistema, que varía de una hora hasta cuatro días.

"Uno de los inscritos alega que la investigación por ondas electromagnéticas permite identificar las teclas apretadas por el elector y así violar el sigilo del voto", afirmó Janino, citado en un comunicado del tribunal.

"También hay planes para intentar invadir el sistema con softwares maliciosos", agregó al referirse a un desafiante que pretende acceder a la memoria flash de la urna con un programa diseñado especialmente para violaciones de sistemas.
"Su intención es promover desvíos en los votos digitados con un software que se autodestruye después de usado para no dejar vestigios", dijo.
El Tribunal premiará con 5.000 reales (unos 2.900 dólares) al grupo de desafiantes que más se aproxime al objetivo de violar la seguridad del sistema.

Fuente Agencia EFE

Análisis de Riesgos: ISO 27005 vs magerit y otras metodologías

....

En el campo del Análisis de Riesgos, en España tenemos un referente indiscutible cuando nos planteamos la metodología a seguir. Si, ese referente es MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Actualmente por la versión 2.0, goza de una excelente salud y está reconocida por ENISA (European Network and Information Security Agency) junto a otras metodologías europeas e internacionales. Es una metodología de carácter público elaborada por el Consejo Superior de Administración Electrónica (CSAE), órgano del Ministerio de Administraciones Públicas (MAP) encargado de la preparación, elaboración, desarrollo y aplicación de la política informática del Gobierno Español.

Si hasta ahora este reinado de MAGERIT ha sido indiscutible -con la interesante excepción de aquellos profesionales que han decidido elaborar sus “propias” metodologías por considerar que se adaptaban mejor a sus organizaciones- desde hace relativamente poco tiempo disponemos de un competidor de peso. Este nuevo actor en la escena del Análisis de Riesgos es, como ya muchos se habrán imaginado, el estándar internacional ISO/IEC 27005:2008, titulado Information technology – Security techniques – Information security risk management.

ISO 27005 “derogó” las normas ISO/IEC TR 13335-3:1998 e ISO/IEC TR 13335-4:2000, y proporciona desde su publicación en Junio del pasado año 2008, un conjunto de directrices para la correcta realización de un Análisis de Riesgos.

Señalar, no obstante, que ISO 27005 no proporciona una metodología concreta de Análisis de Riesgos, sino que describe a través de su clausulado el proceso recomendado de análisis incluyendo las fases que lo conforman:

• Establecimiento del contexto (Cláusula 7)
• Evaluación del riesgo (Cláusula 8 )
• Tratamiento del riesgo (Cláusula 9)
• Aceptación del riesgo (Cláusula 10)
• Comunicación del riesgo (Cláusula 11)
• Monitorización y revisión del riesgo (Cláusula 12)

En pocas palabras, la norma nos sirve para no tener dudas sobre los elementos que debe incluir toda buena metodología de Análisis de Riesgos, por lo que, visto desde este punto de vista puede constituirse como una metodología en si misma.

Además, el estándar incluye seis Anexos (A-F) de carácter informativo y no normativo, con orientaciones que van desde la identificación de activos e impactos, ejemplos de vulnerabilidades y sus amenazas asociadas, hasta distintas aproximaciones para el análisis distinguiendo entre análisis de riesgos de alto nivel y análisis detallado.

Pero ¿con que argumentos cuenta ISO 27005 frente a MAGERIT u otras metodologías existentes? Pues la verdad es que existe una división palpable en el sector, incluso a nivel europeo (en este caso, lógicamente, comparando el estándar ISO frente a las metodologías propias de cada país).

...

Articulo completo....

Visto en www.delitosinformaticos.com

ArCERT: Semana de la Seguridad Informática 2009 - Convocatoria (Argentina)

Boletin de Arcert:

De acuerdo al compromiso que asumimos el año pasado, los convocamos nuevamente para la celebración de la "Semana de la Seguridad 2009", que bajo el lema "Internet es la plaza de todos. Cuidémosla", tendrá lugar entre el 23 y el 30 de noviembre del corriente año.
En este marco, los invitamos a realizar eventos, acciones de concientización, concursos, cursos de capacitación, charlas, conferencias, etc. que contribuyan a informar, enseñar y concientizar sobre la importancia de la seguridad de las información y sobre los riesgos asociados al uso de las tecnologías. Estas iniciativas pueden ser abiertas al público, cerradas para una organización o individuales, en el sentido de plantearse en círculos familiares, de amigos o grupos más pequeños.

No existen requerimientos en cuanto a la modalidad, día y horario dentro de la semana del 23 al 30 de noviembre, destinatarios, lugar, financiación, difusión, etc., excepto por el requisito de gratuidad para los participantes, asumiendo cada organización o particular la responsabilidad por la definición, planificación y ejecución del evento que proponen.

A fin de lograr una identidad común de la celebración, le solicitamos que todo material de difusión, gráfico y/o informativo, en cualquier soporte que se elija, lleve independientemente de los logos del organizador, un enlace al sitio web de la Semana de la Seguridad Informática y que se utilicen los logos de dicho evento, disponibles en línea para descargar.

Como el año pasado, hemos dispuesto un sitio en Internet, en la dirección https://seguridadinformatica.sgp.gob.ar/ (URL a verificar), donde encontrará un formulario para subir su evento, reservándonos el derecho de publicarlo en la página principal y en el calendario de eventos, en la medida en que cumpla con los requisitos establecidos.

Encontrará también otro material de interés, como ejemplos de eventos posibles a organizar.

Esperando contar con su participación, lo saluda muy atentamente.

Oficina Nacional de Tecnologías de Información
Subsecretaría de Tecnologías de Gestión

Cryptex recuerda que el Computer Security Day 2009 es el...
30 de Noviembre

En el año 1988, la Association for Computing Machinery (ACM)
declaró al 30 de Noviembre como el “Día Internacional de la Seguridad Informática”, con el objetivo de concientizar respecto de las amenazas que atentan contra la seguridad de la información

Otros días similares:

. Día Europeo de la Protección de Datos
28 de Enero
www.agpd.es/portalweb/Dia_europeo_2009-ides-idweb.html

. Data Privacy Day 2009
28 de Enero
www.intel.com/policy/dataprivacy.htm

. week in May:Privacy Awareness Week
3 y 9 Mayo
www.privacyawarenessweek.org/index.html


. Cyber Security Day - Computer security
October 31 and April 4
www.staysafeonline.info/

. Health Information Privacy and Security Week
April 11–17
www.bellsintl.com/hipsweek/


. Security Awareness Day – Physical, Information and Personal Security
September 10th
www.ussecurityawareness.org/

. Dí­a Internacional de la Seguridad de la Información
3 de diciembre


. Día Europeo de Internet Seguro - Safer Internet Day
10 de Febrero

8 Basic Rules to Implement Secure File Uploads

The IIS semicolon file extension issue prompted me to jot down some of the rules to implement file uploads securely. This is in particular complex as there is usually no easy way to validate the content of the file.
The overall goal is to build a set of defensive layers that tightly control the process of uploading the file and later retrieval of the file. The user will always interact indirectly with the file and never directly access the file system without application control.

1. Create a new file name
Do not use the user supplied file name as a file name on your local system. Instead, create your own unpredictable file name. Something like a hash (md5/sha1) works as it is easily validated (it is just a hex number). Maybe add a serial number or a time stamp to avoid accidental collisions. You may add a secret to the name to make it harder to guess the file name. If you need to keep the original file name: use a look-up table to link the validated user supplied file name to the server created name.

