30 de noviembre - Computer Security Day

El 30 de noviembre, tiene un especial valor en los tiempos actuales en cuanto a la información del usuario se refiere. Con Internet nos encontramos en un momento en el que la información privada de los usuarios cada vez tiende a ser más pública, un momento en el que los niveles de información alcanzan límites históricos y en el que la sociedad en general se ha dado cuenta del poder de Internet y la información que circula.

La seguridad de la información, tan en peligro en la era informática, en todo caso no es una cuestión ni mucho menos reciente. Las alusiones en la historia a la protección de la información son muy numerosos. Como casos más conocidos están la 'máquina enigma' de la II Guerra mundial o la defensa de archivos estatales en cualquier país. Pero, ¿cuándo aparece la preocupación por la seguridad de la información en la informática o en Internet?

La respuesta puede ser que desde el principio ha sido un tema que los creadores han tenido en cuenta, pero no es hasta 1980 cuando se fundamentan sus bases. En este año, James P. Anderson escribe un documento titulado 'Computer Security Threat Monitoring and Surveillance'. Lo más interesante de este documento es que James Anderson da una definición de los principales agentes de las amenazas informáticas.

Entre sus definiciones se encuentran términos base de la seguridad informática como "ataque" o "vulnerabilidad". En la definición de "vulnerabilidad" hace referencia a "una falla conocida o su sospecha, tanto en hardware como en el diseño de software, o la operación de un sistema que se expone a la penetración de su información con exposición accidental". En cuanto al "ataque", lo define como "una formulación especifica o ejecución de un plan para levar a cabo una amenaza".

El documento relaciona estos términos en un contexto informático y de transmisión de datos. Estas definiciones serán algunos de los pilares para lo que hoy conocemos como seguridad informática. A partir de aquí el desarrollo de medidas de defensa de la información en la informática se ha desarrollado casi al mismo tiempo que la creación de amenazas. Los términos virus y antivirus ya forman parte de nuestro lenguaje común, se han convertido en algo cotidiano de nuestra sociedad.

Como hecho curioso en la historia de la seguridad de la información informática, uno de los primeros ataques en este sentido se le atribuye al expresidente Ronald Reagan. Supuestamente el antiguo presidente de EE UU habría vendido a la URSS una serie de equipos que contenían un software para controlar distintos aspectos. Se trataría de uno de los primeros ataques, que hoy queda en la historia como una anécdota de la seguridad informática.

Fuente 20minutos.es

Post relacionado:
- Computer Security Day - 30 de Noviembre

PampaSeg (La Pampa - Argentina)

3 y 4 Diciembre

PampaSeg es una jornada donde profesionales en el tema podrán brindar sus conocimientos y experiencia, a todos los jóvenes y adultos interesados; ya sea porque estudian o trabajan en áreas relacionadas con las tecnologías de la información y las comunicaciones, o simplemente desean ingresar a este mundo que sigue sumando adeptos, para enriquecer sus conocimientos y aplicarlos en la actividad diaria.



Agenda y web del evento

Ranking de seguridad informática para el 2011

Los ataques cibernéticos a países, el robo interno de información y la privacidad violada encabezan el estudio

Las amenazas al mundo informático constituyen un fenómeno que crece a la par del desarrollo tecnológico. El robo de datos y la actividad cada vez más intensa y precisa de los hackers pone en riesgo la seguridad informática.

Días atrás se dio a conocer en España la empresa Imperva, firma especializada en seguridad informática, la cual presentó el informe Tendencias claves para la seguridad en 2011 en el que detalla sus predicciones sobre las áreas que más concentrarán la atención de los especialistas en el año

venidero. De acuerdo al estudio, los ataques cibernéticos a países figura en el primer lugar, seguidos por el robo interno de información (por empleados), los ataques contra navegadores, la seguridad y privacidad en redes sociales, el robo de archivos (y no de bases de datos), y la seguridad en la red, el mayor riesgo en teléfonos inteligentes. En octavo lugar se encuentran los hackers; en el noveno la seguridad informática en redes corporativas; y por último, las leyes para proteger la seguridad de los datos privados

“El impacto potencialmente más grande se verá por la proliferación de dispositivos móviles interactuando con redes corporativas”, aseguró Amichai Shulman, director de tecnología de Imperva.

