The 2011 (ISC)2 Global Information Security Workforce Study

The (ISC)² Global Information Security Workforce Study reflects the opinions of the dynamic information security workforce. It is the largest study of its kind and provides detailed insight into important trends and opportunities within the information security profession. It aims to provide a clear understanding of pay scales, skills gaps, training requirements, corporate hiring practices, security budgets, career progression and corporate attitude toward information security that is of use to companies, hiring managers and information security professionals.  

• 2011 (ISC)² Global Information Security Workforce Study - NEW!
• 2008 (ISC)² Global Information Security Workforce Study  
• 2006 (ISC)² Global Information Security Workforce Study: A Special U.S. Government Perspective
• 2005 (ISC)² Global Information Security Workforce Study
• 2004 (ISC)² Global Information Security Workforce Study

Some key findings of this year’s study include:
• Application vulnerabilities represent the number one threat to organizations. More than 20 percent of information security professionals reported involvement in software development.

• Mobile devices were the second highest security concern for the organization, despite an overwhelming number of professionals having policies and tools in place to defend against mobile threats.

• Professionals aren’t ready for social media threats. Respondents reported inconsistent policies and protection for end-users visiting social media sites, and just less than 30 percent of respondents had no limits set whatsoever.

• A clear skills gap exists that jeopardizes professionals’ ability to protect organizations in the near future. This year’s survey repeatedly illustrates the deployment of new technologies in the enterprise being offset by a demand for more security education on these technologies.

• Information security professionals weathered the economic recession very well. Three out of five respondents reported receiving a salary increase in 2010.
Overall, salaries for information security professionals increased, with the Asia-Pacific (APAC) region showing the highest growth at 18 percent since the 2007 study.

• Cloud computing illustrates a serious gap between technology implementation and the skills necessary to provide security. More than 50 percent of information security professionals reported having private clouds in place, and more than 40 percent of respondents reported using software as a service, but more than 70 percent of professionals reported the need for new skills to properly secure cloud-based technologies.

• Developing countries illustrated opportunities for growth with an experienced and more educated workforce. On average, survey respondents in developing countries only had two fewer years of experience than their developed counterparts. They also spent more time on security management and less time on internal issues than their developed country counterparts.

• The information security workforce continues to show signs of strong growth. As of 2010, Frost & Sullivan estimates that there are 2.28 million information security professionals worldwide. This figure is expected to increase to nearly 4.2 million by 2015.
 

Link relacionado:
- Los departamentos de seguridad no están preparados para las nuevas tecnologías

Error en Gmail vacía el buzón de miles de usuarios

Miles de usuarios de Gmail se están llevando un mal rato este lunes cuando al entrar en sus cuentas para revisar los nuevos correos, ¡ven que el buzón está vacío!

Se trata de un error en Gmail que ha causado problemas a unos 150 mil usuarios, según las informaciones oficiales. Las causas de la avería, que afectó a un 0,08 % del total de usuarios del servicio, aún están por determinarse según aseguran desde Google.

Más...


Visto en fayerwayer.com




Link relacionado:
- Se borraron los datos de 150.000 cuentas de Gmail



Escritorio seguro virtualizado (Safezone) en el nuevo avast! 6

La próxima generación de avast! 6.0 incluyen un escritorio virtualizado para aumentar la seguridad al realizar operaciones bancarias y/o comerciales, añadiendo una nueva capa de seguridad para los usuarios mediante la prevención del robo de datos sensibles de máquinas infectadas.

Incluso con un equipo infectado, los usuarios pueden mantener sus operaciones en línea privadas, gracias al escritorio seguro virtualizado de la próxima versión de avast! 6.0.

“Un usuario no puede estar absolutamente seguro de que su máquina está cien por ciento limpia, libre de malware. Pero ahora, con SafeZone, pueden tener un espacio virtual seguro del que el malware no es capaz de robar sus datos sensibles “, explica Ondrej Vlcek, director de tecnología de AVAST Software. “Esto es realmente un cambio de 180 grados en la filosofía de cómo nos hemos centrado, durante mucho tiempo, en mantener el malware sin que nos infectara. Ahora también podemos mantener al malware sin que sea capaz de enviar nuestra información hacia fuera.“

Los consumidores somos vulnerables al robo de nuestros datos personales por el spyware en nuestros equipos y en los sitios web infectados. Además, la información puede ser robada en tránsito a través de conexiones de Internet inseguras. Mientras que los usuarios de Internet a veces tienen la opción de seleccionar DNS seguro o conexiones HTTPS, las múltiples capas de muchos sitios hacen que esto sea un proceso complicado. Esta vulnerabilidad de la seguridad es más crítica para las personas que de manera cotidiana realizan operaciones bancarias y compras en línea.

SafeZone minimiza estas deficiencias mediante la creación de un escritorio virtual en el ordenador. “Es un recinto de seguridad de adentro hacia afuera para proporcionar una mayor seguridad“, dice el Sr. Vlcek. “Mientras las virtualizaciones habituales crean un sandbox para prevenir la entrada de malware y dañar el equipo real, SafeZone previene que sus datos privados salgan al exterior a través de malware.” El Sr. Vlcek señala que esta nueva función crea un aislamiento completo del escritorio, que bloquea las aplicaciones de software malicioso invasoras como los keyloggers.

“SafeZone se trata de crear un nuevo espacio seguro, privado – sin que los usuarios tengan que preocuparse por los detalles técnicos, y que no depende de si una máquina ya está limpia “, añade el Sr. Vlcek. “De esta manera, AVAST promueve el concepto fundamental de seguridad transparente. “

SafeZone será un nuevo componente para las versiones de pago de avast! 6.0, incluyendo avast! Pro antivirus y la suite más completa de seguridad con avast! Internet Security.

Fuente: avastblog.com

Resultados del Servicio de Reporte de Spam SMS de GSMA

La GSMA ha presentado las conclusiones (nota de prensa de Cloudmark) de su proyecto piloto encaminado a combatir el creciente SPAM SMS. El denominado Servicio de Reporte de Spam (SRS, por sus siglas en inglés), fue probado por las compañías AT&T, Bell Mobility, KT, Korean Internet & Security Agency (KISA), SFR, Sprint y Vodafone en un periodo comprendido entre Marzo – Diciembre 2010.

El SRS fue desarrollado por la GSMA en conjunto con la empresa Cloudmark, y se dedica analizar el tráfico SMS para luego identificar y agregar reportes de uso indebido presentados por los abonados móviles en las distintas redes mediante un código corto al numero “7726″ (SPAM en teclado alfanumérico). Es decir, los usuarios re-envian el SMS que consideran SPAM al 7726, el sistema lo analiza, y posteriormente generará un reporte que será presentado al operador.