2. Store the file outside of your document root
If your document root is /var/www/html, create a directory /var/www/uploads and use it to store uploaded files. That way, an attacker will not be able to retrieve the file directly. This will allow you to provide fine grained access control. The file will not be parsed by the server’s application language module but the source of the file will be streamed.

3. Check the file size
You should set a maximum file size in the upload form, but remember: It is just advisory. Make sure to check the file size after the upload completed. Be in particular careful if you allow the upload of compressed files and later uncompress them on the server. This scenario is very hard to secure.

4. Extensions are meaningless
The motivation for this post is the ‘;’ issue in IIS. However, even Apache doesn’t always behave the way you expect it to. Try ’something.php.x’ in Apache and chances are that php code will be executed. Its a feature . If you stream a file back to the user, the extension isn’t what matters, but the Content-Type header and the file’s header. It is best to use the “file” command on unix to check the file type. But even this is not fool proof. It will just check the first few bytes. In PHP for example, a file may start with a GIF header, but later if the PHP engine sees a “5. Try a malware scan
The extension is right, and you checked that the file is actually a valid JPEG file per it’s header. However, it could still be a malicious JPEG using one of the many image parser bugs to exploit clients downloading the file. There is no great defense against this as far as I am aware. One possible work around is to “rebuild” the file. Convert the JPEG to a GIF and back to a JPEG. This will likely strip out any malicious feature. But this technique could expose your servers to just the same image parser bugs.

6. Keep tight control of permissions
Any uploaded file will be owned by the web server. But it only needs read/write permission, not execute permissions. After the file is downloaded, you could apply additional restrictions if this is appropriate. Sometimes it can be helpful to remove the execute permission from directories to prevent the server from enumerating files.

7. Authenticate file uploads
File uploads, in particular if these files are viewable by others without moderator review, have to be authenticated. This way it is at least possible to track who uploaded an objectionable file.

8. Limit the number of uploaded files
Many developers limit the file size, but not all limit the number of files uploaded in a request. Make sure to apply reasonable limits. But be also ready for a DoS attack that just uploads a large number of small files. Pick an appropriate directory structure to limit the number of files per directory and pick an appropriate file system.

Conclusion
Let me know if you can think of other issues to consider. Some depend on the application, but the eight above are generic. For example, if you deal with XML files you can validate them against a schema. A text file can be validated based on dictionaries. Particular image formats can be analyzed more closely for malicious content. For PDFs, you can strip out javascript which often causes problems and for HTML you could use libraries like HTML purifier. Using a distinct upload partition can help against having a denial of service attack impact other parts of the system and it will also allow for additional access control. A human moderator may be advisable if inappropriate content is a problem.

Finally: Remember the #1 rule of good web application security. All users are evil!

Fuente: blogs.sans.org

Proyecto Sec-Track

Sec-Track es un proyecto colaborativo que ofrece un repositorio de recursos relacionados con la implementación y desarrollo de laboratorios de entrenamiento e investigación sobre Seguridad Informatica. Estos recursos son distribuidos por medio de entornos virtualizados que asemejan entornos reales, dichos entornos pueden ser implementados en diferentes ambientes de capacitación e investigación.

Sec-Track ofrece también un amplio repertorio de instrucciones para la implementación de entornos de virtualización, con la finalidad de que cada interesado en implementar uno de los laboratorios y/o entornos disponibles pueda hacerlo simplemente siguiendo dichas instrucciones.

Otro de los objetivos de Sec-Track es ofrecer un espacio colaborativo en el cual, las diferentes comunidades y usuarios puedan publicar sus propios entornos de entrenamiento, retos y pruebas en cualquiera de las diferentes temáticas, con la finalidad de que las demás comunidades puedan descargarlos e implementarlos para buscar una solución al mismo, pero aun más importante generar la respectiva documentación de dicho proceso.

Recursos:

- Documentos

- Test de Penetración

- Tools

- Videos

Web del proyecto

Ley contra el “spam” (España)

Así, en el documento aprobado en Consejo de Ministros el pasado 27 de mayo, se definía como ‘prácticas agresivas por acoso’ las propuestas “no solicitadas y persistentes” enviadas a través de teléfono, fax, correo electrónico u otros medios de comunicación a distancia. Sin embargo, la enmienda de los socialistas propone cambiar las palabras ‘no solicitadas’ por ‘no deseadas’, lo que obligaría al consumidor a pronunciarse sobre este envío –algo que no ocurría con la primera opción–.

En la justificación para la introducción de este cambio, el grupo parlamentario argumenta que se trata de una “mejora técnica, siguiendo las indicaciones de la Comisión Europea”. No obstante, el PSOE no está sólo en este apartado: el PNV también coincide en esta propuesta bajo la misma justificación, ajustarse a la Directiva europea “en su redacción original”.

Un cambio protestado
Para el presidente de la Asociación de Usuarios de la Comunicación (AUC), Alejandro Perales, el cambio no es “baladí” y podría responder a “presiones” empresariales. “El Gobierno tiene en cuenta que el año que viene asumirá la presidencia europea y ha preferido aceptar las propuestas que han llegado para evitar polémica”, explicó a ‘Portaltic.es’.

A su entender, la introducción del término ‘no deseada’ conllevará “niveles distintos de protección” para los usuarios, ya que sólo afectará a las comunicaciones electrónicas y la telefonía. “Ello puede suponer para los oferentes una indudable ventaja, incrementando su discrecionalidad con una especie de ‘forum shopping’”, apuntó.

El futuro de la salida de esta nueva legislación se decidirá en los próximos días, puesto que la comisión de Sanidad y Consumo ya ha cerrado el plazo de entrega de enmiendas. No obstante, los grupos parlamentarios continúan negociando y la AUC ya ha anunciado su intención de convencer a alguno de ellos para incluir una ‘contraenmienda’.

Según la última encuesta del CIS, siete de cada diez ciudadanos españoles recibieron un ’sms’ publicitario de una entidad sobre la que no tenía constancia de haber dado sus datos personales. En el caso de los ’spam’ o correos electrónicos no deseados, los perjudicados ascienden a ocho de cada diez personas, aunque aquí más de la mitad admitió que nunca o ‘raramente” consultaban la política de privacidad de las empresas.

El portavoz de Facua-Consumidores, Rubén Sánchez, considera necesaria la creación de un “protocolo” para actuar contra los responsables de envíos masivos, más allá de la creación de una nueva legislación. “Cada vez más se producen actuaciones de este tipo, porque las personas se dan cuenta que es un negocio fácil. Aunque el ’spam’ ya es una actividad prohibida, no existe un mecanismo para frenarlo, y eso es lo que hace falta”, explicó a ‘Portaltic.es’.

Fuente: canalsur

China's National Vulnerability DataBase entra en servicio para garantiza seguridad informática

Se ha puesto en funcionamiento oficialmente la China’s National Vulnerability DataBase para garantizar la seguridad informática.

