Las mayores falencias de ISO 27001

'By 'Dejan Kosutic on March 22, 2011

Si usted ha estado leyendo mi blog, probablemente piense que estoy convencido de que la norma ISO 27001 es el documento más perfecto que jamás se haya escrito. Pero, en realidad, no es así. Trabajando con mis clientes y enseñando sobre el tema, generalmente surgen las mismas debilidades de esta norma. A continuación detallo cuáles son esas debilidades y mis sugerencias sobre cómo resolverlas:

Términos ambiguos

Algunos de los requisitos de la norma no son muy claros:

• El punto 4.3.1 c) indica que la documentación del SGSI debe incluir… “procedimientos y controles que respalden el SGSI”. ¿Esto significa que se debe redactar un documento para cada uno de los controles que se aplican (hay 133 controles in el Anexo A)? En mi opinión, no es necesario. Generalmente sugiero a mis clientes que redacten solamente las políticas y procedimientos que son necesarios desde el punto de vista operativo y para disminuir los riesgos. Todos los demás controles pueden ser detallados en la Declaración de aplicabilidad ya que esta declaración debe incluir la descripción de todos los controles que se implementan.
• Políticas y procedimientos (no) documentados: en muchos controles del Anexo A se mencionan políticas y procedimientos sin la palabra “documentado”. En efecto, ello implica que no es necesario redactar esas políticas y procedimientos, pero esto no queda claro para el 95% de quienes leen la norma.
• Entidades externas y terceros: se utilizan indistintamente estos términos, lo que puede generar confusión. Sería mucho mejor si se utilizara solamente un único término.

Organización de la norma

Algunos de los requisitos de la norma están dispersos o innecesariamente duplicados:

• Algunos controles directamente están ubicados en el lugar incorrecto; por ejemplo, el punto A.11.7 Computación móvil y tele-trabajo está ubicado en la sección A.11 Control de acceso. Si bien cuando se trabaja con computación móvil es necesario tener cuidado con el control de acceso, la sección A.11 no es el lugar más natural para definir temas relacionados con computación móvil y tele-trabajo.
• Los temas relacionados con las entidades externas están dispersos por toda la norma: se los puede encontrar en A.6.2 Entidades externas, en A.8 Seguridad relacionada con el personal y en A.10.2 Gestión de entrega de servicios de terceros. Con el avance de la “computación en la nube” y otros tipos de tercerización, es aconsejable reunir todas esas reglas en un documento, o en un conjunto de documentos, que se encargue de las entidades externas.
• La formación y concienciación de los empleados es requerida tanto por el punto 5.2.2 de la parte principal de la norma como por el control A.8.2.2. Esta duplicación no solamente es innecesaria, sino que genera mayor confusión. En teoría, cada control del Anexo A podría ser excluido, pero usted podría terminar excluyendo un requisito que en realidad no se puede excluir porque es requerido por la parte principal de la norma. Lo mismo ocurre con la Auditoría interna (punto 6 de la parte principal de la norma) y el control A.6.1.8 Revisión independiente de la seguridad de la información.
• Algunos de los controles del Anexo A pueden ser aplicados en forma realmente amplia y pueden incluir otros controles; por ejemplo, el control A.7.1.3 Uso aceptable de los activos es tan general que podría abarcar, por ejemplo, a los controles A.7.2.2 (Manejo de información clasificada), A.8.3.2 (Devolución de los activos después de terminar el trabajo), A.9.2.1 (Protección de los equipos), A.10.7.1 (Gestión de medios removibles), A.10.7.2 (Eliminación de medios), A.10.7.3 (Procedimientos de manejo de la información), etc. Generalmente, les aconsejo a mis clientes que redacten un único documento que comprenda a todos estos controles.

¿Problemas o no?

Estos son algunos temas que a menudo aparecen como problemáticos; sin embargo, para mí no es así:

• La norma es muy imprecisa, no contempla el nivel de detalle suficiente. Si fuera más detallada sobre la tecnología que se utilizará, en poco tiempo quedaría desactualizada y si fuera más detallada sobre los métodos y/o soluciones organizativas, no podría aplicarse a todos los tamaños y tipos de organizaciones (un gran banco debe ser organizado de una forma bastante diferente que una pequeña agencia de mercadotecnia; sin embargo, ambas instituciones podrían implementar la norma ISO 27001).
• La norma permite demasiada flexibilidad: con esto, los críticos apuntan al concepto de evaluación del riesgo, en el que determinados controles de seguridad pueden ser excluidos si no existen riesgos relacionados. Entonces preguntan “¿Cómo es posible excluir la creación de copias de seguridad o la protección antivirus?” En realidad, con el progreso de las tecnologías del tipo “computación en la nube”, esta clase de protección podría no ser responsabilidad de la organización que implementa la norma ISO 27001; aunque, en el caso que los riesgos de tercerización sean un poco elevados, se necesitaría otro tipo de controles de seguridad.