“Estamos encantados de ofrecer la tecnología que sustenta el Servicio de Reporte de Spam de la GSMA y continuaremos colaborando con ella y con los operadores miembros para desarrollar la plataforma SRS, realizando todos los esfuerzos para asegurar las redes de los operadores en todo el mundo”, afirmó Hugh McCartney, Director Ejecutivo de Cloudmark. “Así como el spam de mensajería tiene el potencial de generar implicaciones financieras nocivas sobre el ecosistema móvil, estamos confiados en que esta colaboración con la GSMA y la comunidad móvil global tendrá un valor significativo y duradero para el ulterior desarrollo de la industria móvil”.

Sin duda, hay unos datos muy interesantes que destacaré sobre las conclusiones del estudio realizado por la GSMA:

• - Un usuario chino puede llegar a amasar hasta 30 SMS basura diarios.
• - La mayoría del spam se origina en la red (on-network), seguido por las redes colegas (peer networks) y luego a través de los servicios de Internet.
• - Los atacantes están usando sofisticadas técnicas de modificación de mensajes y transmitiendo bajos volúmenes de mensajes desde cada número emisor, para evitar la detección durante un largo período de tiempo.
• - Cada operador de red móvil que participó en la experiencia piloto pudo identificar la fuente del spam y actuar de inmediato.

Y me quedo con este último punto, las operadores participantes estuvieron dispuestas a solucionar el problema de Spam, no valió solo recibir los reportes. Así que cada operadora que vaya a implementar el SRS deberá prestar la misma disposición, sabiendo incluso que los primeros reportes que se recibirán bien podrían ser los de su propia publicidad. Lo cierto es que el uso de un sistema como este ayudará a mantener el valor de la mensajería móvil, en especial es países donde tienen problemas serios de SPAM SMS, y ofrecer al mismo tiempo la posibilidad de que el consumidor reciba una publicidad legitima, no intrusiva.

Fuente: neosystm.com

 

• - El 70% del spam por SMS es fraude financiero
• - 1 de cada 10 spam por SMS eran de contenido adulto o pornográfico
• - Los fraudes eran de los tipos (phishing, Fraudes premium, Ingeniería Social y scam)

Top Ten Tips for Securely Managing Email

“As an IT manager, looking after your company email can be a major headache. Being one of the primary portals for security threats and other IT issues, it is vital that email is properly managed to protect assets and ensure employees remain productive,” says Leon Rishniw, senior vice president of engineering, Cloudmark.

1. Educate your employees: Educate and remind your users about the dangers of forwarding jokes, racy content, chain letters or political messages outside your network, as recipients are likely to report these as spam and your IP will get listed. You should also make your users aware that if they include a signature line that includes the company’s URL and phone/fax numbers, their emails are also likely to get blocked.

2. Educate your marketing department: Ensure your marketing department doesn’t send out newsletters/ads using your normal outbound IP, as recipients will report the mailings as spam and your IP will get listed. Outbound mail should be restrictive, filtered and encryption authenticated. Do not build opt-out mailing lists, and be very quick to remove any subscribers that do not wish to be on the list. Another point to consider is that a virus outbreak that sends email you do not know about can cause your domain or network space to become blacklisted. Lastly, force outbound mail to go through servers that you control rather than going out directly.

3. Monitor: Keeping an eye on aspects such as inbound/outbound network traffic, service traffic, inbound connection attempts and port scans can help determine if your system has been compromised or if you need to take action.

4. Control your systems: Keep your systems locked down. It is important that you restrict inbound connections to any ports that you do not need to keep open. Ensure that all PCs require SMTP authentication on outbound mail, and force mail to go through your outbound MTAs (block port 25 connections outbound).

5. Use email authentication technologies: Use email authentication technologies and understand how the technology evolves. Email authentication technology is here to stay so it is important to learn how it can be leveraged to benefit your company, both when sending and receiving emails.

6. Stay up to date with patches: It’s a bit of a cliché but you must keep up to date with patches. This is important, not only on desktop computers but on servers as well. Viruses are not the only problem; a weak web application can also be exploited. For example, it can send an email you didn’t mean to send, irritating the recipients and earning your domain or IP address a bad reputation that could interfere with your regular messaging operations.

7. Configure your email server correctly: Ensure your Internet-facing email server environment is configured to validate recipients at reception time against your local LDAP system; otherwise you’ll be generating a lot of “backscatter” traffic when your un-validated content is attempting to be delivered to your internal Exchange/Notes/Zimbra/etc. server. This will get you blacklisted very quickly.

8. Set DNS protocols correctly: Make sure your forward and reverse DNS for your outbound hosts match.

9. Other security tips: Get to know the major RBLs now rather than scrambling around when your outbound IP address inevitably gets listed due to a bot’ed PC on your network. Also, deploy BATV to ensure you don’t receive bounces for spoofed content that you never originated.

10. Watch out for ‘free’ enterprise ready software: If you are serious about protecting your users (and your job), invest in one of the top commercial anti-spam software products.

Fuente: blog.cloudmark.com

La banca online tiene un nuevo troyano: OddJob

la banca online es uno de los mayores objetivos a atacar por piratas informáticos, además de uno de los lugares más temidos por los internautas. Hoy queremos alertaros de OddJob, un nuevo troyano creado para robar dinero a aquellos usuarios que acceden a su cuenta bancaria online.

OddJob es capaz de interceptar las comunicaciones que los clientes establecen con los bancos a través de Internet Explorer o Firefox, robando la información y terminando las sesiones de los usuarios cuando lo ha hecho. Cuando un cliente está en la página web de un banco, el troyano aprovecha la sesión para suplantar al usuario y pasar por alto el cierre de sesión del cliente, de modo que la sesión no está realmente cerrada aunque el usuario lo crea así.
Para protegerse de este nuevo troyano la empresa de seguridad Trusteer recomienda instalar todas las actualizaciones de seguridad, no acceder a direcciones web desde mensajes de correo electrónico y utilizar software de seguridad que vigile el acceso a Internet.

Fuente: muyseguridad.net

Comité Nobel admite robo de información sobre posibles ganadores en Medicina

Copenhague, 23 feb (EFE).- El Comité Nobel de Medicina admitió hoy que información secreta sobre los posibles ganadores del premio le fue sustraída el año pasado antes del anuncio del galardón, otorgado al británico Robert G. Edwards por la fecundación in vitro.