El establecimiento dispone de unos 40 mil datos de vulnerabilidad que amenazan la seguridad informática en los software y hardware o en el sistema de la red además de más de 70 mil de medidas de reparar los fallos y los datos sobre más de 10 millones de casos fraudulentos informáticos. La base prestará servicios al público para analizar los fallos en la seguridad informática y evaluar los riesgos. El funcionamiento experimental de seis meses del la base ha dado resultados satisfactorios.
(Pueblo en Línea)

Visto en spanish.peopledaily.com.cn

Link relacionados:

- China National Vulnerability Database gets online

Threat Assessment Evaluation Tool

Novell anunció los resultados iniciales de su encuesta Threat Assessment la cual muestra que muchas compañías son todavía altamente vulnerables a sufrir ataques de seguridad previsibles. La encuesta reveló vulnerabilidades significativas, particularmente en las áreas de protección inadecuada de datos, políticas insuficientes de acceso móvil y falta de control de aplicaciones e integridad en los dispositivos de endpoint.

- El 71% de las compañías dijo que no encripta datos de laptops, mientras que el 73% dijo que no encripta datos en dispositivos de almacenamiento removibles, exponiendo a las compañías a riesgos significativos si esos dispositivos son robados o se extravían.

- El 72% de los participantes dijo que no controla los datos que son copiados hacia dispositivos de almacenamiento removible ó unidades ópticas, y el 78 % no reporta qué datos se escriben en dispositivos de almacenamiento removible, creando un ámbito potencial para la distribución inapropiada de datos y problemas de compliance.

- El 90 % de los participantes dijo que sus usuarios acceden a redes wireless inseguras cuando están fuera de la oficina (por ejemplo, desde hotspots, hoteles, bares), dejando a los endpoints y sus datos vulnerables a ataques.

- El 76 % de las compañías manifestó que no puede asegurar la salud, integridad y compliance de sus dispositivos cuando éstos salen del perímetro de la organización.

- El 53 % de quienes respondieron no está capacitado para denegar tráfico PTP (Peer-to-Peer) como Bit Torrent y Gnutella en su red, desperdiciando recursos de TI y creando riesgos de acceso a la información corporativa.

- El 65% no está capacitado para evitar que los usuarios accedan a la red corporativa si no cuentan con herramientas de verificación de integridad del sistema, como por ejemplo, software antivirus. Además, el 73% no podría impedir que un endpoint inseguro propague infecciones o sea infectado.

“Las amenazas de seguridad hacia los Endpoints están evolucionando a paso acelerado", dijo Grant Ho, Senior Solution Manager para Endpoint Management de Novell. “Cada día, datos vitales de los clientes se pierden debido al uso de políticas de seguridad débiles. La encuesta de Threat Assessment está diseñada para darle a las empresas una mejor idea de sus vulnerabilidades de seguridad y además, proveerles una guía para que corroboren si están haciendo todo lo que pueden para asegurar sus endpoints y proteger la información corporativa y la de sus clientes".

Los resultados fueron obtenidos de las respuestas a la herramienta Novell Threat Assessment Tool, un test online que ofrece a los administradores de TI y tomadores de decisiones la oportunidad de evaluar sus políticas de seguridad para endpoints, procedimientos y riesgos.

Fuente: Novell.

Visto en diarioti.com

Recursos:

- Acceso a Threat Assessment Evaluation Tool on line

- Why your CIO needs Threat Assessment Evaluation Results? (PDF, Ingles)

- Learn about thumbsuckers, podslurpers and other emerging endpoint security vulnerabilities and threats.

Link relacionados:
- Las organizaciones siguen expuestas a riesgos de seguridad evitables
- La mayoría de las empresas siguen expuestas a retos de seguridad evitables

Más de la mitad de las compañías de EE.UU. vetan Facebook y Twitter

El bloqueo impuesto no es rígido en todos los casos, pues algunos empleadores permiten su uso siempre que sea para fines laborales


Más de la mitad de las empresas estadounidenses tienen bloqueado el acceso a redes sociales como Facebook o Twitter, según un estudio publicado por la consultora Robert Half Technology, informó la agencia Europa Press.

La investigación, basada en la encuesta de 1.400 empresas de más de 100 empleados a lo largo y ancho de Estados Unidos, precisa que el 54 % suele vetar por completo estas páginas pero que cada empresa tiene su propio método de bloqueo.

Por ejemplo, un 19% permite a sus empleados el uso de redes sociales siempre que sea para fines comerciales, y en un menor porcentaje, el 10%, dan carta blanca a sus empleados para navegar por Internet, sin restricciones de ningún tipo.

Estas medidas también tienen sus contrapartidas, ya que obviar Facebook o Twitter como herramientas de promoción en los tiempos que corren puede resultar negativo para las aspiraciones comerciales de las empresas.



Visto en elcomercio.pe

NIST publica guía de seguridad de la información para pymes

El NIST (National Institute of Standards and Technology) acaba de publicar un informe que pretende servir de guía para los pequeños empresarios en su lucha diaria por mantener los datos de su empresa a salvo de ataques informáticos.

El documento resume diez acciones absolutamente necesarias y 10 acciones recomendables para mantener la seguridad en los ordenadores de pequeñas empresas

Descarga: Small Business Information Security: The Fundamentals (Ingles)

Visto en docuteria.es

Link relacionado:
- EEUU publica una guía de seguridad informática para pymes

Disponen por ley que la historia clínica es propiedad del paciente (Argentina)

El Congreso sancionó una ley que consagra el derecho del paciente al acceso irrestricto a su historia clínica y a toda la información relacionada con su salud y posibles tratamientos terapéuticos, con el fin de garantizarle las mejores condiciones para el consentimiento o rechazo de las prácticas propuestas por un profesional o institución médica.

Se trata de derechos que hasta el momento han venido siendo consagrados de manera pacífica por la Justicia, pero que no contaban con una debida reglamentación legislativa, salvo en contadas excepciones.

De hecho, el denominado "consentimiento informado" sólo se encuentra consagrado para el caso de la ablación de órganos, pero no para otras prácticas terapéuticas quirúrgicas.

Una de las principales disposiciones de la ley es que declara a la historia clínica propiedad del paciente, razón por la cual le reconoce el derecho a recibir copia de ella en un plazo no mayor a 48 horas sin más trámite que el simple requerimiento del interesado.

"Lo que se busca es regular jurídicamente aspectos que antes eran obviados o directamente regulados exclusivamente por los usos y costumbres del ejercicio de la profesión médica", explicó el senador Marcelo Guinle (PJ-Chubut), autor del proyecto que sirvió de base para la ley.

Más...

Visto en lanacion.com.ar

State of Internet Security, Q1 – Q2, 2009 - Websense Security Labs

The first half of 2009 saw a number of big exploits and an escalation of attacks using the dynamic elements of popular Web 2.0 sites to infect users’ computers and perpetrate fraud. Additionally, the Websense Security Labs found a massive increase in the number of malicious sites which increased 233 percent over the six month period.

Attackers continued to use blended threats (spam emails with embedded URLs) to lure victims to spam and malicious Web sites with 85.6 percent of all unwanted emails in circulation during this period containing links to spam sites and/or malicious Web sites. The rise of blended threats illustrates that Web security intelligence is a critical component of any email and data security strategy.

Today’s threats are leading to the Web, whether as the vector of the attack or simply the route in which stolen, confidential data is transmitted. Further underscoring the growth of the Web as the primary threat vector, during the first half of 2009 Websense Security Labs discovered:

- 233% growth in the number of malicious sites in the last six months and a 671% growth during the last year.
- 77% of Web sites with malicious code are legitimate sites that have been compromised.
- 95% of comments to blogs, chat rooms and message boards are spam or malicious.
- 57% of data-stealing attacks are conducted over the Web.
- 85.6% of all unwanted emails in circulation contained links to spam sites and/or malicious Web sites.

