Guía práctica para PYMES: cómo implamentar un Plan de Continuidad de Negocio (INTECO - Deloitte)

Edición: Octubre 2010 (España)

INTECO y Deloitte presentan conjuntamente la guía, y la distribuyen en el seno del ENISE en los stands que ambas instituciones tienen en el Encuentro Internacional de la Seguridad de la Información (León, 26 a 28 de octubre de 2010). ¿Están las empresas preparadas para superar una contingencia grave? ¿Disponen las pymes españolas de planes donde se documente las acciones a adoptar en caso de, por ejemplo, caídas de luz, inundaciones, incendios o robos?

La competitividad creciente entre las organizaciones, las demandas exigentes del mercado, y un entorno regulatorio cada vez más estricto son factores que fuerzan a las empresas a demostrar su resistencia ante la incidencia de algún tipo de catástrofe.

Por ello, cada vez más se hace necesario por parte de las organizaciones el establecimiento de medidas técnicas, organizativas y procedimentales que garanticen la continuidad de las actividades o procesos de negocio en caso de tener que afrontar una situación de este tipo.

Esta guía establece un marco de actuación para las organizaciones que deseen abordar los principios y prácticas de continuidad de negocio de una forma integral: desde el momento inicial en el que se reconoce la necesidad de desarrollar un programa o estrategia de continuidad, hasta su mantenimiento y actualización constante.

Descarga (PDF - ES 80 Pag. )

Índice
1. ¿A quién va dirigida?
2. ¿Por qué es importante la continuidad?
3. ¿Cuál es la utilidad de esta guía?
4. ¿Por qué es necesario adoptar un plan de Continuidad de Negocio?
5. ¿Por dónde empezar?
6. Estructura de la guía
7. Fase I: Diseño del plan y establecimiento de la política de Continuidad de Negocio
8. Fase II: Conocimiento de los procesos de negocio de la organización y análisis de riesgos
9. Fase III: Medidas preventivas
10. Fase IV: Estrategias de recuperación
11. Fase V: Desarrollo e implantación del plan
12. Fase VI: Mantenimiento del plan
13. ¿Qué debo recordar?
14. Más información
15. Anexo I: Glosario

The Basics of Information Security - A Practical Handbook

This book is recommended as a study book for the Information Security Foundation based on ISO/IEC 27002 exams of EXIN.

EXIN is an independent, international examination institute for IT professionals. EXIN’s mission is to improve the quality of the IT sector as well as that of IT professionals. In order to achieve these goals, EXIN develops exam requirements and IT exams.

EXIN provides four examinations in Information Security. These examinations are based on ISO/IEC 27002. You can take exams at Foundation, Advanced and Expert level. At Expert level you are tested not only on your knowledge of ISO/IEC 27002 but also of ISO/IEC 27001.

Download  (PDF, EN 124 Pag.)

Table of contents
- Introduction to basic information security
- Information, business objectives and quality requirements
- Threats and risks
- Business assets and information security incidents
- Physical measures
- Technical measures (IT security)
- Organizational measures
- Legislation and regulations
- Appendix: Sample exam Information Security Foundation based on ISO/IEC 27002

15th Annual CSI Computer Crime and Security Survey

The longest-running project of its kind in the security industry!

This comprehensive survey reports on information about targeted attacks, incident response and the impacts of both malicious and non-malicious insiders. It contains details about respondents’ security programs, including budgeting, policies implemented, tools used, satisfaction with security tools and budgets, degree of outsourcing, use of metrics and effects of compliance requirements.

Now Available for Pre-Sale

About CSI

Computer Security Institute (CSI) is the leading membership organization and provider of education for the information security community. CSI serves the needs of security professionals worldwide through conferences, educational events, research and publications, blogs, podcasts and awareness tools.

VERACODE State of Software Security Report - Vol 2

Veracode’s State of Software Security is the first report of its kind to provide security intelligence derived from multiple testing methodologies (static, dynamic, and manual) on the full spectrum of application types (components, shared libraries, web, and non-web applications) and programming languages (including Java, C/C++, and .NET) from every part of the software supply chain on which organizations depend. It represents intelligence gleaned from analyzing billions of lines of code submitted to Veracode for independent verification of software security from more than 15 industries.

More...


Executive Summary

The following are some of the most significant findings in the State of Software Security Volume 2, representing 2,922 applications assessed in the last 18 months by Veracode SecurityReview®, a cloud-based application risk management services platform.

• 1. More than half of all software failed to meet an acceptable level of security and 8 out of 10 web applications failed to comply with the OWASP Top 10.
• 2. Cross-site Scripting remains the most prevalent of all vulnerabilities
• 3. Third-party applications were found to have the lowest security quality
• 4. Developers repaired security vulnerabilities quickly
• 5. Suppliers of Cloud/Web applications were the most requested third-party assessments
• 6. No single method of application security testing is adequate by itself
• 7. The security quality of applications from Banks, Insurance, and Financial Services industries was not commensurate with their business criticality

Volume 2 (36 Pages) - September 22nd, 2010
Download: VERACODE State of Software Security Report - Vol 2 (Ingles)

Download:  State of Software Security Report Volume 1 (Ingles)

80% of web applications can't pass a PCI audit

During recent in-depth security reviews of almost 3,000 applications, it was discovered that over 80% of web applications don't comply with the OWASP Top 10 list of critical web application errors and subsequently couldn't pass a PCI compliance audit. Obviously, application security still has a long way to go. It's overly simplistic, but being in compliance with regulations like PCI provides a good baseline of security. You can still be hacked if you are in compliance with PCI or HIPAA or anything else, but the chances that your organization will find itself in the news because of a breach are significantly reduced.  There are far easier targets.

It was also discovered that over 80% of third-party code failed security tests. According to the report, anywhere from 30-70% of internally developed applications are comprised of third-party components. That number should clarify the danger of insecure third-party code just as much as Siemens Stuxnet did (probably the most famous to date example of a vulnerability resulting from insecure third-party code).