Según la empresa, la mayor adopción de este tipo de productos representará una nueva amenaza a la seguridad en las redes. Además, la pérdida o robo de este tipo de dispositivos abrirá una nueva preocupación corporativa, dado que estos productos transportan cada vez más información sensible.

Se espera, además, que aumente el número de programas maliciosos -o malware- dirigido a este tipo de productos. Otra de las amenazas más graves será la continuación de ataques cibernéticos dirigidos a países, como los que se vieron con el gusano Stuxnet en este año.

Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano espía y reprograma

sistemas industriales, pudiendo afectar a infraestructuras críticas, como centrales nucleares.

Otra tendencia para el próximo año es un mayor crecimiento de las redes sociales y herramientas relacionadas, lo que pondrá un mayor énfasis en la seguridad de los datos privados. Sobre este punto, la empresa no se refiere a la confianza que los usuarios tienen en la capacidad de estas redes de no exponer sus datos, sino en la amenaza real de que haya ataques dirigidos a los sitios, a fin de obtener de forma ilícita datos personales.

Por último, el informe adelanta que cambiará el mundo de los hackers de sombrero negro, es decir, aquellos que se entrometen en computadoras con el fin de realizar actos delictivos. Imperva asegura que las organizaciones pequeñas de este tipo de hackers disminuirán su presencia o serán absorbidas por organizaciones criminales más grandes, con la capacidad económica de seguir invirtiendo en tecnología para ejecutar sus planes.

La situación en Argentina

En Argentina hay distintas acciones enfocadas a combatir el ciberdelito. En marzo último, el país adhirió al Acuerdo de Budapest, un convenio internacional que rige en materia de delitos cometidos a través de las tecnologías de la información y la comunicación.

En el país, rige la ley Habeas Data y la ley 26.388 de Reforma del Código Penal, que incorpora la tipificación de delitos informáticos, aprobada en el 2008.

Consultado por Hoy, Javier Díaz, decano de la Facultad de Informática de la UNLP, sostuvo que Argentina ha adherido a ese convenio con el fin de combatir el delito en forma global. “No obstante, no es un país

vulnerable a los ataques, hay naciones más vulnerables que otras, como pueden ser países

de Asia y Europa Central”, expresó.

Más..

Fuente diariohoy.net

Relacionado con el informe de Imperva,, computerweekly.com también publico un listado similar al cual denomino "Top 10 IT security trends for 2011"

Software security firm Imperva will release details of its 10 key security trends for 2011 next week. Here is a preview.

• 1. Man in the browser (MITB)
• 2. File security.
• 3. Smartphones
• 4. Hackers and security side-by-side in the cloud.
• 5. Insider threat
• 6. Social networks
• 7. Convergence of regulations over countrie
• 8. Security is becoming part of the business process
• 9. Hackers are feeling the heat
• 10. Hacktivism meets industrialisation  
   

More...

Arachni v0.2.1 release. Web Application Security Scanner Framework

Arachni is a feature-full, modular, high-performance Ruby framework aimed towards helping penetration testers and administrators evaluate the security of web applications.

Arachni is smart, it trains itself by learning from the HTTP responses it receives during the audit process.

Unlike other scanners, Arachni takes into account the dynamic nature of web applications and can detect changes caused while travelling

through the paths of a web application's cyclomatic complexity.

This way attack/input vectors that would otherwise be undetectable by non-humans are seamlessly handled by Arachni.

Finally, Arachni yields great performance due to its asynchronous HTTP model (courtesy of Typhoeus).