These discoveries, along with details on other exploits and analysis of Web, email and data security trends during the first half of 2009 are explored in the Websense Security Labs “State of Internet Security” report.


The full report is available here.


An archived Webcast presentation about the report can be found here

Watch the video overview of the findings below, or by clicking here

Visto en community.websense.com/blogs

Link relacionado:
- Websense Security Labs reporta un aumento de 671 por ciento de sitios web maliciosos

Estudio de Netiq confirma mayor impacto de la Seguridad en la administración de Active Directory

Houston y México D.F, 23 de Octubre, 2009 – La administración efectiva y eficiente de Microsoft Active Directory es esencial para cualquier departamento IT empresarial encargado de soportar las cambiantes necesidades de un negocio dinámico. Un reciente estudio realizado por NetIQ Corporation también indica lo crítico que se ha vuelto la seguridad, ya que revela cierto número de retos que encaran los administradores en sus tentativas para proteger los entornos de Active Directory. Mientras que el papel de este servicio empresarial de directorio se continúa expandiendo, el proteger los valiosos recursos de negocio contenidos en Active Directory debe tomar un nuevo nivel de prioridad
De entre más de 275 diferentes encuestados, la administración de Group Policies, el manejo de autorizaciones y la demostración del cumplimiento son anotados como los tres principales desafíos alrededor de la administración y seguridad de Active Directory. Estas mismas preocupaciones se ven reflejadas por el negocio, ya que 52 por ciento de los encuestados indicaron que la aplicación de directivas es un asunto primario para su negocio y 42 por ciento cita al incumplimiento, denotando a la seguridad como una de sus máximas prioridades. Adicionalmente, 76 por ciento de los participantes ahora consideran la administración de Active Directory como un componente crítico o importante en la evolución de sus estrategias de Administración de la Identidad y Acceso (IAM).

Más de la mitad de los encuestados indicaron que la amenaza de los cambios no autorizados y el control de acceso a información confidencial han elevado considerablemente las preocupaciones de los equipos de Seguridad y Operaciones IT. Si las empresas no pueden detectar cambios o manejar rápidamente el aprovisionamiento / desabastecimiento, los vectores de amenaza pueden amplificarse con rapidez. Para combatir estos riesgos, las organizaciones deben aplicar de forma efectiva las directivas, minimizar los privilegios de usuario y controlar los cambios no autorizados – ya sean maliciosos o no intencionados– a través de Active Directory.

Otros descubrimientos y preocupaciones mostradas por esta encuesta incluyen:
• Cuarenta por ciento de los encuestados anotaron que los recursos en Active Directory están pugnando para mantener el paso con las demandas de negocio.
• Ochenta y cinco por ciento de los entornos Active Directory de los participantes es manejado por equipos de Tecnología de la Información, 12 por ciento es manejado por grupos de Seguridad de la Información, y tres por ciento es manejado por proveedores del exterior.
• Cuarenta y nueve por ciento de quienes respondieron a las encuesta creen que la Seguridad de la Información, durante los pasados tres años, ha incrementado su influencia en la arquitectura y/o directivas de Active Directory.
• Solo 24 por ciento de los participantes confían en su habilidad de detectar cambios no autorizados dentro de Active Directory.

“Active Directory juega un papel principal en las empresas de hoy y no hay duda de que los riesgos y amenazas continuarán multiplicándose. Como resultado de esto, los departamentos IT actuales necesitan redefinir la administración de AD para incluir a la seguridad y el cumplimiento si quieren asegurarse de que pueden cubrir totalmente las demandas del negocio,” aseguró Erin Avery, Gerente de Marketing Producto de NetIQ. “Al institucionalizar y automatizar la seguridad y los controles internos dentro de la administración diaria de Active Directory, los departamentos IT podrán controlar los costos de mantener el cumplimiento y finalmente mejorar de forma continua la alineación con las demandas de negocio.”

Visto en http://www.bureaudeprensa.com/

Link relacionados:

- NetIQ Survey Confirms Increasing Impact of Security on Active Directory

National Cyber Security Awareness Month

About NCSAM
National Cyber Security Awareness Month (NCSAM), conducted every October since 2001, is a national public awareness campaign to encourage everyone to protect their computers and our nation’s critical cyber infrastructure.

Cyber security requires vigilance 365 days per year. However, the Department of Homeland Security (DHS), the National Cyber Security Alliance (NCSA), and the Multi-State Information Sharing and Analysis Center (MS-ISAC), the primary drivers of NCSAM, coordinate to shed a brighter light in October on what home users, schools, businesses and governments need to do in order to protect their computers, children, and data.

In 2008, National Cyber Security Awareness Month reached more than 29 million Americans through media, middle school and high school lesson plans, and partnerships with dozens of companies and associations. In addition, the President of the United States declared support for National Cyber Security Awareness Month, the U.S. Senate passed a resolution in support of the month, and 41 state governors signed proclamations recognizing the month .

More...

Estudio: Las malas prácticas en la gestión de usuarios privilegiados amenazan la seguridad de las empresas europeas (CA)

El 41 por ciento de las organizaciones que afirman haber implementado el estándar ISO27001 siguen manteniendo malas prácticas de gestión como compartir cuentas de usuarios privilegiados

Madrid, 21 de octubre de 2009.- CA (NASDAQ: CA), el principal proveedor independiente del mundo de software de gestión de las TI, ha anunciado los resultados de un estudio europeo que revela que las malas prácticas en la gestión de usuarios privilegiados representan una amenaza para la seguridad de las empresas europeas. El estudio titulado “Privileged User Management―It’s Time to Take Control”, que ha sido elaborado por la firma Quocirca a instancias de CA, abarca 14 países (Alemania, Bélgica, Dinamarca, España, Finlandia, Francia, Holanda, Irlanda, Israel, Italia, Noruega, Portugal, Reino Unido y Suecia).

Los usuarios privilegiados suelen ser los administradores de la red o de TI responsables del mantenimiento y disponibilidad de los sistemas, o también los administradores de sistemas operativos, aplicaciones de negocios, seguridad y bases de datos. Por lo general, a los usuarios privilegiados se les conceden unos derechos de acceso dentro de la infraestructura TI de las empresas que son significativamente mayores que los derechos de la mayoría de usuarios de TI.

El estudio destaca que el 41% de los encuestados europeos (40% en España) que señalan haber implementado el estándar ISO27001* aún mantienen algunas prácticas no conformes con la normativa como el compartir cuentas de usuarios privilegiados; esto se suma a otra mala práctica como es el uso de los nombres de usuario y contraseñas por defecto para las cuentas privilegiadas. Si se consideran sólo aquellos que han implementado el estándar ISO27001 y tienen la certificación de un auditor externo, esta cifra continúa manteniéndose alta, con un 36%.

En los últimos años, se han dado muchos casos que ponen de relieve los peligros de subestimar y pasar por alto los riegos que pueden derivar de la falta de control sobre la actividad de los usuarios privilegiados. Cuando los administradores o usuarios privilegiados acumulan un exceso de privilegios o cuando comparten sus credenciales de acceso con otras personas, pueden causar grandes perjuicios, sea accidental o deliberadamente. Además, hay muchos ejemplos de hackers cuyo objetivo son las cuentas privilegiadas para obtener acceso a las aplicaciones y datos más importantes del negocio. Algunos de estos casos incluyen desde el robo de datos que pueden venderse, como información sobre tarjetas de crédito, hasta fraudes más sofisticados o robo de propiedad intelectual.