What will seem like common-sense after you hear it...open-source software is more secure than either its in-house or commercial brethren. A lot. A whopping 93% of open source applications did not pose a potential security risk. Apparently many eyes (and many testers) can help to create more secure software.

As we’ve repeatedly seen over the past couple of years, Cross-Site Scripting remains main web application vulnerability. The report notes that a full 51% of the vulnerabilities discovered in these applications was Cross-Site Scripting.

Something of a  bright spot, though...the average time for organizations to fix security defects has now shrunk from 36-82 days to 12-19. That's a significant drop. At least it's a start...and a good one, at that.

http://www.darkreading.com/security_monitoring/security/app-security/showArticle.jhtml?articleID=227...


Visto en HP

Video: Cómo elegir contraseñas seguras

How to Choose Strong Passwords





Link relacionado:
- Clase práctica de seguridad informática con Mozilla

Material y kit de herramientas del programa de Concientización en seguridad de Microsof

Microsoft reconoce que la Concientización y el aprendizaje en seguridad de la información es fundamental para la estrategia de seguridad de la información de cualquier organización y sus operaciones de seguridad asociadas. Las personas son en muchos casos la última línea de defensa frente a amenazas tales como código malintencionado, empleados descontentos y terceros malintencionados. Por lo tanto, es preciso educar a los usuarios en lo que su organización considera un comportamiento apropiado y consciente de la seguridad, y también acerca de qué prácticas recomendadas de seguridad es necesario adoptar en la actividad laboral diaria. Se ha reunido este kit para proporcionar orientación, muestras y plantillas para crear un programa de Concientización en seguridad.

Guía de desarrollo del programa de Concientización en seguridad

Este material de orientación incluye el artículo técnico Consideraciones clave para desarrollar información efectiva y programas de aprendizaje, que describe cómo enfocar correcta y eficazmente un programa de aprendizaje y Concientización en seguridad de la información. Va acompañado de una presentación sobre Concientización en seguridad de la información titulada La función de la seguridad de la información en la actividad empresarial diaria. Esta presentación ofrece contenido que se puede aprovechar para presentaciones sobre Concientización en seguridad efectivas para todo el personal de las organizaciones y también puede servir como lanzamiento oficial del programa de aprendizaje y Concientización en seguridad de la información en su organización. También incluye un vídeo y una plantilla de presentación sobre Concientización en seguridad del usuario final, que ofrece material útil para articular los elementos implicados en la elaboración de un programa de aprendizaje y Concientización en seguridad de la información para su administración y sus compañeros de trabajo.

Materiales de muestra sobre Concientización

Incluye contenido de muestra sobre Concientización utilizado en todo el mundo para ayudar a reconocer y responder a problemas de seguridad y protección. Este contenido se ha utilizado en programas de la comunidad, en escuelas, empresas industriales y en línea a través de staysafe.org. Puede emplear este material como ejemplo o directamente en sus propios programas internos de Concientización.

Plantilla de muestra
Las herramientas listadas a continuación contienen plantillas de mensajería que se pueden adaptar a sus comunicaciones internas sobre Concientización en seguridad.

• - Plantillas de folleto
• - Plantilla de mensaje de invitación por correo electrónico
• - Plantillas de informe
• - P+F
• - Plantilla de boletín
• - Plantillas de póster
• - Plantillas de PowerPoint
• - Tarjeta de referencia rápida

Descarga:

·  Material del programa de Concientización en seguridad - 120 MB (Ingles)

2010 Top Cyber Security Risks Report (HP)

HP publicó un reporte de investigación que destaca las tendencias de la computación empresarial y vulnerabilidades en la seguridad de las redes en la primera mitad de 2010, proveyendo a la administración de TI con información detallada sobre riesgos potenciales para sus datos en la empresa.

El reporte, elaborado por Digital Vaccine Labs (DVLabs) de HP TippingPoint, ofrece a las organizaciones visibilidad de los ataques que se centran en sus aplicaciones y redes en operación. Esta información permite a los administradores hacer los cambios al sistema que se necesiten para reducir la posibilidad de infracciones en la red que pudieran conducir a pérdidas financieras o a una disminución de la productividad.

El uso de parte de empleados de aplicaciones de negocios basadas en la web y sitios de redes sociales mientras están conectados a redes corporativas continúa creciendo todos los días. Aunque la premisa de los empleados en cuanto a estos programas es honorable (ayudar a crear consciencia de marca o mejorar la productividad), el uso de estas aplicaciones abre la red empresarial a graves amenazas a la seguridad.

Más...

Visto en ebizlatam.com

In-depth analysis and attack data from HP TippingPoint DVLabs, vulnerability data from Qualys and additional analysis provided by the Internet Storm Center and SANS 

Overview

Welcome to the second edition of the annual Top Cyber Security Risks report. The report features in-depth

analysis and attack data from HP TippingPoint DVLabs, vulnerability data from Qualys and additional analysis provided by the Internet Storm Center and SANS.

In 2010, information security threats are striking networks with more sophisticated techniques than ever and exploit reports continue to dominate the media.

The collective findings described within this report establish the fact that the proliferation of technology, along with the quick and effortless manner in which that technology is accessed, is dramatically and negatively impacting security. While we are not advocates for making technology more difficult, we do advocate implementing common sense security policies and technologies that battle well-known and new threats. This report evaluates some of the most significant security liabilities that the enterprise is facing today. The report focuses on four key areas:

• Increased Consumerization of Enterprise Computing

• Prolonged and Persistent Targeting of Web Applications

• Increased Organization and Sophistication of Attackers

• The Unrelenting Presence of Legacy Threats In addition to explaining how and where the enterprise is vulnerable, the report provides insights into how organizations can protect themselves from attack, including what the next generation of computing should look like to maximize security for the corporate network.

