Global Status Report on the Governance of Enterprise IT (GEIT) 2011

This fourth edition of the IT Governance Institute’s status report of the governance of enterprise IT covers 21 countries and 10 industries. It reveals accord on the contribution of IT to business success, the challenges and opportunities connected with IT the impact of the economic crisis and views on IT outsourcing, social networking and the cloud. Findings include that:There are still opportunities to transition to a more proactive role for IT. - The right governance enablers can ensure the transparency of IT supply and demand. - Initiatives must take a balanced and holistic view of the five GEIT focus areas.

Download the Report (4.9M)    View the News Release An Executive View of IT Governance -   Download (3.7M)

Link relacionados:
-El ITGI presenta el informe GEIT








 

La GSMA publica principios de privacidad móvil

La industria adopta medida proactiva para abordar problemas de privacidad

LONDRES, 27 de enero de 2011 /PRNewswire/ -- La GSMA anunció hoy la publicación de sus Mobile Privacy Principles (Principios de Privacidad Móvil). Estos principios describen la forma en que debe respetarse y protegerse la intimidad de los consumidores móviles cuando usan aplicaciones y servicios móviles que acceden a su información personal, la usan o la recogen. Los principios son el resultado de una estrecha colaboración entre importantes operadores móviles y aportes de otros participantes en el ecosistema móvil más amplio.

"La privacidad en línea es un problema importante y de alto perfil en todo el mundo", dice Tom Phillips, director de Asuntos Regulatorios de la GSMA. "En muchas regiones del mundo, la primera experiencia de los consumidores en Internet es a través de móviles, y creemos que es correcto abordar los desafíos de la privacidad móvil tempranamente, para garantizar así la protección de la intimidad de los consumidores. Invitamos cálidamente a los participantes de toda la industria de la tecnología de la información y las comunicaciones a que se sumen a nosotros en la conversación y se asocien en esta labor".

Los Mobile Privacy Principles se usarán para desarrollar pautas y códigos de conducta más detallados, con el objeto de abordar preocupaciones específicas de los consumidores, tales como el uso de datos privados o detalles de localización por parte de las aplicaciones. Allanan el camino para el desarrollo de formas claras y sencillas para que los clientes administren su información y su privacidad en sus teléfonos móviles. El desafío clave es encontrar nuevos métodos, amigables con los móviles, para ayudar a los consumidores a tomar decisiones informadas sobre su privacidad.

Un principio clave es el de "transparencia y notificación", que consiste en la honestidad y la claridad con los clientes acerca de la información personal que se está recopilando y el motivo por el que se lo hace. Los principios también abarcan temas tales como la necesidad de ofrecer a los consumidores control sobre la forma en que se usa su información personal y quién lo hace, y garantizar que solo se recoja una cantidad mínima de datos para un servicio determinado y que esa información no se conserve más tiempo del necesario.

La GSMA está analizando estos temas en profundidad y busca una participación más general de la industria para establecer un consenso amplio sobre cómo garantizar que la privacidad de los consumidores se trate de manera más coherente en todas las aplicaciones móviles, las plataformas y los servicios, al mismo tiempo que se sigue respaldando la innovación.

Phillips agrega: "Los Mobile Privacy Principles son un primer paso importante, pero, si pretendemos ofrecer verdadera protección a los consumidores, el tema de la privacidad móvil es un desafío continuo que requiere el apoyo, la colaboración y el trabajo conjunto de toda la industria de Internet, la sociedad civil y los reguladores. Este es un llamado a la acción a toda la industria".

Acerca de la GSMA

La GSMA representa los intereses de la industria de las comunicaciones móviles en todo el mundo. Abarca 219 países, une a alrededor de 800 operadores de telefonía móvil del mundo, así como a más de 200 compañías en el marco más amplio del ecosistema móvil, entre ellas, fabricantes de teléfonos, empresas de software, proveedores de equipos, compañías de Internet, y organizaciones de medios y entretenimiento. La GSMA se centra en la innovación, la incubación y la creación de nuevas oportunidades para sus miembros, con el objetivo final de impulsar el crecimiento de la industria de las comunicaciones móviles.

Viato en www.prnewswire.com

 

Descarga de Mobile Privacy Principles





 

Probably the Best Free Security List in the World

The products are almost exclusively free with some exceptions: products where there is no free alternative,  good products that offer a lifelong license, and exceptional products. Please inform me for dead/false links, and give suggestions for new applications with the form located at the end of this list. I react to every correction and suggestion, although I may not answer all of them explicitly. This list is updated approximately twice a week, if  needed. So, if your suggestion does not appear to the list immediately, it does not mean it has been omitted.  Updated 28. January 2011

Index - Realtime protection - Scanners - Tools for virus removal - Online-scanners - Firewalls - HIPS - System hardening-HIPS - System hardening - Sandboxing/virtualization - Vulnerability scanning and updates - Browser security - IP-blocking/hardening - What's new - Privacy - System monitoring - Network traffic monitoring - System cleaning - Data rescue - Encrypting - Backup - System rescue - Miscellaneous  -Tests and malware analysis tools - Vista/Windows 7 specific security - Prisoners on remand - Doing time in jail

Articulo completo...

Visto en techsupportalert.com

Juego on-line `Olvidados´ para concienciar a los jóvenes sobre el uso de las redes sociales e internet

La APDCM lanza el juego on-line `Olvidados´ (www.olvidados.es) para concienciar a los jóvenes sobre el uso de las redes sociales e internet.