A pesar de estos riesgos, la investigación revela que el control y la monitorización de la actividad de los usuarios privilegiados no ocupan un lugar destacado en la agenda de los responsables de TI. Los encuestados valoraron la gestión de usuarios privilegiados en octavo lugar entre las amenazas de seguridad con una puntuación de 2,5 sobre 5, por debajo de las amenazas del malware (2,9), Internet (2,7), usuarios internos (2,7) y herramientas web (2,6). Además, existe un exceso de confianza en la capacidad de gestionar los usuarios privilegiados. Los encuestados también están relativamente seguros de poder pasar una auditoria de cumplimiento y se preocupan más de temas como pérdidas de datos o de la violación de la propiedad intelectual.

Según el estudio”Privileged User Management―It’s Time to Take Control”, el 24% de las organizaciones europeas tienen dispuesta alguna forma de control manual para supervisar las acciones y controlar el acceso de los usuarios privilegiados. Sin embargo, confiar en los procesos manuales para el control y monitorización de los usuarios privilegiados consume mucho tiempo, es excesivamente costoso, no es fiable y es propenso a errores.

A pesar de la disponibilidad de sistemas más sofisticados y de su necesidad, sólo el 26% de las empresas europeas encuestadas ha implantado un sistema completo de gestión de usuarios privilegiados. Sin embargo, el alto número de organizaciones (48%) que dicen tener planes (aunque a menudo retrasados) sugiere que no se trata de una prioridad aunque figure en la agenda. La disponibilidad de presupuesto, puntuada con 3,3 sobre 5 en la escala de factores restrictivos, puede explicar esta distorsión, aunque el 85% de los encuestados europeos manifiesta que la parte de presupuesto TI asignado a seguridad es estable o se incrementará. Al fin y al cabo, es probable que la razón principal para los retrasos en la inversión sea una infravaloración de los riesgos asociados a los usuarios privilegiados.


Resultados por sectores de la industria
Al examinar los distintos sectores de la industria que abarcó la encuesta también se encuentra una gran variación. El 43% de las organizaciones de los sectores de Telecomunicaciones y Administraciones Públicas admiten que diferentes personas comparten las cuentas del administrador del sistema operativo. Este porcentaje disminuye al 29% en el sector Industria. Curiosamente, las empresas de Telecomunicaciones y Medios son las que más seguras están de ser capaces de monitorizar las cuentas de usuarios privilegiados (con una puntuación de 3,7 en un índice de confianza de 5), mientras que las de Administraciones Públicas son las menos confiadas (3,5). Las empresas de Telecomunicaciones y Medios están por delante en la implantación de soluciones de gestión de usuarios privilegiados, el 37% ya tienen un sistema en funcionamiento, comparado con el 18% de las empresas del sector Industria. Finalmente, el 34% de las empresas del sector Telecomunicaciones y Medios ya tiene herramientas para monitorizar y controlar las actividades de los usuarios privilegiados, seguidas del sector Administraciones Públicas (25%), Finanzas (22%) e Industria (13%).

“Este estudio proporciona pruebas concluyentes de que las organizaciones están pasando por alto un aspecto fundamental de la seguridad informática: el acceso privilegiado que los administradores se conceden a sí mismos o a sus compañeros para hacer su trabajo“, dice Tim Dunn, vicepresidente de la unidad de negocio de Seguridad de EMEA, CA. “Si bien el acceso es necesario, a menudo se gestiona de forma puntual y con frecuencia los requisitos de cumplimiento de normativas relacionados con los usuarios privilegiados se pasan por alto. En el propio interés de los administradores de TI, el departamento de TI y el negocio en general, es preciso disponer de medidas de control y supervisión de los usuarios privilegiados. El despliegue de herramientas de gestión de usuarios privilegiados lo hace posible y permite a las organizaciones madurar esta gestión con el tiempo. La gestión de los usuarios privilegiados es clave para el cumplimiento, para reducir la exposición a riesgos y para proteger las aplicaciones críticas de negocio“.

Bob Tarzey, Analista y Director de Quocirca Ltd. comenta, “esta investigación demuestra claramente que si bien es interesante tanto para los responsables de TI como para la propia empresa adoptar medidas para controlar y supervisar a los usuarios privilegiados, esto no es una prioridad. Los procesos manuales son ineficaces y no ofrecen un registro histórico que satisfaga a los legisladores. El único medio seguro de garantizar un control de usuarios privilegiados sin fisuras es a través de la gestión automatizada de sus cuentas, la asignación de accesos a los usuarios privilegiados y la monitorización total de sus actividades“.

El estudio “Privileged User Management―It’s Time to Take Control” ha sido realizado por la firma de investigación y análisis Quocirca, especializada en el impacto de las tecnologías de la información y la comunicación en el negocio. Durante junio de 2009, se llevaron a cabo un total de 270 entrevistas a directores de TI, responsables de seguridad TI y otros administradores de TI de empresas de los sectores de telecomunicaciones y medios de comunicación, industria, servicios financieros y administraciones públicas.

Descarga del Informe (Octubre 2009)


La serie de estándares ISO27000 para la gestión de TI dice que “la asignación y uso de privilegios debe ser restringida y controlada”.

Visto en is-portal.com

Caption: Do you share administrator accounts between different individual users in the following areas?

Más informacíon...

Link relacionados:

- Un estudio revela que las organizaciones europeas no se toman suficientemente en serio la gestión de usuarios privilegia

Los hackers comienzan a apuntar contra los teléfonos móviles

Se enfocan en los equipos de alta gama, como los dispositivos que tienen capacidades de trabajo similares a las de una PC, por el valor de la información que contienen. Cómo cuidarse de las amenazas.

Aunque aún no tienen ni el volumen ni la masividad de sus hermanos de las computadoras, los virus en los teléfonos móviles ya son reales y tangibles, y comienzan a ser cada vez más utilizados por los delincuentes que utilizan aplicaciones de las tecnologías de la información y la comunicación (TIC) para cometer delitos como robos de información, estafas y fraudes.

Los "hackers" se enfocan en especial en los equipos de alta gama, como los teléfonos inteligentes ("smartphones", en inglés), que tienen capacidades de trabajo similares a las de una PC, por el valor de la información que contienen esos dispositivos, de alta penetración en el mercado de ejecutivos y profesionales.

Más...

Fuente: infobae.com

Los gerentes de IT, preocupados por los portales que visitan los empleados

Están en estado de alerta porque esas filtraciones podrían generar filtraciones de información confidencial.

El auge de la banda ancha, las redes sociales y portales dedicados a compartir contenidos, obligó a las compañías a replantearse los métodos y sistemas para controlar posibles infecciones online, y fundamentalmente, la filtración de información. En este sentido, la firma de seguridad informática Websense dio a conocer los resultados de su encuesta anual, en la que dio cuenta de los hábitos actuales a la hora de usar Internet.
El trabajo estuvo a cargo de DMS, que realizó un total de 700 entrevistas telefónicas (a 350 gerentes de tecnología y 350 empleados) de empresas con más de 250 trabajadores de Argentina, Brasil, Chile, Colombia, México, Perú y América Central. Uno de los datos más relevantes fue que el 98% de los responsables del área de IT reconocieron estar preocupados por la forma en que el personal se relaciona con la Web. Su mayor temor es el envío de documentos desde la oficina hacia cuentas de correo electrónico personal.