Download

Link relacionado:
- New Report Highlights Enterprise Computing Trends and Network Security Impact Analysis

Microsoft Security Development Lifecycle - Tools

Incorporating automation into the development lifecycle is an investment in software quality. The Microsoft Security Development Lifecycle (SDL) process guidance requires or recommends the use of certain security-focused tools as part of the development process. It is important to understand which tools are appropriate for the various phases of the development lifecycle. Development organizations will need to choose tools that meet cost and quality requirements and ensure that developers and testers possess sufficient expertise to use them appropriately.

Microsoft makes templates and tools – available at no cost – to help you perform these activities.

The graphic below will help you identify how each of these tools fits into the SDL. Click on the name of a tool below to download it.

More..

 

Informe Global sobre Fraudes 2010 (Kroll)

Kroll Global Fraud Report 2010


Encuesta revela que el robo de información es un problema mayor que el robo de bienes

En su Informe sobre Fraudes a Nivel Mundial, Kroll dijo que en una encuesta realizada a 800 ejecutivos reveló que el robo de información era la forma más denunciada de fraude, con un total de 27.3% de los encuestados que reportaron algún incidente de robo de información en los últimos 12 meses, frente a 18 % que reportó el robo de información en los últimos 12 meses en 2009. En comparación, los informes sobre el robo de activos físicos fueron menores, con tan solo 27.2% en los últimos 12 meses.

Kroll aplico la encuesta a 800 ejecutivos de alto nivel en empresas con presencia mundial a través de la Economist Intelligence Unit en julio y agosto de 2010. La encuesta abarcó a ejecutivos en una amplia gama de mercados verticales, incluidos los servicios financieros, comercio minorista, servicios profesionales, tecnología, medios de comunicación y así sucesivamente. Alrededor del 47% eran ejecutivos de nivel C, y la mayoría de los encuestados trabajaban en empresas con ingresos anuales de más de 500 millones de dólares. Alrededor del 30% provino de América del Norte, una cuarta parte provino de Europa y la región de Asia y el Pacífico, y 11% de América Latina, África y Oriente Medio.

El robo de información fue dirigida especialmente a empresas verticales centradas en la información, incluidos los servicios financieros, tecnología, servicios profesionales, así como los medios de comunicación y telecomunicaciones, según el sondeo. Cuarenta y dos por ciento de las empresas de servicios financieros encuestados por Kroll informaron de robo de información, pérdida o ataques en los últimos 12 meses, comparado con sólo el 24% en 2009. El número fue de 40% para las empresas de servicios profesionales, 27% más que el año pasado.

Los activos de tecnología pobremente protegidos son señalados como un factor que contribuye al crecimiento del problema de robo de información.

"La tecnología pobremente defendida es cada vez más fácil de explotar por parte de los defraudadores con cada vez más herramientas avanzadas de origen propio, que van desde la sofisticada piratería informática hasta una simple unidad de memoria", concluyó el informe.

Más...

Fuente: threatpost.com

Descarga del reporte:

- Global Fraud Report – April 2010 (Latin American Spanish)

- Global Fraud Report – April 2010 (U.S. English)


Otros idiomas (Italian, Japanese,....)

Download the Global Fraud Report presentation.

Check PCI Compliance - VMware Compliance Checker

Check the compliance of your IT infrastructure against specific standards and best practices that are applicable for the environment. The Compliance Checker is a free, downloadable, fully-functional product for checking compliance of your environment to help you ensure that it remains secure and compliant.

Compliance Checker for PCI DSS v1.2 is a free, downloadable tool that provides a real-time compliance check for multiple Microsoft Windows servers and desktops against PCI DSS v1.2 requirements. The tool collects data from these servers and desktops and produces a detailed summary of which requirements are met and which ones are not. This summary of PCI DSS v1.2 compliance can be used to drive a remediation/mitigation strategy and help prepare for audits.

Download



OSSIM - Open Source Security Information Management - Release

Hace un tiempo le habimos presentado a OSSIM - Open Source Security Information Management , esta suite se encuentra en la actualidad en la version 2.3 (Agosto 2010)

AlienVault Open Source SIEM (OSSIM) es un sistema de seguridad integral en código abierto que cubre desde la detección hasta la generación de métricas e informes a un nivel ejecutivo. AlienVault se ofrece como un producto de seguridad que le permitirá integrar en una única consola todos los dispositivos y herramientas de seguridad que disponga en su red, así como la instalación de otras herramientas de código abierto y de reconocido prestigio como Snort, Openvas, Ntop y OSSEC.

AlienVault es un producto que integra más de 30 herramientas Open Source. Tanto el sistema operativo como muchas de las herramientas integradas, han sido modificadas para mejorar su funcionamiento dentro del sistema. Es por ello que la instalación de AlienVault a partir del código fuente requiere de unos amplísimos conocimientos y de la compilación de más de 40 herramientas.

Funcionamiento Básico

Trataremos de mostrar, de forma simplificada, que procesos tienen lugar dentro de AlienVault:

• 1. Las aplicaciones generan eventos de seguridad
• 2. Los eventos son recogidos y normalizados
• 3. Los eventos son enviados a un servidor central
• 4. Valoración del riesgo de cada evento
• 5. Correlación de eventos
• 6. Almacenamiento de los eventos
• 7. Acceso a los eventos almacenados
• 8. Acceso a la configuración
• 9. Acceso a métricas e informes
• 10. Acceso a información en tiempo real del estado de nuestra red

Los eventos de seguridad son generados por las diferentes aplicaciones y/o dispositivos que dispongamos en nuestra red. Estos eventos son recogidos y normalizados por el Sensor de AlienVault, que se encarga además de enviarlos a un servidor central. En un despliegue de AlienVault podremos disponer de tantos Sensores como necesitemos. Como ejemplo, se puede situar un sensor dentro de la DMZ, un sensor en cada ciudad o dedicar un sensor para monitorizar cada una de las redes de la corporación.