El juego “Olvidados” (/www.olvidados.es/), dirigido a jóvenes de 12 a 16 años que residan en Madrid - España, el juego estará activo entre los días 28 de enero y el 15 de marzo.

Este juego permite conocer mediante distintas acciones cómo proteger de forma eficaz los datos personales.

 Los ganadores recibirán packs Xbox con sensor Kinect y cuatro juegos, y entradas al Parque de Atracciones de Madrid (España)

Facebook comenzará a ofrecer seguridad 'HTTPS' en el sitio

Después de que la página de fans de Mark Zuckerberg fuera hackeada, Facebook anunció que mejorará la seguridad en el sitio, dando soporte para HTTPS en todo el sitio.

HTTPS es una combinación de los protocolos HTTP y SSL, que permite la comunicación encriptada entre tu computador y un servidor. Sin esto, estás expuesto a ataques espías en la red. Por ejemplo, si usas una conexión WiFi abierta para acceder Facebook usando HTTP simple, alguien usando Firesheep podría recolectar fácilmente tus datos. HTTPS complica esta operación.

La opción, sin embargo, no vendrá activada de forma predeterminada, sino que hay que encenderla en la página de configuración. Si todavía no te aparece la opción es porque Facebook la está liberando por etapas a grupos de usuarios, así que paciencia, que ya llegará.

Facebook advirtió, eso sí, que el aumento de la seguridad acarrea algunos efectos secundarios, como una mayor demora en el tiempo de carga de las páginas dentro de la red social. Algunas aplicaciones, por otro lado, no soportan HTTPS, por lo que no quedarían protegidas.

Visto en http://www.fayerwayer.com/

 

 

Herramientas gratuitas para la auditoria informatica de BSA

Las siguientes herramientas de auditoría son gratuitas y están diseñadas para ayudarle a auditar, identificar y rastrear software licenciado y no-licenciado instalado en sus computadoras y servidores. Las auditorías son un componente clave de cualquier programa de software asset management (gestión del software).
BSA asegura que las siguientes herramientas estarán disponibles gratuitamente para usted a través de la cooperación con Attest Systems Inc. Por favor, lea el acuerdo de licenciamiento y cualquier otra información con respecto al uso.

BSA no recaba ni recibe información identificativa de las empresas que utilizan estas herramientas de auditoría gratuitamente.
Vea la política de Privacidad de BSA



FrontRange Centennial Discovery™: una herramienta completa para auditoría y descubrimiento de la red. Esta herramienta se encuentra disponible para las plataformas Windows, Mac, Unix y Linux.
Haga click para Discovery Tool
Vea la política de Privacidad de FrontRange Solutions





GASP: Un software, hardware y herramienta de archivo de auditoría. Esta herramienta se ejecuta en Windows.
Ejecute la GASP herramienta
Vea la política de Privacidad de Attest Systems, Inc

Los 5 grandes mitos sobre ISO 27001

'By 'Dejan Kosutic on January 24, 2011

 

Con mucha frecuencia escucho comentarios sobre la norma ISO 27001 y no sé si ponerme a reír o a llorar. De hecho, es gracioso cómo la gente tiende a tomar decisiones sobre algo acerca de lo que saben muy poco.

Estos son los errores conceptuales más comunes:
“La norma requiere…”

“La norma requiere que se cambien las claves cada 3 meses”. “La norma requiere que se contraten a diversos proveedores”. “La norma requiere que la ubicación alternativa de recuperación ante desastres se encuentre, como mínimo, a 50km de distancia de la ubicación principal”. ¿Es así? La norma no dice nada de todo esto. Desgraciadamente, esta es la clase de información falsa que escucho habitualmente. Muchas veces, la gente confunde mejores prácticas con requerimientos de la norma, pero el problema es que no todas las reglas de seguridad son aplicables para todos los tipos de organizaciones. Y quienes sostienen que esto está establecido en la norma, difícilmente la hayan leído alguna vez.

“Dejaremos que el departamento de TI lo maneje”

Esta es la preferida de la dirección: “La seguridad de la información tiene que ver con tecnología de la información, ¿no?” Bueno, no exactamente. Los aspectos más importantes de la seguridad de la información no sólo incluyen medidas de TI, sino también temas organizacionales y gestión de recursos humanos, que, en general, se encuentran fuera del ámbito del departamento de TI. Ver también Seguridad de la información o seguridad de TI.

“Lo implementaremos en unos pocos meses”

Podría ser posible que usted implemente la norma ISO 27001 en dos o tres meses, pero no funcionará; solamente obtendrá un montón de políticas y procedimientos que nadie tendrá en cuenta. La implementación de la seguridad de la información quiere decir que tiene que implementar cambios, y esto lleva tiempo.

Ni qué decir que usted debe implementar solamente los controles de seguridad que realmente necesita, y el análisis de qué es necesario lleva tiempo; se llama evaluación y tratamiento de riesgos.

“Esta norma no es nada más que documentación”

La documentación es una parte importante en la implementación de ISO 27001, pero no es un fin en sí misma. Lo más importante es que usted realice sus actividades de forma segura, y la documentación está allí precisamente para ayudarle. Además, los registros que genere le ayudarán a medir si alcanzó sus objetivos de seguridad de la información y le permitirán corregir aquellas actividades que no lo han logrado.

“El único beneficio de la norma es obtener una ventaja de comercialización”

“Estamos haciendo esto solamente para obtener el certificado, ¿no es cierto?” Bueno, esta es (desafortunadamente) la forma en la que piensa el 80 por ciento de las empresas. No estoy intentando discutir aquí si se debe, o no, utilizar a la norma ISO 27001 con fines de promoción y ventas, pero también puede obtener otros beneficios muy importantes; como evitar que le ocurra lo de WikiLeaks.