Por su parte, el 46% de los empleados consultados afirmó que incurrió en este tipo de práctica, y el 72% que realizó al menos una actividad que puso en riesgo la seguridad de la compañía.
Asimismo, los gerentes de IT señalaron las principales actividades online que ocupan su atención son hacer clic en un pop-up que aparece en un sitio Web o en el escritorio (64%), enviar un correo corporativo a una dirección equivocada (55%), acceder a portales o contenido adulto, por su posible código malicioso (43%), o dejar que un amigo o familiar use su PC del trabajo (40%).

Malware a la vista
A su vez, el estudio reflejó que el 96% de los gerentes TI confían en que sus empresas están protegidas de alguna forma contra posibles amenazas de Internet, aunque un escaso 4% aseguró que sea absolutamente segura. Desde la visión de los empleados, las cosas son diferentes: la mayoría aseguró que confía más en su computadora personal que en la de la oficina.
Hoy en día, las firmas de mayor tamaño son las que van a la vanguardia de estas problemáticas, lo que se refleja en el aumento de la demanda de software específico para contrarrestar los riesgos de una filtración o infección en los últimos años. Las aplicaciones más comunes son las soluciones de filtro de Internet (91%) y los utilizados para bloquear sitios de phishing (89%).
No obstante, todavía no tomaron consciencia de la necesidad de prestarle atención a los reproductores de música y dispositivos USB, a pesar de que su uso aumentó en un año de 19% 48%.

¿Qué pasa en Argentina?
Según el documento, sólo el 12% de los responsables de IT a nivel local no percibieron ninguna práctica online de parte de sus empleados que ponga en riesgo sus puestos de trabajo. Las grandes empresas, a diferencia de lo que ocurre en otros países, permiten que sus trabajadores tengan acceso a Internet, siendo el ingreso a portales bancarios y financieros el preferido por los encuestados.

Por otro lado, el relevamiento permitió saber que el 30% de esas firmas tiene un 20% de sus computadoras infectadas con software espía. Josué Ariza, territory manager de Websense, señaló que el problema es que la gente no cree que pueda ser víctima de un virus o código malicioso. “Piensan que ´a mi no me va a pasar´”.

No obstante, el ejecutivo sostuvo que pese a la crisis en Argentina hubo un incremento en las ventas de aplicaciones de seguridad informática, de entre el 40% y 50%. Argumentó que puede deberse a “que la gente tiene más presente estas cuestiones”, o al trabajo que están llevando a cabo con sus dos mayoristas (Licencias Online y Afina).

Fuente: canal-ar.com.ar

2010 Global State of Information Security - PWC

About this study
For many years, information technology–and, by extension, information security–was among the most likely cost centers to encounter cutbacks in funding when companies fell upon difficult economic times.

Why?
One reason–a lingering one, unfortunately–is that business leaders responsible for controlling the purse strings have not always found it easy to link multi-year investments in security with concrete, tangible, strategy-aligned business outcomes.
A second reason, among many others, is that it is often tempting for corporate decision-makers–executives under pressure to spread less funding across the same number of priorities–to find false comfort in applying cutbacks equally and indiscriminately across functions and business units until economic strength returns.
So it stands to reason–in the middle of the most significant economic downturn in decades–that the information security function might well be subject to the same waves of layoffs, project cancellations, and budget cuts that are affecting nearly every other corporate function and many different cost centers in companies, industries, and regions across the world.
We think, however, you will be intrigued by the results of our 2010 Global state of information security survey.
Two findings, in particular, stand out. On the one hand, there is compelling evidence that, in some respects, the security function appears to be under protection–as if the efforts of technology and security executives to align security more closely with the business are, in fact, beginning to show results.
On the other hand, the economic downturn has clearly raised the bar on security. In addition to helping the business mitigate risks associated with factors such as globalization, outsourcing and third-party compliance with company policies, the information security function is now also charged with new challenges– challenges--and for some companies, they are more urgent than ever before. The function and its leaders, for example, are now also tasked with helping the company address an acute set of crisis-related risks and opportunities such as those associated with new business models, M&A transactions, successive waves of layoffs, cost-cutting drives in other parts of the enterprise, and major shifts in a key competitor’s strategy.
What are the implications of these trends on how your business is addressing the challenges of the economic downturn? What expectations should you be placing on your information security function at this time? Which areas of focus offer the best opportunities for security to provide concrete business value–not just over the long run but right now, during an unusual economic period?
PricewaterhouseCoopers is in its eleventh year of conducting the online Global state of information security survey, the past seven with CXO Media, publisher of CSO and CIO magazines. Our goal is to understand how executives and industry leaders view current and future challenges facing the information security industry. More than 7,200 CEOs, CFOs, CIOs, CSOs, vice presidents and directors of IT and information security from 130 countries contributed information to this year's study. We are leveraging Global Best Practices®, to use the results of the survey to help other organizations, such as yours benchmark their current performance and capabilities against peer companies. This will enable you to understand the latest trends that your peers are facing as well as the safeguards that other organizations have implemented to address emerging threats proactively.
By submitting the survey questionnaire, you will receive a customized benchmark report comparing your company’s information security posture to the responses of more than 7,200 participants in the 2010 Global state of information security survey.

The objective of this information security benchmarking assessment is to:
Compare your organization’s security posture to peer organizations from similar industries, size, or geographic region
Help you identify trends among peer organizations on the state of information security
Identify areas of potential investments to improve operational effectiveness and reduce risk.
Each organization has a different level of risk tolerance, security maturity, and priorities for security investments. This benchmark study provides insight into the security concerns and posture of the global community, as well as a smaller subset of companies based on industry, size, or geography.
The results will provide you with valuable insight into your company’s information security practices and areas of focus, which you can subsequently compare with those of your peers. To enable this feedback process, we collect participants’ data centrally and securely. All individual names and data will be completely confidential. We may use the summary data to identify high-level trends for publication.

Who should participate
Specifically, we seek participation from C-level executives and information security leaders who:
Oversee information security related functions within the organization
Actively seek to harmonize and integrate people, process and technology to reduce risk
Want to know how they rank against their industry peers
A PricewaterhouseCoopers practitioner will assist you with any questions that may arise when completing the security questionnaire.
This benchmarking study is coordinated through PricewaterhouseCoopers' Global Best Practices.
See who has participated...

Download:

Preview the benchmarking group profile. See the profile of participants in the 2010 Global state of information security survey.
- 2010 Global state of information security profile (pdf, 15 KB)
- 2010 Global state of information security profile (xls, 51 KB)

Sample report: 2010 Global state of information security survey
- 2010 Global state of information security survey sample report (pdf, 69 KB)
- 2010 Global state of information security survey sample report (xls, 421 KB)

Today, in the middle of the worst economic downturn in thirty years, information security has an enormously important role to play.
What are the implications of these trends on how your business is addressing the challenges of the economic downturn? What expectations should you be placing on your information security function at this time? Which areas of focus offer the best opportunities for security to provide concrete business value—not just over the long run but right now, during an unusual economic period?

Download: Trial by fire - What global executives expect of information security—in the middle of the world’s worst economic downturn in thirty years.

Analizando Tráfico de Red

En el blog "El diario de Juanito" se publico recientemente una serie muy interesantes de post dedicados al análisis del Tráfico de Red:

• Parte 1
• Parte 2
• Parte 3

El análisis del tráfico de red, junto con su contenido, es esencial para conocer qué uso se le ha dado a la red en un momento determinado.