El Sensor de AlienVault incluye una serie de herramientas (Snort, Ntop, Tcptrack, Arpwatch…) que permiten analizar todo el tráfico de red en busca de problemas de seguridad y anomalías. Para poder sacar provecho de esta funcionalidad de AlienVault es imprescindible que el Sensor de AlienVault sea capaz de ver todo el tráfico de la red, bien sea utilizando un concentrador, o configurando un port mirroring o port Span en la electrónica de red.

Todos los sensores de AlienVault envían sus eventos a un único servidor de AlienVault, que se encarga de efectuar una valoración del riesgo para cada evento, y en el que también tendrá lugar el proceso de correlación. Una vez estos dos procesos han tenido lugar, los eventos son almacenados en la base de datos de AlienVault.

Para tener acceso a toda esta información, así como a la configuración del sistema y a una serie de métricas e informes haremos uso de la Consola Web de AlienVault. Desde esta consola Web también tendremos acceso a información en tiempo real a una serie de aplicaciones que nos facilitarán el análisis del estado global de nuestra red.



Los detectores siguientes están activados por defecto:

• - Snort (IDS a nivel de Red)
• - Ntop (Monitor de red y uso)
• - Openvas (Gestión de Vulnerabilidad)
• - P0f (Sistema Operativo de Detección Pasiva)
• - Pads (Sistema Pasivo de Detección de Activos)
• - Arpwatch (Anomalías de cambios de mac)
• - OSSEC (IDS a nivel de Host)
• - Osiris (Monitor de integridad)
• - Nagios (Monitor de disponibilidad)
• - OCS (Inventario)

Link relacionado:

- Entrevista

1 de cada 5 españoles ha sufrido o conoce algún caso de robo de identidad

El 18% de los españoles afirma que ha sufrido o conoce algún caso cercano de robo de identidad, en el caso de las mujeres de 25 a 34 años, el porcentaje se eleva al 21%. El 72% de los españoles considera que España es un país más propenso a sufrir este tipo de delitos.

El Grupo CPP en España, empresa especializada en protección y servicios de asistencia, informa de los resultados de una nueva encuesta sobre Robo de Identidad realizada por TNS para CPP a 1.000 ciudadanos españoles.

Según estos últimos datos, que completan las anteriores encuestas realizadas por la compañía en las que conocíamos la preocupación de los ciudadanos por la temática, uno de cada cinco españoles (el 18% de los ciudadanos) afirma haber sufrido o conocer algún caso cercano de robo de identidad.

En estos nuevos resultados observamos que el 21% de las mujeres de entre 25 y 34 años si ha sufrido o conoce algún caso de robo de identidad. Por otra parte, los hombres de 44 a 55 años, se sitúan en el otro extremo y solo el 14% responde afirmativamente.

Además, otra de las conclusiones está relacionada con la percepción de seguridad que tienen los propios españoles de su país. El 72% de los españoles ha afirmado que dada la situación del país, “existe en España una mayor propensión o tendencia a sufrir delitos relacionados con el robo de identidad en nuestro país”.

Fuente: cibersur.com

 

 

2010 PCI Compliance Report - Just Released (Verizon)

VERIZON 2010 PAYMENT CARD INDUSTRY COMPLIANCE REPORT
A study conducted by the Verizon PCI and RISK Intelligence teams

Quick Summary

This report analyzes findings from actual Payment Card Industry Data Security Standard (PCI DSS) assessments conducted by Verizon’s team of Qualified Security Assessors (QSAs). The report examines the progress of organizations toward the goal of compliance and includes topics such as how and why some seem to struggle more than others. Also presented are statistics around which PCI DSS requirements and sub-requirements are most and least often in place (or compensated for) during the assessment process. Finally, the report overlays PCI assessment data with findings from Verizon’s Investigative Response services to provide a unique risk-centric slant on the compliance process.

Download (PDF - EN, 29 Pag)

 ¿Quién protege a los que nos protegen?

La página de descargas de Kaspersky, hackeada para difundir antivirus falsos, otra demostración de que esto es una jungla y de que la realidad supera a la ficción: la página web de los que nos protegen de los virus, desprotegida e infectada con virus.

Visto en microsiervos.com

TOP 5 de palabras más comunes en el spam (Malware City)

1. “Newsletters” canadienses (NEWSLETTER = 5.12%)

Un año atrás, el spam que adjuntaba los mensajes publicitarios en una newsletter era el método favorito de los spammers. Esta semana la palabra Newsletter vuelve a estar en auge. Y está siendo usado, principalmente, en la venta de productos de la “farmacia canadiense”. Si bien, la oleada de spam de este tipo más interesante es la que anuncia un servicio de envío de correos electrónicos que cuenta con una base de datos de direcciones de 12 millones y plantillas HTML de “boletines informativos” o newsletters. O sea, se anuncian a sí mismos. El servicio de spam todo-en-uno.

2. Haz clic para infectarte (CLICK = 2.95%)
La palabra clic ha sido la segunda más utilizada en spam esta semana, con cerca de un 3%. Esta es una de las oleadas de spam que adjuntan programas maliciosos disfrazados de inofensivas e-cards. Con el fin de engañar a los usuarios e incitarlos a ejecutar el archivo adjunto, este archivo viene con doble extensión (. Gif.exe), así que si el sistema operativo está configurado para no mostrar extensiones conocidas, sólo verá el archivo llamado card.gif. El archivo esconde, en realidad, el Backdoor.Zapchast.PI que dará un control total sobre la máquina infectada a un atacante remoto

3. El estafador cortés (PLEASE = 2.76%)
En el ranking de esta semana, PLEASE (por favor) cuenta con el 2.76 % de las palabras más frecuentemente usadas en spam. El típico y clásico timo nigeriano, relocalizado en Hong- Kong para darle más credibilidad, es el tipo de spam que más utiliza esta palabra. A diferencia de otros intentos de este tipo, los estafadores detrás de estos ataques no esperan robarte (al menos, no de primeras), sino más bien construir una base de datos de direcciones de correo electrónico de personas que son tan ingenuas como para responder a este tipo de mensajes.