El periódico "Svenska Dagbladet" había adelantado en su portada el 4 de octubre del año pasado que Edwards sería el ganador horas antes del fallo del premio, aunque el Comité Nobel dijo entonces no saber nada al respecto y negó filtraciones.

Más...


Visto en www.abc.es

Estudio: un tercio de las empresas europeas afirma que el cloud computing es clave para su estrategia TIC (IDC)

Según un estudio de IDC, un tercio de las empresas europeas afirma que el cloud computing es clave para su estrategia TIC

La falta de confianza de los departamentos de tecnología podría dificultar la adopción de la nube, según un estudio de IDC patrocinado por VMware, el fabricante más importante de soluciones de virtualización para centro de datos y escritorio.

Según el estudio de IDC, "Acelerar el éxito de la nube híbrida mediante el cambio de mentalidad en la tecnología", los próximos 24 meses supondrán un punto de inflexión para la adopción del cloud computing en Europa, debido a que un tercio de las empresas lo ven como un componente vital para su estrategia tecnológica.

El gasto comercial en servicios de nube pública para EMEA podría superar los a 18 mil millones de dólares en 2014 según este estudio. Sin embargo, el estudio advierte de que la adopción del cloud computing como alternativa real al modelo clásico sólo triunfará si se superan las barreras tecnológicas y de organización interna de las empresas.

La mayor parte de las dudas sobre la nube privada se han disipado y ya son cada vez menos las compañías que ven en la seguridad, el rendimiento y la disponibilidad -requisitos indispensables para emprender el camino hacia la nube pública-, la principal razón para no adoptarla.

Son las cuestiones internas de la organización las que actualmente pueden frenar la inclusión de la nube híbrida en los proyectos estratégicos de las organizaciones. El estudio pone de relieve algunos de los obstáculos internos, como las barreras psicológicas para aceptar que los datos y las aplicaciones se sitúen en “otro lugar fuera de la compañía”; la confusión en los papeles que juegan los administradores de la infraestructura, que puede llevar al departamento TIC a oponerse; o la presión sobre los CIOs y el personal técnico, que deben ofrecer servicios tan eficientes y rentables como los ofrecidos por los proveedores de servicios externos.

El estudio, que se puede descargar desde www.vmware.com/files/uk/pdf/IDCWP32S-web.pdf, informa sobre los obstáculos a los que se enfrentan los departamentos de tecnología y los CIOs y proporciona los pasos a seguir a la hora de ampliar la estrategia y planificación de virtualización para un entorno en la nube.

Algunos de estos consejos van desde la observación de toda la infraestructura hasta contar con una buena planificación o una correcta gestión de los servicios empresariales.

Visto en NewsLetter E.Security 21

80% de los navegadores analizados con BrowserCheck siguen siendo vulnerables

BrowserCheck es un servicio de Qualys para comprobar la seguridad de los navegadores web (incluyendo plugins comúnmente utilizados) en equipos con Windows, Mac y Linux.

Basado en los datos de uso de BrowserCheck, Qualys ha lanzado la inquietante estadística de que en enero de 2011, por cada 10 navegadores 8 siguen siendo vulnerables a los ataques dirigidos a bugs ya parcheados. Esta cifra ha oscilado entre el 65 por ciento y 90 por ciento desde julio de 2010, según una presentación a cargo de Wolfgang Kandek, CTO de Qualys.

Java es el plugin del que más problemas se derivan (40 por ciento de los casos), seguido por Adobe Reader (32%), QuickTime (25%), Flash (24%), y Shockwave (22%).

La presentación se puede descargar desde el sitio web de Qualys.

Fuente original: The Register

Visto en www.blogantivirus.com

Protocolo de actuación escolar ante el ciberbullying (EMICI)

El EMICI (Equipo Multidisciplinar de Investigación del Ciberbullying) es un grupo de trabajo que tiene como misión el desarrollo de aportaciones de alto valor añadido y carácter social a diferentes fenómenos asociados al uso de las TIC (Tecnologías de la Información y la Comunicación) y relacionados con el ciberbullying por parte de la infancia y la adolescencia con una aproximación rigurosa y multidisciplinar.

Protocolo ante el ciberbullying

El protocolo de actuación escolar ante el ciberbullying es el primer resultado de este equipo de trabajo

• Visita el web del Protocolo

El fenómeno del ciberbullying

El ciberbullying es un fenómeno de gran relevancia por su prevalencia, la gravedad de sus consecuencias y las dificultades que presenta para su prevención y abordaje. Por ello, su tratamiento ocupa un lugar destacado en las prioridades institucionales de un gran número de países de todo el mundo y, en especial, en Europa. Cuando se produce entre niños, niñas y adolescentes, los efectos pueden ser devastadores, puesto que se derivan del uso nocivo de tecnologías tan poderosas y cotidianas como Internet y la telefonía móvil.

Independientemente de que se manifieste o no en el contexto escolar, la comunidad educativa debe conocer cuál es la mejor forma de detectarlo, afrontarlo y erradicarlo, para poder así contribuir al desarrollo óptimo del alumnado. Ésta no es tarea fácil debido a las singulares características del acoso por medio de las nuevas tecnologías: anonimato, inmediatez, efecto en cadena, alta disponibilidad, diversidad de canales y procedimientos, entre otros. Este protocolo, realizado por un equipo multidisciplinar de expertos en pedagogía, sociología, psicología, nuevas tecnologías y derecho pretende aportar una guía de actuación a los centros educativos ante situaciones de esta naturaleza que se presenten en el ámbito escolar así como facilitar el entendimiento de las claves implicadas en los problemas de ciberconvivencia.

Post relacionado:- CIBERBULLYING. Guia de recursos para centros educativos en casos de CIBERACOSO

Concurso sobre investigación en Seguridad Antivirus - Premio Universitario para estudiantes (ESET)

Por sexta vez en la región, ESET Latinoamérica lleva a cabo este concurso sobre investigación en Seguridad Antivirus, pensado para distinguir la labor de los estudiantes universitarios y terciarios de toda la región.

Este emprendimiento surge con el objetivo de reconocer y premiar el trabajo y dedicación de quienes comparten con nosotros la creencia en la importancia de la investigación en la Seguridad de la Información, para prevenir los complejos ataques que comprometen al usuario.

ESET Latinoamérica seleccionará un estudiante para participar de la Edición 2011 de Virus Bulletin, la cual se realizará en la ciudad de Barcelona, España, entre el 5 y el 7 de octubre de 2011. Además se seleccionarán otros dos estudiantes para asistir a Ekoparty, en Buenos Aires, Argentina, donde también recibirán un curso brindado en forma exclusiva por ESET Latinoamérica. Además, otros dos alumnos serán premiados con libros de seguridad de la información, y las universidades de los dos mejores alumnos serán premiadas con una computadora portátil de última generación, en reconocimiento al trabajo de sus alumnos.