Ver también Cuatro beneficios clave de la implementación de la norma ISO 27001 y Lecciones aprendidas a partir de WikiLeaks: ¿Qué es exactamente la seguridad de la información?.

Lo importante aquí es que primero hay que leer la norma ISO 27001 para poder dar una opinión sobre la misma, o, si le resulta demasiado aburrida (admito que lo es) como para leerla, consulte a alguien que la conozca de verdad. Y trate de ver otras ventajas, además de la publicidad. Es decir, aumente sus posibilidades de realizar una inversión rentable en seguridad de la información.

Visto en blog.iso27001standard.com

 

Un 63% de las PyMEs de América Latina están en riesgo por utilizar software pirata

Según se desprende de un completo estudio de mercado realizado por la consultora Prince and Cooke por encargo de la la Business Software Alliance, actualmente las empresas de América Latina están sufriendo un alto riesgo tanto económico como tecnológico debido a la utilización de software ilegal.

Eso causa situaciones como una reducción de la eficiencia laboral y de los resultados de la compañía; además de generar riesgos jurídicos e impositivos.

El estudio analizó a 3,650 PyMEs en América Latina (La cobertura del estudio fue regional y los países seleccionados fueron Argentina, Brasil, Chile, Colombia, Costa Rica, Dominicana, Ecuador, México, Perú, Paraguay, Uruguay y Venezuela) con el propósito de estudiar y adquirir conocimientos tanto de la realidad del uso del software sin licencia, como de los riesgos que corren las pequeñas y medianas empresas de la región.

Son diferentes las vías de acceso que tienen las PyMEs al software pirata: estar pre-instalado en el equipo, obtener claves de productos falsificados, bajar generadores de claves o herramientas de crack desde sitios web o redes entre pares.

Para María de Monserrat Guitart-Piguillém, una de las apoderadas de la BSA en Argentina, el estudio plantea la necesidad de seguir trabajando para construir estrategias claras de comunicación en el interior de las empresas con respecto al uso del software legal.

Más...

Visto en nanduti.com.py

Descarga
- Riesgos y costos del uso de software ilegal en las PyMEs de Argentina
- Estudio PYMES uruguayas y el uso de software ilegal
- Software piracy in Chile and reaches down three points to 64% in the last year
- La piratería de software registró una tasa del 60% en México




 

28 de enero, Día Europeo de la Protección de Datos

Como cada 28 de Enero, se celebra en conmemoración de la firma del Convenio 108 del Consejo de Europa, el Día Europeo de la Protección de Datos. Para esta celebración las Agencias suelen preparar campañas divulgativas, vídeos, y demás información para concienciar a la ciudadanía de la protección de este Derecho Fundamental.

Como muestra el siguiente vídeo realizado por la Agencia de Protección de Datos de la Comunidad de Madrid:

En el presente vídeo, titulado ¿por qué hacerlo en Internet?, la Agencia pretende concienciar a los ciudadanos a no contar toda su vida en las redes sociales… Juzgen ustedes mismos…

Fuente: www.iurismatica.com

El uso de contraseñas reduce productividad y no ofrece seguridad

El uso de muchas contraseñas genera que la productividad de los empleados se vea reducida debido a la dificultad que representa memorizar más de dos claves, reveló un estudio Forrester Research .

Las corporaciones requieren que sus trabajadores recuerden por lo menos dos contraseñas y hasta seis o más para tener acceso a distintas áreas de sus sistemas, lo cual lejos de brindar seguridad, genera pérdidas de tiempo y por lo tanto poca productividad.

El reporte encargado por Symantec halló que 87% de las compañías estadounidenses utiliza las contraseñas como su principal arma para defenderse ante un posible ataque.

De dicho porcentaje, 27% requiere más de seis claves en promedio y de 30 a 50% de las contraseñas deben ser reestablecidas regularmente.

Symantec asegura que el aumento en el número de contraseñas requeridas está relacionado con la penetración que los servicios de virtualización, servicios en la nube y Web 2.0 han tenido en las compañías.

¿Y la protección?

La firma asegura que el uso de contraseñas además de reducir la productividad, no ha ofrecido los índices de protección que las empresas esperan.

Symantec indica que su estudio encontró que 54% de las compañías que utilizan un sistema de seguridad basado en contraseñas experimentó brechas durante el último año.

Por otra parte la firma indica que estas cifras indican que es momento para que las empresas comiencen a adquirir servicios de protección basados en la autentificación, servicios que junto con los de reconocimiento biométrico son recomendados por la compañía de seguridad.
El reporte también encontró que 60% de las empresas cuentan con un sistema de autentificación confiable, mientras que otro 50%  considera la adquisición del mismo en un corto plazo.
Para realizar el estudio fueron analizadas 306 compañías.
Fuente: http://www.netmedia.info/

 Titulo del estudio "Enhancing Authentication To Secure The Open Enterprise "

Sophos Security threat Report 2011

Identifying the threats: where to watch

95,000—that’s the number of malware pieces analyzed by SophosLabs every day in 2010, nearly doubling the number of malware pieces we tracked in 2009. This accounts for one unique file every 0.9 seconds, 24 hours per day, each day of the year. It’s a clear sign that the malware threat continues to grow at an alarming rate.

Today, more than ever before, hackers aren’t just producing malware for notoriety—they’re producing it for large financial gain. We track these methods of attack and constantly learn from them so we can block and protect your systems. Here’s a look at the more significant threats of 2010. It’s wise to keep watching these threats, as they’re likely to surface again in 2011.