Imagináos un servidor infectado mediante un exploit lanzado de forma remota. O conocer a ciencia cierta que están robando información confidencial de la empresa. Gracias a la reconstrucción del tráfico de red, es posible que se puedan dar respuesta a un buen número de cuestiones.

...

Tools: Sophos Free Encryption, protege tus archivos con contraseña

Sophos Free Encryption es una aplicación que te permite proteger tus archivos de miradas curiosas. Ya sean documentos con información sensible, fotografías, respaldos de seguridad… todo lo que no te gustaría que nadie más viera.

No cuenta con una gran cantidad de características y funciones, pero gracias a esto resulta muy fácil de usar. Tan sólo tenemos que seleccionar los archivos que queramos proteger, configurar una contraseña, y Sophos Free Encryption se encarga de mantener a resguardo todos nuestros datos en un único archivo.

Ese archivo sólo puede ser abierto con la misma aplicación y con su respectiva clave. Así nos aseguramos de que nadie más pueda ver lo que no debería, o bien podemos compartir información con otras personas de una forma segura.

Sin duda una interesante solución para cifrar archivos fácilmente. Sophos Free Encryption es gratuito y es compatible con Windows 2000, XP, Vista y 7.

Visto en www.opensecurity.es

- Download now - Use our free tool to encrypt your confidential files
- Sophos Free Encryption datasheet

Más citas y frases famosas relacionadas con la Seguridad....

# "Pienso que los virus informáticos muestran la naturaleza humana: la única forma de vida que hemos creado hasta el momento es puramente destructiva"
-- Stephen Hawking


# . "El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados"
-- Gene Spafford


# . "Saber romper medidas de seguridad no hacen que seas hacker, al igual que saber hacer un puente en un coche no te convierte en un ingeniero de automoción"
-- Eric Raymond


# . "Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores"
-- Kevin Mitnick


# . "Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni entiendes los problemas ni entiendes la tecnología"
-- Bruce Schneier


# . "Los bulos (hoaxes) que circulan por internet usan la debilidad del ser humano para asegurar su replicación y distribución. En otras palabras, utilizan los resquicios del Sistema Operativo Humano"
-- Stewart Kirkpatrick


# . "Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños"

-- Chris Pirillo


Post relacionados:
- Algunas citas y frases famosas relacionadas con la Seguridad

Seguridad Vs Hyper V

A continuación les publicamos links de distintas presentaciones realizadas donde se incluyo el tema de la seguridad en Hyper V:

• Hardening de Entornos Virtualizados

• Alta disponibilidad Con Hyper-V
  
  
• Windows Server 2008 Hyper-V
  
  
• Hyper-V Security
  

España y Argentina entre los 5 países más infectados (Taiwan, Rusia y China lideran)

Algunos de los principales productores de malware como Rusia o China son también los países más afectados por la acción de los virus. Mientras que en el cuarto puesto está España y en el quinto Argentina. en este estudio de Panda Security se muestran que las naciones más desarrolladas y con más penetración de internet también resultan ser los repositorios ideales para la creación y distribución de malware.

Por su parte los Estados Unidos se encuentran en la novena posición de este ránking pese a ser uno de los principales países de origen del malware que se distribuye en todo el mundo. El estudio ha sido llevado a cabo por Panda Security a partir de los resultados de aquellos internautas que han utilizado su servicio gratuito online de análisis Panda ActiveScan.

La lista de países con más máquinas afectadas por malware (virus, troyanos, espías, etc.) está encabezada por:

1. Taiwan (69,10% de máquinas infectadas)
2. Federación Rusia (67,99%)
3. República Popular China (61,97%).
4. España (61.1%).
5. Argentina (61.52%).

De estos países, el segundo y el tercero constan también en las primeras posiciones de los lugares en los que se produce y distribuye mayor cantidad de malware, con lo que una conclusión rápida es que este tipo de software es distribuido en primer lugar de forma doméstica, por lo que a los virii rusos y chinos parece no importarles mucho que sean sus mismos conciudadanos quienes sufran las consecuencias de sus acciones.

Más..



Links relacionados:
- Argentina, quinto país en el ranking mundial en equipos infectados
- U.S. Ranks 9th in Global PC Infection Report, According to PandaLabs

OWASP Application Security Verification Standard (ASVS) 2009 - Web Application Standard - Release Version

El Estándar de Seguridad en Aplicaciones de OWASP (ASVS) es otro proyecto de OWASP.

ASVS are specifications produced by OWASP in cooperation with secure applications developers and verifiers worldwide for the purpose of accelerating the deployment of secure Web applications.

First published in 2008 as a result of an OWASP Summer of Code grant and meetings with a small group of early adopters, the ASVS documents have become widely referenced and implemented. Further development of ASVS occurs through mailing list discussions and occasional workshops, and suggestions for improvement are welcome.

Download ASVS now, for free, here.

Web del proyecto

Post relacionado:
- Presentaciones: OWASP AppSec Europe 2009 - Poland

Estudio: ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad? (Hispasec)

Estudio sobre la demora de los fabricantes de software en la corrección de vulnerabilidades no públicas.

Introducción
El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto. Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes “perciben” el peligro de utilizar ese software.

Existen dos escenarios muy diferentes a la hora de solucionar una vulnerabilidad: que sea conocida públicamente, o que no. Esto es determinante para los grandes fabricantes. En el segundo caso, el ritmo de solución es muy distinto al primero. Su imagen no está en entredicho, los clientes no se sienten en peligro... pueden tomarse la solución con más calma, y centrarse en asuntos mucho más urgentes (que seguro que existen). En Hispasec nos hemos preguntado cuánto tardan los grandes fabricantes en solucionar una vulnerabilidad cuando no sufren la presión de los medios, cuando la vulnerabilidad es solo conocida por ellos y quien la ha descubierto. Cómo reaccionan ante esta situación “ideal” (desde su punto de vista), en la que la vulnerabilidad les ha sido comunicada en secreto, y ambas partes acuerdan no hacerlo público hasta que exista una solución.

Este es un escenario relativamente sencillo de evaluar, puesto que podemos tomar la fecha en la que el fabricante fue informado como inicio del contador, y la fecha en la que se publica una solución como final. El tiempo que haya transcurrido nos permitirá saber de forma precisa cuánto tardan los fabricantes en solucionar una vulnerabilidad que no es pública. Nos hemos servido de iDenfense y ZeroDayInitiative para realizar un pequeño estudio al respecto.

Descarga (Septiembre 2009 PDF, Español - 49 pag.)

Nueva guía de seguridad informática para pymes del NIST

Esta nueva guía del NIST (National Institute of Standards and Technology) del gobierno de EEUU intenta alentar a los empresarios a mejorar la seguridad de sus sistemas informáticos con una serie de acciones concretas y algunos consejos prácticos.

Contenido:
1. Introduction
2. The “absolutely necessary” actions that a small business should take to protect its information, systems, and networks
3. Highly Recommended Practices
4. Other planning considerations for information, computer, and network security
Appendix A: Identifying and prioritizing your organization’s information types
Appendix B: Identifying the protection needed by your organization’s priority information types
Appendix C: Estimated costs from bad things happening to your important business information

Descarga: Small Business Information Security: The Fundamentals (Octubre 2009 , Ingles)


Link relacionados:
- EEUU publica una guía de seguridad informática para pymes

Hackearon la página web de Diego Maradona

"Te hicimos llorar", se lee al ingresar al sitio del técnico argentino. Una foto del diez, en su despedida en la Bombonera y la de la selección peruana, con un "Viva el Perú carajo", en primer plano. Además de un tema musical folklórico peruano. La toma virtual del sitio está firmada: "Hacked by Perú".