Thus, you'll only be limited by the responsiveness of the server under audit and your available bandwidth.

ChangeLog

Proyect

 



¿Está tu móvil protegido de la misma manera que tu equipo?

Actualmente, cada vez son más los terminales móviles que ofrecen conexión a Internet a través de tecnología 3G o Wi-Fi, lo que les hace vulnerables a sufrir amenazas de seguridad de la misma manera que un ordenador.

Según datos del reciente Estudio sobre la seguridad de la conexiones móviles e inalámbricas (2º trimestre de 2010), un 74,3% de los usuarios con teléfono móvil dispone de conexión a Internet en el terminal, y un 38,7% de Wi-Fi.

Este informe también analiza las medidas de seguridad que los encuestados usan / instalan en el teléfono móvil. Así se obtiene que la medida de seguridad más extendida es la utilización del PIN para encender el teléfono (89,5%), seguida de la realización de de copia de seguridad de datos y contactos (31,3%), la utilización de una contraseña tras la inactividad (16,8%) y la instalación de programas antivirus (3,3%).

Aparte de las medidas y herramientas de seguridad que existen para los teléfonos móviles, ¿sabes cuáles son algunas de las recomendaciones para que tu terminal esté protegido?:

• - Es muy útil conocer el número de IMEI (marcando en el teléfono *#06# se muestra en la pantalla) que permite (a través de la operadora de telefonía móvil) desactivar el terminal en caso de pérdida o robo.
• - También, cifrar la información sensible en la memoria del teléfono permite que, en caso de que un atacante acceda al terminal, la información no esté disponible.
• - Desactivar la conexión bluetooth cuando no se esté usando, ya que esta práctica, además de constituir un buen hábito de seguridad, permite ahorrar batería al terminal. Cada vez que el usuario transmite información mediante bluetooth, se pone en situación de riesgo de sufrir ataques ya que, si un atacante detecta la señal de bluetooth activo, puede intentar conectarse con el dispositivo y robar su número de identificación personal (PIN). El usuario puede no notar la intromisión mientras el atacante, que ha averiguado el PIN, puede: robar la información almacenada en el dispositivo, enviar mensajes de texto o imágenes no solicitados, o acceder a los comandos del teléfono móvil.
• - Evitar descargar aplicaciones o archivos desde Internet con origen poco confiable.

Fuente: INTECO.es

I Jornada de Auditoría, Seguridad y Peritaje Informático JASEP-it (Tucuman - Argentina)

El próximo 30 de Noviembre se desarrollará la primera jornada de Seguridad Informática en la UTN Regional Tucumán.

Surge de la inquietud de un grupo de graduados vinculados al mundo de la seguridad de la Información, que tiene como misión investigar sobre distintas temáticas para conocer tendencias, así como también concientizar y brindar servicios a terceros en Auditoria, Seguridad y Peritaje Informático. Uno de los servicios que provee ASEP-IT es el desarrollo y planificación de campañas de concientización de Seguridad de la información a usuarios finales.

Este programa de capacitación esta orientado a desarrollar conciencia sobre las mejores practicas de protección y cuidado de la información para los usuarios finales de las organizaciones Por tal motivo, quienes conformamos ASEP-IT, tenemos el agrado de invitarlos a la presentación en sociedad, así como también a una jornada de promoción sobre temáticas de seguridad de la información que conforman en servicio de concientización.

La entrada es libre y gratuita, con previa registración. Para mayor información, consultar en el sitio oficial del evento: www.asep-it.com.ar

Agenda y web del evento

Checklist para implementación de la norma BS 25999-2 Continuidad del negocio

¿Su gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no sabe muy bien cómo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la metodología de la norma BS 25999-2 para facilitar las cosas. 

Los siguientes son los pasos principales que necesita seguir para implementar esta norma:

1. Obtener el apoyo de la dirección

Si bien no es un paso obligatorio de la norma BS 25999-2, sí se trata de un paso crucial al inicio: si la dirección no comprende los beneficios de la continuidad del negocio y no se compromete con el proyecto, lo más probable es que su proyecto fracase.