Download (PDF, EN 52 Pag.)

Snorby: front-end para Snort.

Para los que usan el IDS SNORT, existe un front end alternativo a BASE llamado Snorby:

Snorby is a new and modern Snort IDS front-end. The basic fundamental concepts behind snorby are simplicity and power. The project goal is to create a free, open source and highly competitive application for network monitoring for both private and enterprise use.

Welcome to the snorby wiki! Bare with us, this wiki is a work in progress.

Descarga

Link relacionados:
- Snort. Snorby un front-end para análisis y gestión de alertas para Snort.
- Snorby, alternativa front-end a BASE para Snort
- Snort "for dummies": Insta-Snort

Attack Surface Analyzer: Herramienta para escribir aplicaciones más seguras

Muchos programas pueden alterar el sistema operativo durante la instalación. Algunos de estos cambios pueden ser amenazas de seguridad ocultas y pueden tener efectos devastadores para el sistema.

Microsoft Attack Surface Analyzer es un programa especialmente diseñado para identificar esos problemas. Es la misma herramienta que es utilizada por los equipos internos de Microsoft para identificar alteraciones hechas al sistema operativo por la instalación de un software.

Esto puede ser útil a los desarrolladores para identificar el resultado de un ataque debido a la adición de sus códigos. También puede ayudar a los profesionales a analizar los cambios en el sistema operativo como consecuencia del uso de software corporativo, o ayudar a los Auditores de Seguridad a examinar el riesgo de un programa específico, y permitir a los respondedores de seguridad evaluar el estado de un sistema de seguridad.

Para comenzar, seleccione un destino donde guardar el reporte del escaneado y comience el proceso de escaneado.

El programa escaneará a fondo el sistema y generará un reporte en formato XML en un archivo .cab que se puede obtener de la ruta de destino pre-seleccionada.
Attack Surface Analyzer toma una instantánea del sistema antes y después de la instalación de un software y muestra los cambios (si los hay) luego del escaneo.



Microsoft Attack Surface Analyzer funciona en Windows Vista, Windows 7 y Windows Server 2008 R1/R2, siempre y cuando tengan instalado .NET 3.5 SP1. Nosotros lo probamos en Windows 7 64 bits y las pruebas fueron satisfactorias.

Fuente: tecnologia21.com

Descarga:
- La herramienta está en versión beta y disponible de forma gratuita. (se publico el 19 de Enero/2011)
- Attack Surface Analyzer Fact Sheet (DOCX)

Vuelve el spam a sus niveles normales

Después de un descanso durante la temporada navideña en el que muchos se preguntaban por qué el nivel de spam había bajado considerablemente, la botnet Rustock, considerada la mayor fuente de correo basura del mundo, ha reanudado la actividad.
El pasado lunes la botnet reanudó operaciones y una vez más comenzó a distribuir spam farmacéutico. Los investigadores creen que la botnet está lista para volver rápidamente a sus niveles de producción normales.

Mientras tanto, la producción de spam desde otras dos grandes redes de bots, Xarvester y Lethic, también se redujeron durante la temporada navideña. Xarvester también ha reanudado la entrega de spam después de su breve descanso, que comenzó el 31 de diciembre.


Fuente: www.blogantivirus.com

Report: Internet 2010 in numbers (Pingdom )

What happened with the Internet in 2010?
How many websites were added? How many emails were sent? How many Internet users were there? This post will answer all of those questions and many, many more. If it’s stats you want, you’ve come to the right place.
We used a wide variety of sources from around the Web to put this post together. You can find the full list of source references at the bottom of the post if you’re interested. We here at Pingdom also did some additional calculations to get you even more numbers to chew on.
Prepare for a good kind of information overload.

Email

• 107 trillion – The number of emails sent on the Internet in 2010.
• 294 billion – Average number of email messages per day.
• 1.88 billion – The number of email users worldwide.
• 480 million – New email users since the year before.
• 89.1% – The share of emails that were spam.
• 262 billion – The number of spam emails per day (assuming 89% are spam).
• 2.9 billion – The number of email accounts worldwide.
• 25% – Share of email accounts that are corporate.

Websites

• 255 million – The number of websites as of December 2010.
• 21.4 million – Added websites in 2010.

 Web servers:

• 39.1% – Growth in the number of Apache websites in 2010.
• 15.3% – Growth in the number of IIS websites in 2010.
• 4.1% – Growth in the number of nginx websites in 2010.
• 5.8% – Growth in the number of Google GWS websites in 2010.
• 55.7% – Growth in the number of Lighttpd websites in 2010.

 Domain names:

• 88.8 million – .COM domain names at the end of 2010.
• 13.2 million – .NET domain names at the end of 2010.
• 8.6 million – .ORG domain names at the end of 2010.
• 79.2 million – The number of country code top-level domains (e.g. .CN, .UK, .DE, etc.).
• 202 million – The number of domain names across all top-level domains (October 2010).
• 7% – The increase in domain names since the year before.

Internet users:

• 1.97 billion – Internet users worldwide (June 2010).
• 14% – Increase in Internet users since the previous year.
• 825.1 million – Internet users in Asia.
• 475.1 million – Internet users in Europe.
• 266.2 million – Internet users in North America.
• 204.7 million – Internet users in Latin America / Caribbean.
• 110.9 million – Internet users in Africa.
• 63.2 million – Internet users in the Middle East.
• 21.3 million – Internet users in Oceania / Australia.