Bases y datos complementarios

 

Watobo, herramienta de auditorias de seguridad web

Watobo tiene por objeto permitir a profesionales llevar a cabo auditorías de seguridad en entornos Web. Está programada en FxRuby y funciona como un proxy local de forma similar a WebScarab, Paros o BurpSuite. Pueden realizarse dos tipos de controles: activo y pasivo.

Los controles pasivos son más bien funciones de filtro que se utilizan para reunir información útil, por ejemplo, correos electrónicos o direcciones IP. Los controles activos producen un elevado número de solicitudes (según el módulo de control), ya que se encargan de hacer la parte automática de la identificación de vulnerabilidades (por ejemplo SQL Injection). Algunas de sus características más destacables son: gestión de sesiones, funciones de filtro inteligente, escaner de vulnerabilidades, fuzzer, etc.

Tiene licencia GNU General Public License Version 2 y corre en plataformas Windows, Linux y Mac OS X.

• Página Web (SourceForge)
• Página Web
• Descarga - WATOBO 0.9.6 released (Febrero/2011)

Fuente: almacenplantillasweb.es



WATOBO - THE Web Application Toolbox
WATOBO is intended to enable security professionals to perform highly efficient (semi-automated ) web application security audits. We are convinced that the semi-automated approach is the best way to perform an accurate audit and to identify most of the vulnerabilities.
WATOBO has no attack capabilities and is provided for legal vulnerability audit purposes only.

Informe: Fuga de información ¿una amenaza pasajera? (ESET)

La fuga de información es una problemática que no es ninguna novedad para la industria de la seguridad de la información ya que a menudo ocurren casos que aquejan especialmente a las organizaciones, aunque también puede afectar a cualquier individuo en su ámbito personal. La pérdida de información puede ser un inconveniente muy grave para una empresa en caso de no implementar controles para que no suceda una fuga y se deben tener en cuenta medidas en el caso desafortunado que así ocurra.

En el artículo "Fuga de Información: ¿una amenaza pasajera?" se plantearán las definiciones y aspectos fundamentales para comprender el concepto de fuga de información y cuáles son sus implicancias para los entornos corporativos y privados. Además se plantean algunas medidas para minimizar los riesgos y daños que pueda ocasionar una fuga de información.

Introducción

Entre los temas más discutidos y controversiales ocurridos durante 2010 se encuentra sin duda la fuga de información, a partir del controvertido caso Wikileaks. Sin embargo es interesante destacar que el tema no es nuevo para la industria de la seguridad de la información, solo que hoy en día parece ser difícil evitarlo en las mesas de discusión sobre la privacidad y la confidencialidad en las empresas y también en el ámbito personal. Justamente estos dos últimos conceptos permiten ilustrar la idea principal que se analizará.

La confidencialidad se refiere a la característica que implica que la información sea accedida solamente por los usuarios autorizados. Por su parte, la privacidad habla más bien de una garantía de confianza respecto a la propia información y su uso, diferenciándose de lo público y de lo secreto.

Por tanto, la fuga de información es lo que ocurre cuando algún dato o activo de información que tenga valor para una organización, pasa a manos ajenas, perdiendo la cualidad de confidencialidad que le fue asignada. Esto se puede ver representado, por ejemplo, en documentos que pasan a ser accesibles por personas no autorizadas, o también por cualquier dato secreto que alguien interno le facilite a un externo sin pasar por un medio digital. Se desarrollarán a continuación los conceptos necesarios para entender en mayor profundidad la fuga de información, partiendo de algunos casos representativos de los últimos años, y atravesando las clasificaciones básicas del problema: por su naturaleza (técnica o humana) y por el contexto en que se da (corporativo o personal); además de presentar los consejos asociados a cada uno de los contextos.

Descarga del Informe

Autor: Federico Pacheco, Gerente de Investigación y Educación de ESET Latinoamérica

Lección 5: Seguridad perimetral (intypedia)

El siguiente video realizado por el equipo de producción de intypedia nos presentan las herramientas básicas a tener en cuenta para comenzar a diseñar una red segura.

Nos introducen en los conceptos asociados a la zona desmilitarizada DMZ, a la protección de redes y hacen una breve introducción al papel que juegan los cortafuegos, los detectores de intrusos y honeypots, así como el control del tráfico en nuestra red.

Documentos relacionados:

• - Guión [PDF][945KB]
• - Diapositivas [PDF][856KB]
• - Ejercicios [PDF][340KB]

Autor: Alejandro Ramos Fraile, SIA.

Cinco expertos en tendencias de seguridad de nube hacen vaticinios para el 2011

CSO Security and Risk ha emitido un informe sobre los cinco principales temas de seguridad del 2011 y sobre qué aspectos hay que prestar atención, según el criterio de los profesionales de CSO y otros especialistas en temas de seguridad informática.

Los expertos señalan que en el 2011 existe la necesidad de lograr mejor control de acceso y gestión de identidad. “La nube por naturaleza está muy virtualizada y federatizada, y es preciso enfocarse hacia el establecimiento de un buen control y gestión de identidad en su nube propia y en las de los demás”, expresa Alan Boehme, vicepresidente senior para estrategia y arquitectura informática en la firma de servicios financieros ING.

Boehme señaló que, aunque existen productos y servicios de terceros que se orientan a esos temas, él se ha percatado de que resultan inapropiados para las grandes empresas que emplean una mezcla de componentes heredados y de nube.

Lea el artículo completo, en inglés.  

Fuente: idnoticias.com

 

Páginas web del Ministerio de Cultura fueron "hackeadas" (Venezuela)

Publicado: jueves 24 de febrero de 2011 12:00 AM

Alrededor de las 11:00 de la mañana de ayer un mensaje sustituía a la página principal del site del Ministerio de la Cultura: "Hacked by kaMtiEz". Pero no fue el único sitio hackeado. En www.zone-h.org/archive/notifier=kaMtiEz, una lista daba cuenta de otros sitios del Estado venezolano que sufrieron ataques cibernéticos: la página web de la Cinemateca Nacional, la de la Villa del Cine, la del Instituto de las Artes, la Imagen y el Espacio (Iartes), Editorial El Perro y la Rana y Misión Cultura.

Si bien el site del Ministerio de la Cultura fue restablecido ayer mismo en la mañana, en horas de la tarde la página de la Villa del Cine decía "Servidor en mantenimiento". Igual ocurría con la de la Cinemateca Nacional, Iartes y El Perro y la Rana. En la página http://www.misioncultura.gob.ve/ aparecía el mensaje: "Forbidden. You don't have permission to access / on this server (Sin acceso)".