4. Suscríbete de nuevo al spam (SUBSCRIBE = 2.70%)

El cuarto puesto de esta semana es para la palabra “suscribe”. Es muy usada en email de venta de medicinas, sobre todo, en los de la farmacia canadiense. Usan, generalmente, una plantilla de newsletter – con una imagen central y múltiples links-. Este clon de la farmacia canadiense está alojado en Rusia. Antes de llevar al usuario que pincha en uno de los links a la página de destino realiza una serie de redirecciones y también agrega la dirección de la víctima a una base de datos

5. Compra barato nuestras medicinas (BUY = 2.19%)
La palabra “Buy” (compra/r) es la más relacionada con el spam medicinal y con la venta de réplicas de accesorios como relojes y bolsos. Este tipo de spam tiene mucho de timo pues los que compran algo a través de los servicios promocionados suelen no recibir la mercancía y, sin embargo, suelen perder el dinero de sus tarjetas de crédito.

By Bogdan Botezatu


Fuente: MalwareCity.com

OWASP Top 10 2010 Español - Versión Final

Gracias al trabajo excepcional y totalmente voluntario de las personas listadas abajo se termino la traducción del Top 10 al español.

Equipo de traducción
Daniel Cabezas Molina
Edgar Sanchez
Juan Carlos Calderon
Jose Antonio Guasch
Paulo Coronado
Rodrigo Marcos
Vicente Aguilera

Desde ya, agradecen los comentarios y/o sugerencias sobre el mismo.

Fabio Cerullo Comité Global de Educación OWASP

Descarga (PDF, Español 22 Pag.)
Version Formato PPT



Post relacionados:
- Nuevo OWASP Top 10 año 2010 (Version Final)

19 de Octubre - Feliz día de la Seguridad Electrónica (Argentina)

El 19 de octubre de 2001 se creaba la Cámara Argentina de Seguridad Electrónica – CASEL-. La fecha fue posteriormente instituida como el Día de la Seguridad Electrónica.

NSDECODER - automated website malware detection tools

It can be used to decode and analyze weather the URL exist malware. Also, NSDECODER will analyze which vulnerability been exploit and the original source address of malware.

Funcationality

• Automated analyze and detect website malware.
• Plenty of vulnerabilities.
• Log export support HTML and TXT format.
• Deeply analyze Javascript.

Download

Aplicaciones para iPhone, iPad, iPod y la Privacidad

Se publico el estudio "Phone Applications & Privacy Issues: An Analysis of Application Transmission of iPhone Unique Device Identifiers (UDIDs)", que analiza el uso que hacen las aplicaciones desarrolladas para el iPhone del UDID, un identificador único de cada teléfono móvil y los efectos que esto tiene para la privacidad.

Download


Abstract
Every Apple iPhone shipped since its introduction in 2007 contains a unique, software-visible serial number -- the Unique Device Identifier, or UDID. Apple provided this functionaly to allow application developers to uniquely identify the iPhone being used for purposes such as storing application preferences or video game high scores. While the UDID does facilitate the process of collecting and storing certain types of data, it also creates a tempting opportunity for use as a tracking agent or to correlate with other personally-identifiable information in unintended ways. In this paper, we investigate where and how UDIDs are being shared, with whom, and how the UDIDs are being used.

Tags: iPhone, Apple, Privacy, UDID, Application Development, Information Security, Tracking, GPS Data



.

 

Microsoft lanza la mayor reparación por seguridad de la historia

La reparación espera resolver una serie de vulnerabilidades, que incluyen el notable virus Stuxnet que atacó una central de energía nuclear en Irán y otros sistemas de control industriales en todo el mundo.

Microsoft dijo que cuatro de las nuevas actualizaciones de software, que se programan sobre los errores del sistema, eran la más alta prioridad y deberían ser descargadas inmediatamente para proteger a los usuarios de posibles ataques al sistema operativo Windows.

Más...
 
Visto en Yahoo.com




Fuente de la imagen: iwww.iprofesional.com



Mobile & Smart Device Security Survey 2010 (Mocana)

EXECUTIVE SUMMARY

Respondents to our 2010 Mobile & Smart Device Security Survey recognize the quickly growing world of connected smart devices — the Internet of Things — and acknowledge that device security problems are not onlyinevitable, but potentially serious. 71% of our respondents expect a serious incident arising from attacks on, or

problems with, connected smart devices within the next 24 months. Additionally, 65% report that attacks againsttheir smart devices already require the regular attention of their IT staff, or will start requiring it this year. In fact,23% of organizations surveyed already repel device attacks at least once monthly, while 10% must do so on a

daily basis.


Download



.

Cuánto se tardaría en averiguar tu contraseña? Herramienta en linea

Letters only:
6 letters (the least secure password allowable on Hotmail): 30 seconds
7 letters: 13 minutes
8 letters: 5 hours
9 letters: 6 days
10 letters: 163 days
11 letters: 11 years
12 letters: 302 years

Letters and numbers:
6 characters: 3 minutes
7 characters: 2 hours
8 characters: 3 days
9 characters: 117 days
10 characters: 11 years
11 characters: 417 years
12 characters: 15 thousand years

Letters, numbers and other characters:
6 characters: 23 minutes
7 characters: 18 hours
8 characters: 38 days
9 characters: 5 years
10 characters: 252 years
11 characters: 12 thousand years
12 characters: 607 thousand years

More...

Visto en geeksaresexy.net


Link relacionado:
- How Secure Is My Password: usa contraseñas fuertes

2010 DATA BREACH Investigations Report

Verizon is excited to announce that the 2010 Data Breach Investigation Report (DBIR) has been released. As in previous reports, the 2010 study explores the causes behind data breaches and offers recommendations to help enterprises better protect themselves.