2. Tomarlo como un proyecto

La creación de su sistema de gestión de la continuidad del negocio (SGCN) le demandará bastante tiempo y recursos ya que debe definir claramente qué se necesita hacer, dentro de qué plazos y cuáles son las funciones en la implementación del proyecto. En otras palabras, debe aplicar métodos de gestión de proyectos.

3. Definir objetivos y alcance; redactar una Política de GCN

Debe definir qué es lo que usted desea lograr con el SGCN; es decir, cumplir, disminuir el nivel de riesgo, requisitos de sus clientes o socios, etc. También debe definir qué incluirá en su SGCN, si a toda la organización o solamente a una parte. Por ejemplo, puede decidir que incluirá sólo el centro de datos si usted suministra servicios de alojamiento a sus clientes. Todo esto tiene que estar documentado en la Política de GCN.

4. Definir las funciones y las responsabilidades para el SGCN

Como el SGCN se convertirá en una actividad permanente en su organización, es necesario asignar responsabilidades precisas, especialmente para el “promotor” del SGCN (alguien que sea responsable por el SGCN pero que no esté involucrado en las actividades diarias del mismo) y para el “coordinador de GCN”, “gerente de GCN” o similar (una o más personas con tareas activas relacionadas con el SGCN). Lo mejor es documentar estas funciones y responsabilidades en su Política de GCN.

5. Implementar procedimientos obligatorios

La norma BS 25999-2 requiere que se implementen los siguientes cuatro procedimientos obligatorios: control de documentos y registros, auditoría interna, medidas preventivas y correctivas. Estos procedimientos son, en realidad, la base de su sistema de gestión, igual que con las normas ISO 27001 o ISO 9001.

6. Realizar un análisis de impactos en el negocio y evaluación de riesgos

Mediante el análisis de impactos en el negocio usted debe identificar las actividades críticas, su período máximo tolerable de interrupción, sus dependencias (incluidas las dependencias con proveedores y socios externos) y debe establecer objetivos de tiempo de recuperación.

Al realizar la evaluación de riesgos encontrará realmente cuáles pueden ser las causas de interrupción de sus actividades críticas; pueden ser naturales pero también puede tratarse de actividades realizadas por personas (ya sea en forma maliciosa o accidental). También tendrá que llevar a cabo el tratamiento de riesgos, que implica que debe decidir cómo disminuir la posibilidad de que algo funcione mal. Desafortunadamente, la evaluación y el tratamiento de riesgos no están muy bien definidos en esta norma; por lo tanto, podría consultar la norma ISO 27001, que los describe mucho más detalladamente.

7. Determinar la estrategia de continuidad del negocio

Antes de continuar con la redacción de planes de continuidad del negocio, en realidad debe determinar qué recursos necesitará para retomar sus actividades críticas: qué empleados, ubicaciones, datos, hardware, software, proveedores, socios externos, etc.

La estrategia de continuidad del negocio no sólo debe determinar lo que usted necesita, sino también cómo hará para asegurar esos recursos.

8. Desarrollar planes de gestión de incidentes y planes de continuidad del negocio

El objetivo de los planes de gestión de incidentes es describir cómo se responderá directamente ante la ocurrencia de un incidente (por ej., incendio, terremoto, amenaza de bomba, corte de electricidad, etc.) para evitar que se agrande y para intentar disminuir sus efectos directos.

Por otro lado, el objetivo de los planes de continuidad del negocio es describir cómo se recuperarán las actividades críticas, cómo se harán funcionar conjuntamente todos los recursos que se han preparado. Esto quiere decir que es necesario detallar quién hará qué cosa, en qué plazo, utilizando qué datos y tecnología, para poner nuevamente a su organización en funcionamiento.