 Social media

• 152 million – The number of blogs on the Internet (as tracked by BlogPulse).
• 25 billion – Number of sent tweets on Twitter in 2010
• 100 million – New accounts added on Twitter in 2010
• 175 million – People on Twitter as of September 2010
• 7.7 million – People following @ladygaga (Lady Gaga, Twitter’s most followed user).
• 600 million – People on Facebook at the end of 2010.
• 250 million – New people on Facebook in 2010.
• 30 billion – Pieces of content (links, notes, photos, etc.) shared on Facebook per month.
• 70% – Share of Facebook’s user base located outside the United States.
• 20 million – The number of Facebook apps installed each day.

Web browsers:


Videos:

• 2 billion – The number of videos watched per day on YouTube.
• 35 – Hours of video uploaded to YouTube every minute.
• 186 – The number of online videos the average Internet user watches in a month (USA).
• 84% – Share of Internet users that view videos online (USA).
• 14% – Share of Internet users that have uploaded videos online (USA).
• 2+ billion – The number of videos watched per month on Facebook.
• 20 million – Videos uploaded to Facebook per month.

Images

• 5 billion – Photos hosted by Flickr (September 2010).
• 3000+ – Photos uploaded per minute to Flickr.
• 130 million – At the above rate, the number of photos uploaded per month to Flickr.
• 3+ billion – Photos uploaded per month to Facebook.
• 36 billion – At the current rate, the number of photos uploaded to Facebook per year.

Data sources and notes: Spam percentage from MessageLabs (PDF). Email user numbers and counts from Radicati Group (the number of sent emails was their prediction for 2010, so it’s very much an estimate). Website numbers from Netcraft. Domain name stats from Verisign and Webhosting.info. Internet user numbers and distribution from Internet World Stats. Facebook stats from Facebook and Business Insider. Twitter stats from Twitter (and here), TwitterCounter and TechCrunch. Web browser stats from StatCounter. YouTube video numbers from Google. Facebook video numbers from GigaOM. US online video stats from Comscore and the Pew Research Center. Flickr image numbers from Flickr. Facebook image numbers from this blog.

Fuente: royal.pingdom.com

Puck: A LiveCD Containing Top Penetration Testing Tools

Puck is a GNU/Linux distribution distributed as a Live CD based on TinyCoreLinux. Tiny Core Linux is a very small (10 MB) minimal Linux GUI Desktop.

 It is based on Linux 2.6 kernel, Busybox, Tiny X, and Fltk. The core runs entirely in ram and boots very quickly. Puck contains top penetration testing tools.

The list of tools contained:

• Aircrack
• Arping
• Arpspoof
• Chntpw
• Curl
• Hping2
• John the ripper
• Kismet
• Macchanger
• Nbtscan
• Ncat
• NetCat
• NGrep
• Nmap
• Ntop
• Putty
• Rdesktop
• Socat
• p0f
• Tcpdump
• Tcptunnel
• THC-Amap
• THC-Hydra
• Vncviewer
• Wipe
• Wireshare
• Wol
• Yersinia

Though it can not be considered as a competition to the likes of BackTrack, Pentoo etc… great thing about Puck is its only 55 Mb. It is quick and easy to boot. Puck is based on TinyCoreLinux so we may have some issues related to some drivers, otherwise its great!

Fuente: www.pentestit.com

Download Puck

AV-Comparatives declaró al antivirus F-Secure como el producto del año 2010

La empresa independiente experta en seguridad de computadores, AV-Comparatives declaró al antivirus F-Secure como el producto del año 2010.

Para determinar esto, AV-Comparatives llevó a cabo 7 pruebas, en donde F-Secure y Avira fueron los únicos dos productos en recibir un rating de +Avanzado, aunque finalmente el ganador fue F-Securo y muy cerca se situo el software de la empresa Avira.

F-Secure ganó el premio de Oro por Low False Positives (detectar muy pocos virus falsos positivos) y el premio de Oro por el Whole-Product Dynamic Protection, que compartió con la empresa Symantec.

El año pasado el ganador fue Symantec y en el 2008 la empresa AVIRA.

Ahora que haya ganado el premio al producto del año 2010 no necesariamente significa que sea el mejor antivirus para todo tipo de usuario, ya que esto no es real y varía de acuerdo a los tipos de usuarios y sistemas.

[Fuente ReadWrite Enterprise]

Visto en geeksroom.com


Cuadro final del 2010:

Historial de ganadores:

• 2010 = F-Secure
• 2009 = Symantec
• 2008 = AVIRA
• 2007 = ESET 
• 2006 = ESET
• 2005 = Kaspersky
• 2004 = Kaspersky

Descarga del reporte (EN, PDF)

FreeSecurity: Conferencia de Seguridad Informática (México)

FreeSecurity es un congreso de seguridad en Cómputo e Informática que tiene como principio acercar a destacadas personalidades del software libre, expertos en seguridad y a la comunidad formada en su gran parte por estudiantes de nivel superior y licenciatura, así como profesionistas y cualquier interesado y simpatizante de la seguridad informática.

En está primer edición del FreeSecurity contaremos con la presencia de Gunnar Wolf, Sandino Araico, Rafael Bucio, Fernando Romo y Rolando Cedillo, entre otros grandes expertos en seguridad y expertos en informática que compartirán con nosotros sus experiencias y algunas de sus investigaciones que han realizado en el ámbito de la seguridad.