Desde el Ministerio de la Cultura no hubo información alguna en torno al ataque a sus principales páginas.

Fuente: eluniversal.com

Informe Especial sobre Seguridad en iPad (S21sec)

La compañía de seguridad digital S21sec presenta su primer ‘Informe Especial sobre Seguridad en iPad’. El estudio incluye los datos recogidos por la unidad S21sec e-crime a lo largo de 2010 y pretende constituir una radiografía que refleje la situación de seguridad actual de este tipo de dispositivos que ha incrementado sus ventas de manera vertiginosa el pasado año con más 15 millones de unidades vendidas. El documento refleja las amenazas a las que se enfrentan, así como las medidas y recomendaciones existentes frente a los riesgos habituales ya que el terminal de Apple se ha convertido en el claro dominador del mercado con el 90% de las ventas de ‘tablets’.

El mercado de los iPad es un sector que está en el punto de mira de los ciberdelincuentes por su imparable crecimiento y sus previsiones de ventas de cara a los próximos tres años, periodo en el que la compañía estima que venderá 115 millones de unidades de esta tecnología. Como consecuencia de esto, las mafias existentes han ampliado sus horizontes de actuación y han incluido este ‘goloso dispositivo’ entre sus objetivos.



¿Cómo pueden los usuarios luchar contra el fraude en su iPad?

Nunca está de más seguir una serie de precauciones para evitar ser víctimas de este tipo de fraude:

• - Establecer una contraseña de desbloqueo.
• - Proteger nuestro dispositivo frente a pérdida o robo implementado la política de borrado remoto o borrado de datos tras 10 intentos de autenticación.
• - No realizar ‘jailbreak’ en los dispositivos.
• - Mantener el sistema actualizado para evitar agujeros de seguridad.
• - Cuando se realicen copias de información o volcado de datos debemos asegurarnos de emplear las medidas que garanticen la confidencialidad y integridad de nuestra información.
• - Activar protocolos de cifrado de tráfico siempre que sea posible y conectarnos a la red desde puntos que sean de confianza.
• - El iPad no está diseñado como un ordenador multiusuario, por lo tanto los documentos de trabajo estarán expuestos a los usuarios con los que compartamos nuestro tablet.
• - Corroborar que las aplicaciones instaladas en nuestro iPad llevan el certificado facilitado por Apple para garantizar que no han sido manipuladas.

Principales conclusiones del ‘Informe Especial sobre Seguridad en iPad”:

• - Control del software instalado: Tanto el software instalado como la gestión de actualizaciones son cruciales a la hora de garantizar la seguridad de la información.
• - Habilita en tu iPad los mecanismos de seguridad para que tus datos y tus conexiones no puedan ser utilizados por usuarios ajenos.
• - Posibilidad de borrado remoto controlado.

El uso cada vez más habitual de estos terminales va abriendo el mercado para que vayan apareciendo diversas soluciones comerciales orientadas a minimizar el impacto en materia de seguridad que puede suponer su uso no autorizado, su robo, y la información que contienen.

Estos datos se han extraído del ‘Informe Especial sobre Seguridad en iPad’, elaborado por la unidad S21sec e-crime.

 Este informe puede descargarse aquí.

Informe sobre análisis de tráfico con Wireshark (INTECO)

INTECO-CERT presenta el informe "Análisis de tráfico con Wireshark" que pretende servir de apoyo a administradores y técnicos de seguridad a la hora de analizar tráfico para detectar problemas o ataques de red.

Seguramente todo administrador de redes ha tenido que enfrentarse alguna vez a una pérdida del rendimiento de la red que gestiona. En ese caso sabrá que no siempre es sencillo, por falta de tiempo y recursos o por desconocimiento de las herramientas apropiadas, tener claros los motivos por los que esto ha sucedido. En ocasiones, incluso se ha podido llegar a perder la conectividad o bien ciertos equipos han podido desconectarse sin motivo aparente.

En cualquier caso, conocer el origen del incidente es el primer paso para poder tomar las contramedidas necesarias y conseguir una correcta protección. En este punto, los analizadores de tráfico pueden resultar de gran utilidad para detectar, analizar y correlacionar tráfico identificando las amenazas de red para, posteriormente, limitar su impacto.

Con tal propósito, existen en el mercado dispositivos avanzados como el appliance MARS (Monitoring, Analysis and Response System) de Cisco o IDS/IPS basados en hardware de diversos fabricantes. Pero estas soluciones no siempre están al alcance de todas las empresas ya que su coste puede que no cumpla un principio básico de proporcionalidad (el gasto es superior al beneficio obtenido) y, por lo tanto, no se justifique su adquisición.

Por ello, y para cubrir las necesidades de entidades con infraestructuras tecnológicas más modestas, INTECO-CERT presenta esta "Guía de análisis de tráfico con Wireshark". Tiene por objeto sensibilizar a administradores y técnicos de las ventajas de auditar la red con un analizador de tráfico, principalmente utilizando la herramienta libre Wireshark. Además, ofrece ejemplos prácticos de ataques en redes de área local bastante conocidos y que actualmente siguen siendo uno de los mayores enemigos en los entornos corporativos.

El informe se encuentra disponible en la siguiente dirección web:

• Análisis de tráfico con Wireshark.

 

Windows 7 Service Pack 1 disponible para todos

Microsoft anunció que el primer service pack para Windows 7 y Windows 2008 R2 estará en sus servidores para la descarga desde el 22 de Febrero. La compañía había enviado el código final a sus socios OEM el 9 de febrero, luego a los clientes MSDN, suscriptores de TechNet y los compradores al por mayor el 16 de febrero, pero ahora cualquier persona puede descargarlo a través del Centro de Descargas Microsoft o las actualizaciones de Windows.

¿Qué puedes esperar del SP1? Para Windows Server 2008 R2, habrán dos opciones que afectan directamente la plataforma de virtualizacion: la Memoria Dinámica Microsoft y el Microsoft RemoteFX. El primero ofrece controles directos para la memoria de la maquina virtual, mientras que el segundo ofrece una interfaz grafica 3D para los usuarios remotos. Para Windows 7, la actualización es principalmente una recopilación de parches menores y actualizaciones previas que probablemente ya tienes instaladas, pero también incluye una versión actualizada del cliente Remote Desktop que toma ventaja del RemoteFX.

Cualquiera sea el caso, el lanzamiento de Windows 7 SP1 es un importante hito que podría ayudar aun más a la adopción del sistema operativo entre los clientes corporativos, que típicamente esperan que hasta que Microsoft filtre las impurezas antes de dar el paso.