Todos esto planes tienen ser redactados detalladamente porque deben ser ejecutados aún en el caso que los principales empleados no se encuentren disponibles; por lo tanto, es necesario redactarlos de tal forma que otra persona pueda ejecutarlos.

9. Capacitación y concienciación

Necesita definir el nivel de competencias necesario para la ejecución de los planes de continuidad del negocio ante el caso de una interrupción y, luego, debe capacitar a todo el personal (tanto empleados como socios externos) para llegar a este nivel de competencias.

Sin embargo, esto no es suficiente. También debe explicarle a su personal por qué es necesaria la GCN. Aceptémoslo, sus planes de continuidad del negocio se utilizarán, con suerte, una única vez; por lo tanto, la mayoría de las personas lo consideran una pérdida de tiempo. Por eso, debe explicarles por qué debe existir esta planificación. (Consultar Cómo abordar a quienes no creen en la GCN)

10. Ensayo de GCN

Si piensa que ha redactado los planes de manera perfecta, probablemente se equivoque. Es casi imposible redactar un plan sin errores en el primer intento. Por eso resulta obligatorio ensayar parte del SGCN; debe verificar sus planes en una situación que, más o menos, se asemeje a una interrupción real. Solamente allí podrá determinar qué planificó correctamente y qué no.

11. Mantenimiento y revisión del SGCN

Otra forma de mantener actualizado su SGCN es definiendo intervalos en los que revisará sus planes de continuidad del negocio, pero también otras cuestiones (por ej., contratos con proveedores y socios externos, capacitación y concienciación, etc.). Existe toda clase de cambios en el entorno que amenazan con hacer obsoleta su documentación: es suficiente que un empleado abandone la empresa para tener un número telefónico inservible en un plan si esa persona cumplía una función en el SGCN.

S i se produjo un incidente real, también es obligatorio realizar revisiones después de ocurrido el mismo para ver cómo reaccionó la organización, si siguió los planes o no.

12. Auditoría interna

El objetivo de la auditoría interna es averiguar si hay algo que se está haciendo mal, de manera objetiva. El auditor debe ser una persona que pueda descubrir si algo se hace mal dentro de su SGCN para poder corregirlo. Si se realiza correctamente, la auditoría interna puede ser una de las mejores formas para mejorar su SGCN. (Leer Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

13. Revisión por parte de la dirección

Como se mencionó anteriormente, es muy importante que la dirección se involucre en el proyecto. La revisión por parte de la dirección está diseñada justamente para eso. La norma requiere que la dirección examine todos los hechos importantes sobre la GCN y que decida si ha cumplido su objetivo. Una vez que está hecha, la dirección debe decidir qué mejoras se deben implementar.

14. Medidas preventivas y correctivas

Lo mejor sería evitar que se produzcan errores (o, en términos de BS 25999-2, las “no conformidades”); para esto es que se utilizan las medidas preventivas, representan una forma sistemática de corregir las cosas antes de que generen problemas. Similares a las medidas preventivas, también hay medidas correctivas que solucionan los problemas que ya se han producido.

Ahora la pregunta es ¿por qué usaría usted la norma BS 25999-2? Aunque (todavía) no es una norma internacional, es la norma más reconocida a nivel mundial para la continuidad del negocio. Los pasos mencionados arriba están diseñados por los mejores especialistas en este tema. Por eso, si desea implementar las prácticas más aceptadas para continuidad del negocio, no busque más.

Aquí puede descargar el diagrama del proceso de implementación de la norma BS 25999-2 que muestra todos estos pasos junto con la documentación requerida (requiere inscripción).



 


Fuente blog.iso27001standard.com - 'By 'Dejan Kosutic on November 16, 2010

Free IT and Asset Management Software

GLPI is the Information Resource-Manager with an additional Administration- Interface. You can use it to build up a database with an inventory for your company (computer, software, printers...). It has enhanced functions to make the daily life for the administrators easier, like a job-tracking-system with mail-notification and methods to build a database with basic information about your network-topology.