This year we have embraced a first-of-its-kind collaboration between Verizon and the U.S. Secret Service (USSS). This has increased the scope of the types and numbers of breaches studied. With the addition of Verizon’s 2009 caseload and data from the USSS, the DBIR series spans six years, 900+ breaches, and more than 900 compromised records. We hope this information will be helpful to our readers planning and security efforts.

Over the next month we will discuss many of the findings in this report as well as provide a free webinar tailored to mid-sized customers on what we found and specific recommendations that customers can implement to avoid cybercrime. We look forward to hearing your comments and learning about how your business is using this data to protect itself.

Download (PDF, EN - 66 Pag) - A study conducted by the Verizon RISK Team in cooperation with the United States Secret Service.

"We continue to search for a link between data breaches and cloud-based or virtualized infrastructure but continue to find none"



.

October is National Cyber Security Awareness Month

October is National Cyber Security Awareness Month.

Microsoft and the National Cyber Security Alliance (NCSA) have teamed up with the Department of Homeland Security (DHS) again this year to help increase awareness about Internet security issues and to educate people about how to help protect themselves and their devices.

NCSA's mission is to create a culture of cyber security and safety through education and awareness activities, in partnership with others in the industry. Microsoft has held a seat on the NCSA Board since DHS created NCSA in 2001. Scott Charney, Corporate Vice President of the Microsoft Trustworthy Computing group, was the company's original representative to the NCSA Board. For the last three years that seat has been held by Jacqueline Beauchere, a director in Trustworthy Computing Communications, focused on privacy and online safety.

Michael Kaiser, Executive Director of NCSA says, "NCSA's foundation is its partnership and collaboration with all of our member companies, and Microsoft is no exception. Working to raise awareness and help educate consumers about staying safe online is a responsibility shared among the industry, government, non-profits and consumers alike."

No one can guarantee complete safety in cyberspace, but we can take steps to help prevent criminals and identity thieves from stealing our personal information and accessing our computers. We can also minimize our exposure to other Internet security risks.
Follow these steps to help strengthen your computer's defenses:

1. Install antivirus software and antispyware software from a trusted source, such as Microsoft Security Essentials.
2. Keep all software up to date.
3. Use strong passwords and keep them secret.
4. Never turn off your firewall.

5. Use flash drives cautiously.

Fuente: Microsoft.com

Reda y Neto – enseñando a los niños a proteger sus datos personales

Reda y Neto es una web creada por la Agencia Vasca de Protección de Datos que enseña a los alumnos de 9 a 12 años cómo proteger la privacidad de sus datos personales mediante una serie de entretenidas animaciones en formato flash.

Las animaciones consisten en 4 dibujos animados protagonizados por Reda y Neto que pretenden que los niños adquieran las siguientes ideas:

1. Tienes muchos datos personales y tu imagen también es muy importante.

2. Tus datos personales son un tesoro, protégelos.

3. Tienes derecho a no dar todos tus datos personales.

4. Los datos personales de los demás no te pertenecen, pero protégelos como si fueran tuyos.

Cada animación viene acompañada de cuestiones para el debate oral en grupo y actividades prácticas on-line y off line en aula, que permiten experimentar en contextos reales las ideas que las aventuras transmiten. Además, se presentan actividades para realizar con la familia, cuyo objetivo también es sensibilizar a ésta de su papel educativo en el uso de las tecnologías de la información y comunicación.

Se trata de una propuesta muy interesante y útil que permite iniciar a los niños de forma natural en la protección de datos, un área que será fundamental para el uso de la tecnología a lo largo de sus vidas

Visto en wwwhatsnew.com

Revista electrónica: El Derecho Informático Nº 5 - Octubre 2010

En este número podrás encontrar:

- Global Online Dispute Resolution (ODR) para casos provenientes del eCommerce transfroterizo B2B y B2. Por Abog. Gabriela Szlak

- Encontrándonos. Por Abog. Jorge Yunes

- Google y sus acuerdos con a los autores y titulares de derechos. su situación actual (Google Book Settlement) - Parte 2. Por Abog. Wilson Rios

- Panorama del combate contra el ciberdelito. Por Abog. Ricardo Saenz

- Impacto de las Nuevas Tecnologías en los distintos modelos o escuelas de negociación y mediación. Por Abog. Jose Arce

- Nuevas tecnologías en la educación: beneficios, contradicciones y desafíos. Por Estud. Pablo Salguero

- Cloud Confusmputing: la realidad detrás del humo. Por Lic. Cristian Borghello

- Adecuación de la Ley de Protección de Datos Personales Nº 25.326: a 8 años del Dictamen 4/2002 UE. Por Abog. Fátima Cambronero

- Novedades y Eventos: Octubre / Noviembre de 2010.

- Entrevista al Dr. Horacio Fernandez Delpech

Revista online o para descarga.

 

 

Clasificación parcial de Premios Bitacoras.com 2010: Mejor Blog sobre Seguridad Informática

Se publico la clasificación parcial de un interesante evento donde participan otros blogs similares a "Cryptex - Seguridad de la Información". Muchos sitios suelen ser fuentes de información para nuestro blog y otros suelen tomar noticias de Cryptex.

Si el evento se repite en el 2011 nos sumaremos.

Felicitaciones a los primeros lugares, pero le damos nuestro voto a "Un informático en el lado del mal" y a Segu-info.


Clasificación parcial (Etapa IV):

• 1. Security By Default
• 2. Kriptópolis
• 3. Un informático en el lado del mal
• 4. Genbeta
• 5. InfoSpyware
• 6. SpamLoco
• 7. ON Software – El blog de software de Softonic
• 8. Xeduced.com
• 9. DaboBlog
• 10. S21sec Blog. Seguridad digital.
• 11. OpenSecurity
• 12. GoVoid
• 13. Bloguismo
• 14. Ayuda Wordpress
• 15. Software Libre y Cooperación
• 16. El Grupo Informático
• 17. Wwwhat’s new?
• 18. Hispasec – Seguridad Informática
• 19. Engadget en español
• 20. aNieto2K
• 21. 48Bits Blog
• 22. Noticias de Seguridad Informática – Segu-Info
• 23. conexioninversa – Un pensamiento más sobre Análisis Forense
• 24. Oloblogger
• 25. teknoPLOF!