Vale la pena mencionar que los usuarios que tengan instaladas versiones anteriores del SP1, como el beta o release candidate, tendrán que desinstalar estas antes de descargar la versión final. Las instrucciones para desinstalar el service pack están disponibles aquí.

Fuente: /www.techspot.com


Cómo instalar Windows 7 Service Pack 1 (SP1)  [Microsoft]

Congreso: ADWYS CON '11

ADWYS CON 2011 es un congreso cuyo objetivo es la difusión de conocimientos relacionados con la ingeniería web y la seguridad informática. Tendrá lugar durante los días 23, 24 y 25 de febrero del 2011 en la Universidad de Cádiz.

Este es llevado a cabo por ADWYS, Asociación de Diseño Web y Seguridad de la Universidad de Cádiz, con la intención de formar de una manera práctica y divulgar los últimos avances, que se dan o se esperan dar, de las tecnologías pertenecientes a ambos sectores.

Programa

Ponentes

CIBERBULLYING. Guia de recursos para centros educativos en casos de CIBERACOSO

Edita: Defensor del Menor en la Comunidad de Madrid (España)
Madrid. Enero, 2011

Guía práctica que trata de facilitar a los Equipos Directivos y tutores de los centros educativos materiales para una eficaz intervención en los casos de Ciberbullying que se presentan o detectan en los centros.

Esta Guía está abierta a aportaciones y sugerencias de los docentes.

Descarga de Guia PDF

Presentación de la Guía “Ciberbullying: guía de recursos para centros educativos en casos de ciberacoso”

EL DEFENSOR DEL MENOR OFRECE PAUTAS DE ACTUACIÓN A LOS CENTROS ESCOLARES PARA PREVENIR Y ABORDAR EL FENOMENO DEL CIBERACOSO

- Se trata de la primera publicación en este sentido y pretende ser un material de trabajo para la acción docente, dirigida a tutores y directivos de centros.

- Destaca la necesidad de prevenir, educando en el buen uso de Internet desde la Educación Primaria.

- Las pautas de actuación, una vez detectado el ciberacoso, deben dirigirse a los alumnos implicados, sus compañeros, las familias y los profesores.

Más ..


Post relacionado:
- CIBERBULLYING o Ciberacoso: Que es?

Disponible Número 31 de e.Security Europe & Latam Security

Ya se encuentra disponible la descarga del último ejemplar de la revista dedicada a la seguridad de la información "e.Security".

• - Visor Online Multi Services
• - PDF Descargar

 

 

The 2011 Global Security Report (Trustwave )

Fraude con tarjetas de Creditos

El estudio, que involucró a más de 220 empresas de 15 países diferentes, se publica anualmente y tiene como principal objetivo el mapeo de las vulnerabilidades en los sistemas corporativos y los pagos electrónicos.

SpiderLabs, laboratorio de Seguridad de Trustwave, basado en análisis de invasión a sistemas de información de empresas, anunció hoy el informe Global de Seguridad 2011. Es el mayor estudio que la realiza la empresa anualmente sobre las vulnerabilidades en los sistemas de seguridad en la red global con base en estudios de casos y pruebas de penetración realizados en cientos de sitios web y servidores en las transacciones comerciales.

En su versión 2011, el informe tuvo en cuenta más de 2000 pruebas de penetración realizadas por los técnicos de SpiderLabs en alrededor de 220 empresas en más de 15 países diferentes.

La principal conclusión es que en el 85% de los casos se ha detectado en estos sistemas al menos un punto de amenaza o vulnerabilidad.

Otra conclusión del estudio es que en esta gran proporción de sistemas amenazados el 90% registraron incidentes efectivos tales como robo de contraseñas o datos confidenciales. Las pruebas muestran que no sólo sucede con los sistemas sin protección sino que los delincuentes son cada vez más especializados en nuevas tecnologías con el propósito de defraudar a las compañías.

Más...

Visto en analitica.com

Descarga (PDF, EN. 59 Pag.)

Un 4% de los jóvenes se ha hecho fotos o vídeos provocativos (España)

Guía sobre adolescencia y sexting: qué es y cómo prevenirlo


Inteco y Pantallas Amigas presentan una guía para prevenir el "sexting"

El 8,1% de los adolescentes españoles declara haber recibido en su móvil fotos o vídeos de chicos conocidos en una postura sexy.

Un 4% de los chavales de 10 a 16 años reconoce haberse hecho a sí mismo fotos o vídeos en una postura sexy (no necesariamente desnudos ni eróticas) utilizando el teléfono movil.

Son datos recogidos en una guía que presentaron este viernes el Inteco (Instituto Nacional de Tecnologías de la Comunicación) y Pantallas Amigas, destinada a prevenir la difusión de contenidos de tipo sexual, a través del móvil u otro dispositivo tecnológico, generalmente producidos por el propio remitente.

Es lo que los expertos denominan como "sexting", un fenómeno "todavía muy incipiente en España, pero con mayor presencia en otros países como Estados Unidos", según explicó Pablo Pérez, gerente del Observatorio de la Seguridad de la Información, del Inteco.

El "sexting" no es exclusivo de adolescentes, pero la guía va destinada a este colectivo por ser un grupo "especialmente vulnerable"a este tipo de publicaciones nocivas de imágenes, ya que, en palabras del director general de Inteco, Víctor Izquierdo, son "muy confiados y no tienen una conciencia clara de los riesgos".

El manual avisa a padres e hijos de los riesgos de que fotografías o vídeos de contenido sexual caigan en manos de la persona inadecuada, porque pueden constituir un elemento para chantajear al protagonista de las imágenes.

Se lo conoce como "sextorsión". Esta conducta también puede acarrear consecuencias legales, por la tipificación de la difusión de imágenes sexuales; daños psicológicos a la víctimas y riesgos físicos por la geolocalización que permiten los nuevos móviles.
A los padres, la guía les aconseja que no se desentiendan de la factura del teléfono de sus vástagos (el porcentaje de menores que practican "sexting" se quintuplica entre los menores que pagan totalmente sus gastos de móvil) y que favorezcan la ubicación del ordenador en un lugar común de la casa. "Para los padres, es complicado el 'sexting', porque tienen poco margen de actuación", comentó Jorge Flores, de Pantallas Amigas. "Se trata del cuerpo de su hijo y del móvil de su hijo.

Por eso, deben trabajar sobre todo en que los chicos tomen conciencia de la cultura de la intimidad y la privacidad". La guía está disponible en las webs de Inteco y Pantallas Amigas ("inteco.es" y "pantallasamigas.net) y también podrá consultarse en operadores de telefonía móvil y redes sociales como Twitter.