La página web de Diego Maradona fue hackeada e intervenida. Ahora, al ingresar al sitio, la foto del diez, en su despedida en la Bombonera y la de selección peruana, están en primer plano. "Te hicimos llorar", se lee sobre la imagen del director de la selección argentina.

Además, un tema musical folklórico peruano que arranca a sonar ni bien se ingresa a la página es el condimento faltante para el sitio "tomado", largas horas después del partido que se jugó el sábado en el Monumental, con la victoria de Argentina 2 a 1 ante Perú, en el Monumental, por las Eliminatorias para el Mundial de Sudáfrica 2010.

"Para el lloron mas Grande de todos los Tiempos - Nos ganaron en el football pero les ganamos en la Red", agregan sobre la foto del seleccionado peruano, y luego cierra con "Viva el Perú carajo".

La intervención digital está firmada "Hacked by Perú".

Fuente: www.online-911.com

TOP 20 de las contraseñas relacionadas con el reciente hacking de cuentas de Hotmail

Como complemento al post "Hackearon más de 10.000 cuentas de Hotmail y las publicaron en Internet", la compañia Acunetix publico en su Blog el siguiente post donde muestra que de las cuentas comprometidas (mas de 10000)...

• - Sólo el 6% de los usuarios disponía de contraseña que combinaba números y letras
  La clave más larga e 'lafaroleratropezoooooooooooooo', con 30 caracteres
• - La contraseña mas usada es 123456
• - La segunda más habitual es '12345678'

Acunetix Web Application Security Blog:

An anonymous user posted usernames and passwords of over 10,000 Windows Live Hotmail accounts to a web site called PasteBin. PasteBin is currently down for maintenance but I managed to get a copy of the list, and quickly generated some statistics from these passwords.

My impression is that these passwords have been gathered using phishing kits. Even more, the phishing kit used most probably was badly designed, since it was one that didn’t further authenticated the users to the Hotmail/Live website. I think it just returned an error message after grabbing the credentials. I noticed this because some of the passwords are repeated once or twice (sometimes with different capitalization). What most probably happened, is that the users didn’t understand what was happening, and they tried to enter the same password again and again, thinking the password was wrong.

Bellow are the statistics:

• The list initially contained 10,028 entries.
• After I’ve cleaned up the list, like removing entries without a password, I had 9843 valid entries (passwords).
• There are 8931 (90%) unique passwords in the list.

• The longest password was 30 chars long: lafaroleratropezoooooooooooooo.
• The shortest password was 1 char long : )

Top 20 most common passwords:

1. 123456 - 64
2. 123456789 - 18
3. alejandra - 11
4. 111111 - 10
5. alberto - 9
6. tequiero - 9
7. alejandro - 9
8. 12345678 - 9
9. 1234567 - 8
10. estrella - 7
11. iloveyou - 7
12. daniel - 7
13. 000000 - 7
14. roberto - 7
15. 654321 - 6
16. bonita - 6
17. sebastian - 6
18. beatriz - 6
19. mariposa - 5
20. america - 5

Based on these passwords I think the phishing kit was targeted towards the Latino community.

Password length distribution:

• 1 chars – 2 – 0 %
• 2 chars – 4 – 0 %
• 3 chars – 4 – 0 %
• 4 chars – 31 – 0 %
• 5 chars – 49 – 1 %
• 6 chars – 1946 – 22 %
• 7 chars – 1254 – 14 %
• 8 chars – 1838 – 21 %
• 9 chars – 1091 – 12 %
• 10 chars – 772 – 9 %
• 11 chars – 527 – 6 %
• 12 chars – 431 – 5 %
• 13 chars – 290 – 3 %
• 14 chars – 219 – 2 %
• 15 chars – 157 – 2 %
• 16 chars – 190 – 2 %
• 17 chars – 56 – 1 %
• 18 chars – 17 – 0 %
• 19 chars – 7 – 0 %
• 20 chars – 14 – 0 %
• 21 chars – 10 – 0 %
• 22 chars – 8 – 0 %
• 23 chars – 3 – 0 %
• 24 chars – 3 – 0 %
• 25 chars – 3 – 0 %
• 26 chars – 0 – 0 %
• 27 chars – 3 – 0 %
• 28 chars – 0 – 0 %
• 29 chars – 1 – 0 %
• 30 chars – 1 – 0 %

As you can see from the list above, most of the passwords are between 6 and 9 characters long. Average password length is 8 characters.

What kind of passwords were in the list? :

• 3,713 = 42 %; lower alpha passwords : passwords containing only characters from ‘a’ to ‘z’.
  Example : iloveyou
• 291 = 3 %; mixed case alpha passwords : passwords containing characters from ‘a’ to ‘z’ and from ‘A’ to ‘Z’.
  Example: ILoveYou
• 1707 = 19 %; numeric passwords: passwords containing only numbers (’0′ to ‘9′)
  Example: 123456
• 2655 = 30 %; mixed alpha and numeric passwords: passwords containing characters from ‘a’-'z’, ‘A’-'Z’ and ‘0′-’9′.
  
  Example: Iloveyou12
• 565 = 6 %; mixed alpha + numeric + other characters.
  Example: 1Love You$%@

As we can see and conclude from the list above, a big majority of users still use very poor passwords: 42 % (lower alpha only) and 19 % (numeric only), while only 6 % from all the passwords had passwords which use a selection of alpha numeric and other characters.

www.acunetix.com/blog/


Link relacionados:
- La contraseña más común en Hotmail es... 123456
- '123456', la contraseña más utilizada en las cuentas de Hotmail

Hackearon más de 10.000 cuentas de Hotmail y las publicaron en Internet

Lo confirmó Microsoft. Subieron nombre de usuario y contraseña. La gran mayoría de las víctimas son europeas. "No tenemos información de que hayan argentinos en la lista, pero aún no podemos descartarlo", dijeron voceros de la empresa a Clarin.com.

Estuvieron allí, al alcance de quien quisiera verlas por cuatro días, dentro de un foro en el que programadores de software comparten códigos (Pastebin.com). Hasta que hoy, el sitio especializado en Tecnología Neowin.net dio la voz de alarma.

Resto del articulo

Link relacionados:
- 10.000 contraseñas de Hotmail, misteriosamente se filtró a la web
- Leaked Hotmail Account Credentials Reveal Weak Password Trends

Firma electrónica. Todo lo que tiene que saber. Entrevista a ipsCA.

Vídeo-entrevista de 18:06 mn., por Begoña Contento, Oficina IT-Spain.net en Madrid

A lo largo de la entrevista se tratan las siguientes cuestiones:

• ¿Qué es la firma electrónica?
• Escenarios de aplicación
• Componentes de la firma electrónica
• Diferentes formatos
• Elección autoridad certificadora
• Software e-factura homologados
• Proceso de emisión y recepción de facturas
• Desarrollos internos, soluciones comerciales, SaaS
• Almacenamiento y validez a largo plazo
• Copias de documentos firmados electrónicamente
• Requisitos TI factura electrónica
• Implantación e-factura: Situación actual y perspectivas
• Precio aproximado por e-factura

Acceda al video completo haciendo clic aquí (Gratuito, requiere registro)

Visto en www.erp-spain.com