The principal functionalities of the application are :

1) the precise inventory of all the technical resources. All their characteristics will be stored in a database.

2) management and the history of the maintenance actions and the bound procedures. This application is dynamic and is directly connected to the users who can post requests to the technicians. An interface thus authorizes the latter with if required preventing the service of maintenance and indexing a problem encountered with one of the technical resources to which they have access.

Features list of GLPI
General

 Multi-entities management (multi-park, multi-structure)
 Multi-users management
 Multiple Authentication System (local, LDAP, AD, Pop/Imap, CAS, x509...) and multiple servers
 Multilingual management (22 languages available )
 Permissions and profiles system
 Cache and Pagination system
 Complex search module
 Bookmark search system
 Configurability of display fields in lists
 Export System in PDF, CSV and SLK (spreadsheet)
 Saving/restoration module of the database to the SQL format
 Exportation of the database to the XML format
 Configurable dropdowns
 Dictionary
 System of notifications on events (consumable stock, expiry of contracts and licenses), customizable and by entity
 Customizable cron tasks
 Updates check system
 UTF8 interface
 HTML 4.01 compatibility

Inventory

 Import data of the inventory from one or several OCS Inventory NG servers
 Inventory of the computers fleet with management of its components, disk space and TCO management
 Inventory of the monitors with management of the connections to the computers
 Inventory of the network hardware fleet with management of the connections to the devices (IP, Mac addresses, VLANs...).
 Inventory of printers fleet with management of connections to the computers and management of consumable associated and consumption and the thresholds of alarm.

 Inventory of the external devices (scanners, graphical tables...) with management of the connections to the computers - Inventory of the telephones fleet with management of connections to the computers
 Inventory if the software fleet with license and expiration dates management
 Assignment of the hardware by geographic area (room, floor...)
 Typing models management to make the insertion of equal configurations easier
 Commercial and financial Information management (purchase, guarantee and extension, damping)
 Filing of the materials left the inventory
 Management of the status of the hardwares
 Management of the various states for the materials (in repair...) - Management of generic peripherals and monitors being able to be associated several computers
 Management of external bonds towards other applications
 History of the modifications on the elements of the inventory

Tracking

 Management of the tracking requests for all the types of material of the inventory
 Tracking requests opened using web interface or email
 Business rules when opening tickets (customizable by entity)

Final user

 Final user frontend for intervention demand
 Mail tracking of the intervention demand feature
 Interventions history consultation
 Possibility of adding comments at the request of intervention using web interface or email
 Approval of the solution

Technicians

 Interventions demands priority management
 Tracking of interventions demands
 Mail tracking of interventions
 Request validation
 Assignment of interventions demands
 Opening/Closing/Re-opening of interventions
 Assignment of a real time of interventions
 History of done interventions
 Displaying of the interventions to do by a technician
 Displaying of the history of the interventions for a given hardware
 Posting of the interventions to be realized by technician
 Posting of the history of the interventions for a given material
 Management of planning of intervention
 Define the solution

Statistics

Statistics reports by month, year, total in PNG, SVG or CSV.

 Global
 By technician or enterprise
 By hardware, location or type
 By user
 By category
 By priority

Management

 Management of enterprises (manufacturers, suppliers, conveyors, people receiving benefits...) and associated contacts
 Management of the contracts (loan, hiring, leasing, insurance, maintenance and service)
 Management of the documents related to the elements of inventories, contracts...
 Management of the types of authorized documents
 Budget management

Reservation
 Management of the reservations for the material in affected inventory with the park of loan
 User interface (calendar) for reservation

Knowledge Database
 Management of a basic system of knowledge hierarchical
 Management of a public FAQ

Reports

Reports generation about the devices

 By device-type
 By associated contract
 By commercial informations

Network Reports

GLPI use the following technologies :

 PHP
 MYSQL for the database
 HTML for the WEB pages
 CSS for style sheets
 XML for report generation

Web del proyecto