Web del evento: http://www.freesecurity.org.mx/

Visto en alcancelibre.org

 

Artículo: Métodos de cifrado en Windows

A través del cifrado de la información el usuario puede crear una barrera de protección adicional ante posibles ataques. De esta manera, si un usuario ajeno al sistema accede a al mismo, los datos o ficheros no estarán accesibles.

A efectos prácticos, el cifrado de datos es muy útil en situaciones muy comunes: por ejemplo, entornos donde cierta información sensible se deba transportar en una llave USB, cinta o disco óptico; sistemas compartidos entre diferentes usuarios; o la utilización de un portátil.

Los tres métodos de cifrado de la información que se abordan en el artículo son: 

• - Cifrado de datos con EFS
• - Cifrado de datos con BitLocker
• - TrueCrypt

El artículo se encuentra disponible en castellano.

Fuente: INTECO

Reporte de (ISC)2: The 2010 State of Cybersecurity from the Federal CISO’s Perspective

(ISC)², along with Cisco and Garcia Strategies, produced the second annual State of Cybersecurity from the Federal CISO’s Perspective – An (ISC)² Report. This report is based on an extensive survey conducted with a broad cross-section of U.S. government CISOs to gather their views on the current state of cybersecurity and their recommendations for future priorities and directions. From this report, you will gain a better understanding of:

• - Whether survey respondents see an improvement in the security of federal systems
• - Whether they feel they are influencing change within their agencies
• - The most critical tools and technologies needed to address the top priorities
• - How the economic crisis is affecting the workforce
• - And more…

The 2010 State of Cybersecurity from the Federal CISO’s Perspective – An (ISC)² Report offers a front-line perspective on the effectiveness of government policies and programs, agencies’ ongoing challenges, requirements for change and the most critical tasks, and offers much to say about the true state of play in this arena.

To download your copy

Guía sobre seguridad y privacidad en el Comercio Electrónico (INTECO)

Los cambios generados en los hábitos de los consumidores debido a la incorporación de Internet han permitido establecer nuevas relaciones entre usuarios y vendedores mediante el comercio electrónico.

Sin embargo, ello ha supuesto nuevos retos para los consumidores que adquieren bienes y contratan servicios a través de la Red, debido fundamentalmente a que las compras que se realizan en Internet no tienen las mismas características que aquellas realizadas en el comercio tradicional.

Descarga de guia - Edición: Enero 2010

Informe: Threat Assessment on Internet Facilitated Organised Crime - iOCTA (Europol)

Un informe publicado por la Europol asegura que la Unión Europea es un objetivo clave para el cibercrimen por su avanzada infraestructura de Internet, los índices de adopción de la misma y economías y sistemas de pago cada vez más dependientes de Internet.

El cuerpo policial de la Unión Europea asegura además que desde que la conectividad a Internet continúa expandiéndose, los ciudadanos y organizaciones de los estados miembros estarán sujetos tanto a un mayor volumen de ciberataques como de ataques de zonas que antes estaban desconectadas del mundo.

En su informe Threat Assessment on Internet Facilitated Organised Crime, también conocido como iOCTA, la agencia asegura que los estados miembros ya están en el ranking de los países más infectados del mundo cuando se trata de virus informáticos y malware.

Teniendo en cuenta estos datos, la Europol asegura que combatir el cibercrimen exigirá una nueva estrategia internacional así como acuerdos operativos entre países. La policía europea dice que los acuerdos con el sector privado son ahora esenciales, no sólo para compartir inteligencia y evidencias, sino en el desarrollo de herramientas técnicas y medidas que ayuden a las fuerzas de seguridad a impedir la actividad criminal online. La comunidad académica, asegura la Europol, también juega un papel importante en el desarrollo de estas medidas.

El informe concluye que, debido al desarrollo tecnológico que muestra el cibercrimen, los cuerpos de seguridad necesitan tener esto en cuenta para garantizar que haya suficientes recursos para luchas contra futuras amenazas.

Descarga del Informe (PDF) 

THREAT ASSESSMENT (ABRIDGED)
INTERNET FACILITATED ORGANISED CRIME



Fuente: http://www.itespresso.es/ - Rosalía Arroyo

Movilidad, seguridad y la nube

Por: Andrés Cargill

En estos más de 10 años presentes en el mercado, hemos sido protagonistas gestionando, bajo distintas perspectivas y de múltiples maneras, los riesgos que amenazan la confidencialidad, integridad y disponibilidad de los activos de información de cientos de empresas en Latinoamérica.

La industria de la seguridad de la información sin duda ha evolucionado en la última década, pero a pesar de las inversiones y los esfuerzos en implementar mejores procesos y controles de seguridad, las vulnerabilidades de los sistemas tradicionales y los riesgos a la seguridad de los datos siguen aumentando con el paso del tiempo. Dado el actual diseño de los sistemas tradicionales basados en la utilización del hardware como recipiente prioritario de la información relevante, la industria de seguridad no ha sabido resolver de raíz sobre cómo defenderse adecuadamente de los cada vez más agresivos ataques y del también cada vez más frecuente extravío de datos sensibles.

Un área del mercado TI que hemos estado siguiendo detenidamente es el de la movilidad. Esto porque observamos una rápida evolución y adopción de diversos dispositivos en las empresas y porque la tecnología móvil pone de manifiesto los riesgo y fallas del diseño tradicional de TI.

Un reciente estudio encargado por Intel revela cifras bastante preocupantes. El costo promedio por cada notebook perdida o robada bordea los 50 mil dólares en EE.UU., en donde el valor del hardware es despreciable frente al que representa la propiedad intelectual del contenido, el robo de identidad y el costo de las multas por incumplimientos de confidencialidad. El mismo estudio indica que uno de cada diez computadoras se perderá o será robado antes de tres años, 90% de los casos ocurren fuera de la oficina cuando la gente viaja, y solo un 5% de éstos será recuperado.