Descarga Guia

Infrastructure Planning and Design Guide for Malware Response (Microsoft) Updated: February 17, 2011

Muchas organizaciones pequeñas y medianas usan software antivirus y, no obstante, nuevos virus, gusanos y otras formas de software malintencionado (malware) siguen infectando un gran número de equipos en estas organizaciones. El malware prolifera a una velocidad alarmante y de muchas maneras diferentes, lo que hace que esté muy extendido en la actualidad.
Esta guía está dirigida a los asistentes de TI que desean obtener información y recomendaciones que puedan usar para tratar y limitar de forma eficaz el malware que infecta equipos en organizaciones pequeñas y medianas.


A new version of this guide went live – I think something, you should look at. There is a methodology and a process in detail:

Figure 1. Respond to a malware incident at a high level 



Descarga Guia

Launch the download of the entire Infrastructure Planning and Design Guide series.

 

In More Detail - The Malware Response Guide includes the following content:

Step 1: Confirm the Infection
Step 2: Determine the Course of Action
Step 3: Attempt to Clean the System
Step 4: Attempt to Restore the System State
Step 5: Rebuild the System
Step 6: Conduct Post Attack Review

This guide is one in a series of planning and design guides that clarify and streamline the planning and design process for Microsoft infrastructure technologies. The goal of this guide is to provide processes and tasks to help determine the nature of the malware problem, limit the spread of malware, and return the system(s) to operation.
When a malware attack occurs, there are a number of factors that must be considered quickly and simultaneously to restore service to the system. Some of these factors are, indeed, conflicting. Understanding how the system was compromised, while simultaneously returning the system to operation as quickly as possible, is a common conflicting issue that this guide addresses. This malware response guide does not resolve this conflict; the reader must do so based on the priorities of the business.
When deciding which course of action to take to get the attack under control and restore the system to normal as quickly as possible, consider the following:
The amount of time required and available to restore the system to normal operations.
The resources needed and available to perform the work.
The expertise and administrative rights of the personnel performing the recovery.
The cost to the business that could result from data loss, exposure, and downtime.
All of these items will influence the decisions and the risk the organization is willing to accept when responding to and recovering from a malware attack.



 
 

Software Integrity Controls: An Assurance-Based Approach to Minimizing Risks in the Software Supply Chain

Como complemento a la "Guía de Código Seguro: Fundamental Practices for Secure Software Development 2ND EDITION" publicada por SAFECode se encuentra también con acceso publico el documento publicado a mediados del 2010 titulado "Software Integrity Controls: An Assurance-Based Approach to Minimizing Risks in the Software Supply Chain"

As the first industry-developed guidance on software integrity practices, this paper builds upon the Software Supply Chain Integrity Framework released in July 2009 and provides actionable recommendations for minimizing the risk that vulnerabilities could be inserted into a software product during its sourcing, development and distribution.

Download  (pdf) 2.3M

 

 

Adobe Reader sigue siendo blanco de los ataques cibernéticos

Adobe Reader es el software de lectura de PDF más popular del mercado y por ello es que los cibercriminales se enfocan en encontrar maneras de explotar sus vulnerabilidades para infectar los sistemas. Por este motivo, muchos expertos en seguridad informática aconsejan utilizar otro software para leer archivos PDF.

 

Las estadísticas para enero del sistema de seguridad ThreatNet de GFI Labs, también muestran una presencia continua y destacada de los falsos productos de seguridad y de los troyanos.

 

Más...

 

 

Visto en www.elimpulso.com

 

Los ciberataques son "inevitables" lo dice la agencia de seguridad de EEUU

SAN FRANCISCO — The US National Security Agency (NSA) chief on Thursday urged top computer security specialists to harden the nation's critical infrastructure against inevitable destructive cyber attacks.

"This is an important time," NSA and Cyber Command director Gen. Keith Alexander said during a presentation at a premier RSA Conference in San Francisco.

"Most of the destructive tools being developed haven't been used; we need to use this window of opportunity to develop defenses."

Two days earlier, Deputy Secretary of Defense William Lynn gave a similar warning, saying the capability clearly exists for malicious software to cause real-world damage at power plants, water supplies and other vital points.

More...

Informe: Malware en Smartphones (CNCCS)

El CNCCS presenta el “Informe sobre Malware en Smartphones”.

El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS) es una organización privada que cuenta con los asociados: AEDEL, Amper, Bdigital, EIIEO, Eside Deusto, Hispasec, Indra, Informática 64, Isec Auditors, Kinamik, Optenet, Panda Security, S2grupo, Secuware, TB security y S21sec. Su misión es poner a disposición de las diversas organizaciones que operan en España, gubernamentales o no, el conocimiento y experiencia de sus miembros en asuntos relacionados con la ciberseguridad nacional o global; con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciar la innovación y el crecimiento económico.

Los dispositivos móviles han ido evolucionando hasta converger prácticamente en cuanto a funcionalidades con los ordenadores personales, hecho que se traduce en un notable incremento en la usabilidad de los móviles en cualquier ámbito. Pero como nota negativa debemos destacar un aumento en los riesgos que se asocian a los mismos.

La generalización de la oferta de tarifas planas para smartphones ha supuesto una popularización de estos dispositivos totalmente vertiginosa, pero el problema es que los usuarios no son conscientes de los peligros que entraña no tener protegido su terminal ni de la cantidad de información personal que se almacena en el mismo. Como consecuencia de esto, las mafias existentes han ampliado sus horizontes de actuación y han incluido este sector entre sus objetivos. Un objetivo de gran crecimiento y alta remuneración.

La limitada concienciación en lo referente a seguridad de los usuarios de estos dispositivos y el consecuente comportamiento pueden ser los factores de mayor riesgo para los smartphones a corto plazo. Es de gran importancia comprender que un dispositivo móvil de estas características ya no es un simple teléfono y no puede ni debe ser tratado como tal.