 últimas noticias

El 50% de los teléfonos de segunda mano que se venden tienen información personal

La seguridad informática en la actualidad es un tema un tanto delicado. Con gran parte de la población mundial haciéndose, poco a poco, amiga de las nuevas tecnologías, tablets y teléfonos inteligentes entre otros dispositivos cada vez se está haciendo más importante y la educación en este ámbito es un tanto escasa ya que muchos escépticos piensan que no puede pasar nada si alguien se entera de una clave o si trata de ingresar a nuestro correo.

Ahora un estudio reveló que nada menos que el 50% de los teléfonos usados que se venden tienen información personal y que en ellos hay desde fotografías de ellos hasta datos de sus tarjetas de créditos (después les viene un plasma de 2 mil dólares en el resumen y no saben por qué). El estudio, que lo realizaron los expertos y forenses de Disklabs, se hizo basado en los teléfonos que se venden a través de eBay y más del 60% tenía todavía teléfonos en, por ejemplo, el log de últimas llamadas. De hecho algunos tenían material pornográfico de la pareja que había sido dueña.

Más...

Visto en gizmologia.com

2010 State of Virtualization Security Survey (Prism Microsystems)

Executive Summary

Over a period of 2 weeks in March 2010, Prism Microsystems conducted a web‐based survey on virtualization security that was completed by 302 IT professionals across multiple industries and company sizes. The survey was designed to yield data on the current and future adoption of virtualization and to gauge opinions and experiences on virtual environment security concerns, controls, and implementation.

The survey was posted on the Prism Microsystems website, and invitations to participate were sent to Prism Microsystems customers and over 50,000 subscribers to the EventSource newsletter. In addition, the survey was made available to the general public via social media platforms such as Twitter and Linkedin. All responses were automatically collected by a commercially available survey tool. Skipping of questions was not allowed.

Percentages shown in some charts will not add up to 100% because of the option to select multiple responses.

1. Virtualization is widespread but penetration remains low
2. Traditional security solutions, processes and strategies are still being applied to the virtual environment
3. Adequate controls on the Hypervisor layer are lacking
4. Virtualization is not inherently insecure, however, confidence in virtual environment security is low




Download 

• - Widespread  adoption but only 12% solidly down the road to virtualization
• - Only 28% expressed confidence in the security of their virtual environments
• - A majority acknowledged importance of securing the virtualization layer, yet only a small minority has implemented adequate controls at the Hypervisor level.
• - 51% cited budget as a primary inhibitor to securing virtual environments

More...

The Global state of information security 2011 (PWC)

In the aftermath of the worst global economic jolt in thirty years, information security confronts a new economic order.

As the spending restraint continues, however, some “block and tackle” security capabilities that took a full decade to develop are degrading and, day by day, opening up organisations to new windows of risk.

What is the evidence of these trends? What are the implications for spending over the next six to twelve months? Where are the greatest security-related vulnerabilities emerging? And which are the most crucial opportunities and priorities your organisation should focus on now and over the next year to increase the contribution that security makes to your business?

Download the 2011 survey report (889kb)

Download the 2011 presentation (224kb)






Key highlights

• Asked about their expectations about security spending in the coming year, respondents are more optimistic than at any time since before 2005.
• This year’s spending drivers aren’t new. But here’s the surprise: almost every one of these factors are trending at, or near, four-year lows.
• For the second year in a row, increasing the focus on data protection is the single most common strategy worldwide.
• This year, there is a significant shift in the ongoing evolution of the CISO’s reporting channel away from the CIO in favor of the company’s senior business decision-makers.

View key highlights by region

View key highlights by industry

nuevo logo de PWC

Encuentro Internacional sobre Ciberdelito (Argentina)

El avance de la tecnología, presente cada vez más en la vida cotidiana, implica el cuidado de la seguridad electrónica. Nuevos delitos, nuevos medios probatorios, nuevos escenarios, que requieren respuesta por parte de los gobiernos y conocimiento por parte de los ciudadanos. El evento se propone presentar la problemática de los delitos electrónicos y los medios de prueba digitales, el estado actual de la legislación, el impacto de la adhesión de nuestro país a la Convención de Budapest, así como las medidas que el gobierno ha dispuesto para la protección de la seguridad informática. La Actividad contará con la participación de expertos nacionales e internacionales, así como autoridades y empresarios del sector.

Programa completo

Inscripcion

The 2010 State of Cyberethics, Cybersafety, Cybersecurity Curriculum in the U.S. Survey (NCSA)

The 2010 State of K-12 Cyberethics, Cybersafety and Cybersecurity Curriculum in the U.S. Survey, an extension of the 2008 National Cyberethics, Cybersafety, and Cybersecurity Baseline Study, is an effort to understand current online safety and security education attitudes and practices of U.S. teachers, administrators, and technology coordinators. 

The survey found that America’s young people aren’t receiving adequate instruction to use digital technology and navigate cyberspace in a safe, secure and responsible manner and are ill-prepared to address these subjects.

Download

The 2010 State of Cyberethics, Cybersafety, Cybersecurity Curriculum in the U.S. Survey
(PDF, EN -348 KB)

Estudio: Un 23% de estudiantes universitarios ha “hackeado” sistemas

Es la afirmacion de la la empresa de seguridad Tufin Technologies que recientemente realizó una encuesta a 1.000 estudiantes de entre 18 y 21 años.