Más..

Fuente: cioperu.pe

 

Francia investiga la pista china en el caso de espionaje industrial en Renault

Las investigaciones internas que lleva a cabo el grupo Renault y las que, por su parte, acometen los servicios secretos franceses sobre el caso de espionaje industrial del que ha sido objeto el grupo automovilístico francés apuntan a la misma pista oriental: los tres altos cargos suspendidos el lunes de empleo y sueldo han pasado información a intermediarios especializados que, a su vez, se la han procurado a grupos chinos. Eso es lo que apunta hoy el periódico francés Le Figaro y han confirmado desde El Elíseo a la agencia Reuters sobre este sorprendente episodio, calificado como de un capítulo de una auténtica "guerra económica" por el ministro de Industria francés, Eric Besson.

Los datos confidenciales de Renault que han pasado a manos ajenas, según el periódico francés, dan cuenta de informaciones relevantes sobre el funcionamiento de las baterías de los automóviles eléctricos de segunda generación, esto es, de ninguno de los cuatro que sacará al mercado la marca francesa este año o al año que viene, sino de los que aún se encuentran en fase de estudio y que se comercializarán más allá de 2012. Los tres altos cargos, al parecer, han entregado a esos intermediarios económicos varias patentes sin declarar relativas a estos componentes eléctricos.

Más...

Fuente: elpais.com

Revista El Derecho Informático # 6 - Enero 2011

Recientemente se publico un nuevo numero de la revista electrónica “El Derecho Informático”, la revista creada por la Red Iberoamericana del derecho y las nuevas tecnologías, para tratar distintos temas del derecho informático.

En este número podrás encontrar:

- Global Online Dispute Resolution (ODR) para casos provenientes del eCommerce transfroterizo B2B y B2C: Segunda Parte. Por Abog. Gabriela Szlak
- Derecho e Informática: Un campo donde reina el gatopardo. Por Abog. Noemí Olivera
- Wikileaks y el principio del hombre prudente. Por Lic. Cristian Borghello
- Google y sus acuerdos con a los autores y titulares de derechos. su situación actual (Google Book Settlement) - Parte 3 (Final). Por Abog. Wilson Rios
- Somera reseña del sistema operativo Linux, comienzos y desarrollo. Por Sergio Mendoza
- El universo de la comunicación en contínua expansión. Por Abog. Fedra Fontao
- Validez probatoria de Firma Electrónica emitida por un certificador no licenciado dentro de la infraestructura de Firma Digital en Argentina. Por Abog. Leonor Guini
- La legitimidad procesal de los datos de tráfico en Córdoba. Por Abog. Luciano Monchiero
- Adecuación de la Ley de Protección de Datos Personales Nº 25.326: a 8 años del Dictamen 4/2002 UE: Segunda Parte (Final). Por Abog. Fátima Cambronero
- Entrevista a Abog. Paloma Llaneza

Ingresa a ver el artículo completo para leer la revista online o poder descargarla.



Informe Anual PandaLabs 2010

Empieza el año 2011, y llega el momento de dar un repaso a lo más importante sucedido en el mundo de la seguridad a lo largo de 2010.

En 2010, los cibercriminales han creado y distribuido más de un tercio del total de todos los virus que existen. O lo que es lo mismo, en 12 meses se ha creado el 34% de todo el malware que ha aparecido en la historia y que ha sido clasificado por la compañía. Además, la base de datos de Inteligencia Colectiva, que detecta, analiza y clasifica automáticamente el 99,4% de las nuevas amenazas recibidas, ha alcanzado los 134 millones de ficheros diferentes, más de 60 de los cuales son malware (virus, gusanos, troyanos y otras amenazas informáticas).

La categoría reina del nuevo malware aparecido en 2010 sigue la de troyanos, copando el 56%, seguido de virus y gusanos. Debemos destacar que del total de malware registrado en la base de datos de Inteligencia Colectiva el 11,6 % corresponde a la categoría de falsos antivirus, amenaza que aún a pesar de haber “nacido” hace cuatro años se está convirtiendo en una de las protagonistas de los quebraderos de cabeza de los usuarios.

En cuanto al ranking de infecciones, Tailandia, China y Taiwán encabezan la lista, con entre el 60 y el 70% de los ordenadores infectados (datos obtenidos de la utilización de la herramienta gratuita Panda ActiveScan durante 2010).

Respecto a métodos de infección, 2010 ha sido el año rey del uso, por parte de los hackers, de redes sociales, posicionamiento de falsas webs (BlackHat SEO) y el aprovechamiento de vulnerabilidades zero-day.
El spam sigue manteniéndose en niveles sumamente altos en 2010, aunque bien es cierto que el desmantelamiento de algunas redes de bots (como la conocida Operación Mariposa o el caso Bredolad) ha propiciado que se haya dejado de utilizar estos ordenadores zombies para enviar spam, circunstancia que sin duda ha mejorado el tráfico mundial. Así, el pasado ejercicio, alrededor del 95% de todo el tráfico mundial era spam, cifra que se sitúa en el 85% de promedio en 2010.

Más...

Descarga de Informe

Visto en pandalabs.pandasecurity.com

Humor: Contraseña

Consejos para evitar la fuga de información (ESET)

ESET pone a disposición un listado de 10 consejos con el fin de dar a conocer las principales prácticas para evitar la fuga de información en entornos corporativos. En las últimas semanas uno de los temas más resonantes en materia de seguridad informática fue el de la fuga de información debido a los acontecimientos suscitados por el caso Wikileaks.