El CNCCS propone una serie de buenas prácticas para ayudarnos a proteger nuestros dispositivos móviles:

• * Habilitar medidas de acceso al dispositivo como el PIN o contraseña si está disponible.
• * Configurar el smartphone para su bloqueo automático pasados unos minutos de inactividad.
• * Antes de instalar una nueva aplicación revisar su reputación. Sólo instalar aplicaciones que provengan de fuentes de confianza.
• * Prestar atención a los permisos solicitados por las aplicaciones y servicios a instalar.
• * Mantener el software actualizado, tanto el Sistema Operativo como las aplicaciones.
• * Deshabilitar características mientras no se usen: Bluetooth, infrarrojos o Wi-fi.
• * Configurar el Bluetooth como oculto y con necesidad de contraseña.
• * Realizar copias de seguridad periódicas.
• * Cifrar la información sensible cuando sea posible.
• * Utilizar software de cifrado para llamadas y SMS.
• * Siempre que sea posible no almacenar información sensible en el smartphone, asegurándose que no se cachea en local.
• * Al deshacerse del smartphone borrar toda la información contenida en el smartphone.
• * En caso de robo o pérdida del smartphone informar al proveedor de servicios aportando el IMEI del dispositivo para proceder a su bloqueo.
• * En determinados casos pueden utilizarse opciones de borrado remoto o automático (después de varios intentos de acceso fallidos).
• * Monitorizar el uso de recursos en el smartphone para detectar anomalías.
• * Revisar facturas para detectar posibles usos fraudulentos.
• * Mantener una actitud de concienciación en el correcto uso de estos dispositivos y los riesgos asociados.
• * Extremar la precaución al abrir un correo, un adjunto de un SMS o hacer click en un enlace. Cabe destacar que esta fue una de las vías de entrada del Zeus-Mitmo.
• * Desconfiar de los archivos, enlaces o números que vengan en correos o SMS no solicitados.
• * Evitar el uso de redes Wi-fi que no ofrezcan confianza.
• * Tener en cuenta este tipo de dispositivos en su política de seguridad corporativa

Visto en www.laflecha.net / www.inteco.es

Descarga de informe

CLOUD COMPUTING: Son seguras las soluciones en la nube?

.

Esta es una de las presentaciones del evento "Gira Up To Secure 2011" el resto de las charlas se pueden ver en el blog Un informático en el lado del mal.

Impacto de los estándares de seguridad de la información

Multitud de organizaciones públicas y privadas están creando, manteniendo y auditando sus políticas de seguridad informática, atendiendo por un lado a lo que ya se empieza a entender como necesidades básicas del negocio concreto y, por otro lado, a las recomendaciones básicas sobre este asunto que se han ido proporcionando en los últimos años desde organizaciones como la OCDE [1] o el Consejo de Europa [2]. Para ello todas utilizan, de una u otra forma, distintos tipos de normas y estándares de seguridad informática, pero ¿se conoce realmente el alcance del uso de cada una de esas normas?, ¿se están usando las que más les conciernen o las que más les convienen?. Este trabajo tiene como objetivo hacer un análisis de las principales normativas de seguridad informática, las organizaciones que las soportan, las que permiten obtener certificaciones, su importancia y significado dentro de las políticas de seguridad informática y su uso y aceptación en España.

 Introducción

El mantenimiento de la seguridad de las redes, sistemas, aplicaciones y datos de una organización se percibe hoy en día como una necesidad básica para la consecución de los objetivos últimos de la organización, sea ésta del tipo que sea. Además, y seguramente como consecuencia de lo anterior, son constantes las noticias que hablan de mayores inversiones en seguridad informática, tanto en el sector privado como en las administraciones públicas. En este sentido, se pueden consultar las referencias [3] y [4] que aparecen al final de este artículo. Parece lógico pensar que en España la razón no es únicamente el haberse dado cuenta de pronto de las necesidades citadas, sino la incidencia, en el día a día de muchas organizaciones, de la puesta en vigor de leyes como la Ley Orgánica de Protección de Datos (LOPD), la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE) o la Ley de la Firma Digital (LFD). También el tan deseado despegue completo de todo tipo de servicios de comercio electrónico funciona como catalizador para estas posibles inversiones. Sea como sea, se está hablando de inversiones, lo que quiere decir que en cualquier entorno se mirará en detalle el retorno de la inversión.

Es razonable pensar que se está en una situación en la que, cada vez más, los responsables de la seguridad informática deberán rendir cuentas y tendrán que demostrar que sus políticas de seguridad, y los procedimientos y programas a los que las políticas dan lugar, son eficaces y tienen un valor importante para la organización. Ante tal perspectiva es lógico que los responsables traten de cubrirse las espaldas o, siendo mejor intencionados, que traten de hacer lo mejor posible su trabajo. Para ello, uno de los procedimientos más habituales es buscar qué estándares de seguridad informática existen y cómo se alinean con la situación concreta de su organización. Tales responsables han de enfrentarse con una verdadera “sopa de letras” que forma el campo de la industria (que lo es) de las certificaciones de seguridad.

Las distintas normas (o estándares) de seguridad existentes forman ya una parte importante de cualquier entorno de seguridad y se puede afirmar que sirven de base fundamental para dos aspectos esenciales de la seguridad informática de las organizaciones: 1- Sirven como refuerzo normativo, como soporte técnico e intelectual para los procesos y procedimientos de seguridad mínimos. 2- También sirven para poner un poco de orden entre la tremenda diversidad de productos de hardware, software, sistemas, redes y aplicaciones, permitiendo discernir la compatibilidad entre todos ellos. En teoría, los estándares proponen una solución neutral, al establecer metodologías que permiten poner de acuerdo los intereses de los fabricantes y de los usuarios, proporcionando, por supuesto, seguridad y fiabilidad. Pero, si se hace mal, podría ser que las normas se empleasen para favorecer unos productos (o unos servicios) de ciertos fabricantes frente a otros. Se podría estar favoreciendo la mediocridad y evitando la innovación. Desde luego, lo imprescindible es conocer lo mejor posible esta industria de la certificación y, para ello, se va a realizar un análisis de los principales estándares de seguridad, de las principales organizaciones dedicadas a su creación, mantenimiento y a la certificación del cumplimiento de los estándares. Se tendrán en cuenta como criterios de análisis los siguientes:

1- ¿Qué objetivos pretenden cubrir las normas?.

2- ¿Qué organización crea y mantiene las normas?.

3- ¿Cómo se consigue un certificado de cumplimiento, si lo hay?.

4- ¿Cuánta aceptación ha despertado?.

5- ¿Cuál es su situación actual en el panorama español?.

Teniendo en cuenta la gran cantidad de normas sobre seguridad informática existentes parece lógico empezar por hacer una primera clasificación basada en lo que pretenden conseguir. En este sentido, se pueden clasificar como:

1- Estándares de criterios y marcos generales de seguridad.

2- Estándares técnicos relacionados con la seguridad de redes y sistemas.

 3- Estándares relacionados con el desarrollo de aplicaciones seguras.

4- Estándares relacionados con la certificación personal en asuntos relacionados con la seguridad informática.

Más...

Fuente: www.idg.es