De esta encuesta, encontró que un 37% había hackeado perfiles de Facebook, 26% cuentas de correo electrónico y un 10% cuentas de compras en línea, entre otras actividades. Un tercio lo hace por diversión, 22% por curiosidad y un 15% para hacer dinero.

Aunque el 84% sabían que esto estaba mal, casi un tercio dijo que era algo “cool” y fácil de hacer. Más de un tercio utiliza su propia computadora para estas actividades, mientras que el 32% dijo que usa una máquina de la universidad y un 23% utiliza una PC en un café Internet.

Por otro lado, el estudio también descubrió que un 46% de los estudiantes había sido víctima de “hackeos” o fallas de seguridad en su propio perfil de redes sociales o cuenta de correo electrónico.

“Lo que este estudio pone en manifiesto es que el hacking de cuentas personales, ya sea correo electrónico o Facebook está sucediendo con regularidad entre la población estudiantil (…) Vivimos en un mundo donde las redes sociales, el correo electrónico e Internet son parte de nuestra vida diaria a edad temprana, por lo que una oportuna educación es esencial para garantizar que los jóvenes conozcan las consecuencias que puede tener esta actividad. El Hacking es ilegal y tenemos que asegurarnos que todo el mundo lo entienda” dijo Stuart Hyde, presidente de la sociedad para patrullaje del ciberespacio (POLCYB).

Shaul Efraim de Tufin Technologies esta consciente que hay una generación inteligente emergente que entiende cómo funcionan los sistemas, por lo que, sería bueno orientarlos para seguir una carrera en el sector de la seguridad para asegurar que todas las organizaciones se beneficien de su evidente capacidad para fortalecer los sistemas de seguridad y detener la fuga de datos.

En fin, si consideramos que en países como en Chile, el 85% de los estudiantes de preparatoria se consideran expertos en el uso de Internet, no sería extraño que en la universidad los Script Kiddies se las gasten para conseguir la contraseña de su novia.

Link: 23% of university students have hacked into an IT system (NetworkWorld)

Visto en www.fayerwayer.com

Grooming, una amenaza que crece cada dia

El grooming de niños por Internet (o simplemente grooming) es un nuevo tipo de problema relativo a la seguridad de los menores en Internet, consistente en acciones deliberadas por parte de un/a adulto/a de cara a establecer lazos de amistad con un niño o niña en Internet, con el objetivo de obtener una satisfacción sexual mediante imágenes eróticas o pornográficas del menor o incluso como preparación para un encuentro sexual, posiblemente por medio de abusos.

Fuente: Wikipedia

El ciber-acoso infantil es la nueva técnica con la que pederastas tratan de contactar a sus potenciales víctimas a través de salones de chat o mensajería instantánea.

Informe de la TV de Chile - Programa 24 horas:




Link relacionado:
- El grooming, nueva amenaza de las redes sociales

Datacenter Telecom garantiza la seguridad física, lógica, del entorno y privacidad de la información

• Como resultado del esfuerzo y las inversiones de aproximadamente $ 14 millones realizadas en sus centros de datos en el último año y medio y las mejoras continuas que viene desarrollando en todos sus procesos, Telecom cerrará este año con cuatro certificaciones de nivel mundial que garantizan la seguridad física, lógica, del entorno y la privacidad de la información en sus Datacenters

• Telecom Argentina obtuvo la certificación SAS 70 (Statement on Auditing Standard N° 70) para la Infraestructura y Seguridad Física del Centro de Procesamiento de Datos de Pacheco y está en proceso de certificar en los próximos meses el Sistema de Gestión Integral de las Norma ISO 27001 y 9001.

• Además, se están realizando las auditorías para recertificar el cumplimiento de la circular A4609 del Banco Central de la República Argentina (BCRA) para el servicio de housing de sus centros de datos. Esta certificación es requisito indispensable para la provisión de servicios a entidades financieras y cambiarias, uno de los segmentos que ha mostrado un notable crecimiento en los últimos dos años.

• Estas certificaciones están aprobadas por organizaciones de prestigio internacional, lo que implica el reconocimiento externo del esfuerzo que realiza Telecom para garantizar los niveles de seguridad para el equipamiento, aplicaciones e información de sus clientes en los Datacenters, con infraestructura y tecnología World Class.

Sistema de Gestión Integral ISO 27001 / 9001

Telecom está en proceso de certificar las normas ISO 27001 / 9001. Son recopilaciones de buenas prácticas mundiales de gestión, ampliamente validadas a lo largo de los años en múltiples organizaciones.

La norma ISO 27001 aplica a la gestión de la seguridad de la información de la empresa, enfocándose en la alineación de los objetivos de seguridad con los requisitos del negocio. Permite reducir el posible riesgo de fraude, pérdida y divulgación de la información. La certificación de esta norma en los Datacenters de Telecom ratifica que la empresa maneja de manera segura la información de sus clientes y que cumple con todos los estándares internacionales en la materia.

Nota de prensa completa...

Revista digital datospersonales.org # 47 (Septiembre 2010),

Ya está disponible el número 47 de la revista digital datospersonales.org (septiembre 2010), editada por la Agencia de Protección de Datos de la Comunidad de Madrid

En este número:

"Claves para una certificación en privacidad", por Renato Aquilino Pujol. Vicepresidente de la Asociación Profesional Española de Privacidad (APEP). Licenciado en Informática, CISA, CISM, CGEIT, Lead Auditor ISO/IEC 27001. Director de Consultoría y Auditoría de Sistemas de Información. CESSER Informática y Organización, S.L.

"La Cátedra UNESCO de Privacidad de Datos", por Josep Domingo-Ferrer. Director de la Cátedra UNESCO de Privacidad de Datos. Dept. Ingeniería Informática y Matemáticas (Universidad Rovira i Virgili)

XXXII Conferencia Internacional de Protección de Datos

La APDCM realiza una campaña informativa sobre uso de datos personales en el ámbito de la sanidad pública madrileña

El Tribunal Supremo anula varios artículos del Reglamento de la LOPD.