Estos sucesos abrieron el debate sobre la privacidad y la confidencialidad de la información y sobre cuáles son las mejores prácticas para evitar incidentes que pongan en peligro información sensible.

Por este motivo, los especialistas en seguridad informática de ESET Latinoamérica han elaborado un decálogo de hábitos básicos de seguridad para mantener la protección e integridad de los datos:

• 1. Conocer el valor de la propia información: realizar un análisis de riesgos y un estudio de valuación de activos para poder determinar un plan de acción adecuado que permita evitar posibles filtraciones.
• 2. Concientizar y disuadir: diseñar una estrategia de concientización que incluya la responsabilidad en el manejo de la información, que funcione tanto para capacitar a las personas que podrían filtrar información por error u omisión, como para persuadir a las que deliberadamente intenten hacerlo, mostrando las potenciales consecuencias.
• 3. Utilizar defensa en profundidad: considerar el modelo de defensa en capas para tomar distintas medidas de diferente naturaleza a fin de no centralizar las soluciones ni promover puntos únicos de falla.
• 4. Incluir herramientas tecnológicas: en ámbitos corporativos resulta muy importante contar con una solución técnica de protección, por medio de hardware, software, o combinación de ambos, tanto a nivel de redes como de equipos (servidores y estaciones de trabajo). El crecimiento de amenazas como el spyware hace que los códigos maliciosos también sean potenciales puntos de fuga de información.
• 5. Seguir los estándares internacionales: alinearse con estándares internacionales de gestión de la seguridad permite disminuir el riego de incidentes y evitar que el negocio se vea afectado por un determinado evento de filtración.
• 6. Mantener políticas y procedimientos claros: relacionado con el punto anterior, se debe tener una clara definición y comunicación de las políticas de seguridad y acuerdos de confidencialidad, aceptados y firmados por todos los usuarios. Esto minimiza potenciales fugas de información, al contar con un consentimiento firmado del usuario para no realizar ciertas acciones.
• 7. Procedimientos seguros de contratación y desvinculación: tanto al momento de la contratación como en la desvinculación de una persona dentro de una organización, se produce la conexión o desconexión de una nueva pieza con el motor de la organización, por lo que deben tenerse en cuenta los métodos de acceso y registro de los usuarios en sus primeros o últimos momentos de trabajo.
• 8. Seguir procesos de eliminación segura de datos: es fundamental que los datos que se desean eliminar sean efectivamente eliminados y los medios de almacenamiento adecuadamente tratados antes de ser reutilizados.
• 9. Construir un entorno de confianza: contar con personal capacitado y responsable para la gestión y administración de información sensible.
• 10. Aceptar y entender la realidad: si bien el seguir estos consejos no garantiza de forma absoluta la seguridad de la información, estas prácticas ayudan a disminuir los riesgos de pérdida de información valiosa y resaltan la importancia de tomar medidas concretas y definir un plan realista, alejado de la paranoia innecesaria.

“Es importante entender que no es posible controlar todas las variables y mucho menos todas las acciones de las personas que integran una corporación, por lo tanto, siempre habrá un margen de error en relación a la protección de la información. Sin embargo la idea es reducir ese margen al mínimo posible. Y esto se logra por medio de prácticas efectivas y adecuadas en torno a la seguridad informática. Por tal motivo en ESET trabajamos constantemente en capacitar a nuestros usuarios y brindar las herramientas tanto técnicas como educativas para evitar cualquier incidente informático”, comentó Federico Pacheco, Education & Research Manager para ESET Latinoamérica.

---

Fuente www.ebizlatam.com

Reporte: A Taxonomy of Operational Cyber Security Risks (SEI - Carnegie Mellon University)

This report presents a taxonomy of operational cyber security risks that attempts to identify and organize the sources of operational cyber security risk into four classes: (1) actions of people, (2) systems and technology failures, (3) failed internal processes, and (4) external events. Each class is broken down into subclasses, which are described by their elements.

This report discusses the harmonization of the taxonomy with other risk and security activities, particularly those described by the Federal Information Security Management Act (FISMA), the National Institute of Standards and Technology (NIST) Special Publications, and the CERT Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVE) method.

Authors: James J. Cebula - Lisa R. Young

Download

Proyecto FLU

Este proyecto intenta crear una comunidad, en la cual los usuarios forman parte de un proyecto de ayuda mutua relacionado con la seguridad de la información.

¿Qué es Flu?

Flu, aparte del nombre del proyecto, es un troyano. Con esta prueba de concepto, se quiere dotar al usuario del proyecto de poder para realizar sus pruebas y conseguir entender el funcionamiento de este tipo de aplicaciones malware. Flu, es un troyano avanzado, capaz de infectar y dar un control remoto al atacante bastante interesante. Primero porque, hoy en día, no es detectable por antivirus, y segundo porque los firewall por defecto no detectarán las peticiones.

Funcionalidades

¿Qué se ofrece?

Todos los usuarios que se atrevan a intervenir en el proyecto, ya sea dando ideas, debatiendo funcionalidades de Flu, desarrollando nuevas funcionalidades, probando el proyecto y dando su opinión, etc., deberán mediante el formulario de descarga, solicitar el código fuente de Flu (c#), de la aplicación web (php en su casi totalidad) y el código de la vacuna. Además también se os darán los ejecutables te todas las aplicaciones.

Web del proyecto