¿Y ahora qué?

Esta norma seguramente necesitará un cambio. La versión actual de la ISO/IEC 27001:2005 ya tiene seis años y es de esperar que la próxima revisión (para 2012 o 2013) se ocupe de la mayoría de los temas mencionados arriba.

Aunque estas falencias muchas veces pueden provocar confusiones, creo que todos los aspectos positivos de la norma valen mucho más que los negativos. Y sí, estoy realmente convencido de que esta norma es, por mucho, el mejor marco para la gestión de la seguridad de la información.

Fuente: blog.iso27001standard.com/

Nuevo documento del NIST: Managing Information Security Risk: Organization, Mission, and Information System View

NIST Computer Security Division Released Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View

March 1, 2011

The National Institute of Standards and Technology (NIST) announces the final publication of Special Publication 800-39, Managing Information Security Risk: Organization, Mission, and Information System View. NIST Special Publication 800-39 is the fourth in the series of risk management and information security guidelines being developed by the Joint Task Force Transformation Initiative, a joint partnership among the Department of Defense, Intelligence Community, NIST, and the Committee on National Security Systems. 

NIST Special Publication 800-39, the capstone publication in the Joint Task Force publications, provides guidance to federal agencies and their contractors on how to manage information security risk associated with the operation and use of information systems. For decades, organizations have managed risk at the information system level. This information system focus provided a very narrow, stovepiped, perspective that constrained risk-based decisions by senior leaders/executives to the tactical level—devoid, in many cases, of any direct linkage or traceability to the important organizational missions/business functions being carried out by enterprises. The concentration on information systems security resulted in a focus on vulnerability management at the expense of strategic risk management applied across enterprises.

Download






 

Cisco 2010 Annual Security Report

Read Security Reports for Trends and Predictions

The Cisco 2010 Annual Security Report includes information on:

• Criminals' exploitation of trusted relationship and expansion to new targets
• Increased campaigns to gain revenue, steal corporate secrets, or disrupt industrial processes
• Prime attack methods, including exploiting mobile device usage
• Social networking threats and the use of money mules to launder illegal profits

Download

Cisco 2010 Annual Security Report (PDF - 4.2 MB)

The Cisco Annual Security Report provides an overview of the combined security intelligence of the entire Cisco organization. The report encompasses threat information and trends collected between January and December 2010.
It also provides a snapshot of the state of security for that period, with special attention paid to key security trends expected for 2011.

Insect Pro 2.5 released

Se encuentra disponible una nueva versión de la herramienta para auditoría de seguridad y de pruebas de penetracion  Insect Pro.

INSECT Pro 2.5 is a penetration security auditing and testing software solution designed to allow organizations of all sizes mitigate, monitor and manage the latest security threats vulnerabilities and implement active security policies by performing penetration tests across their infrastructure and applications.

The product’s user friendly interface has -among other options- the choice between an offensive and inoffensive attack that gives the user the ability to make different kinds of attacks.

México, octavo lugar mundial en robo de identidad

Agencias
MÉXICO, D.F.- El robo de identidad en México se ha ido agravando en los últimos años a causa de la facilidad que otorga internet para la sustracción de información de los equipos de cómputo, además de que las personas no toman medidas preventivas facilitando aún más su incidencia, señalan especialistas, informó Milenio.com.

En ese sentido, México se ubica en el octavo lugar a escala global en robo de información personal. En conferencia, Alfonso Flores, director general de CPP México, señaló que un estudio realizado por Ipsos concluyó que 92 por ciento de los mexicanos les preocupa ser víctima de este tipo de actos; sin embargo, 43 por ciento nunca revisa sus estados de cuenta y 49 por ciento responde encuestas con sus datos personales por vía electrónica y sin ninguna precaución.

"La obtención de información no sólo se puede darse de forma digital, también por medios físicos como son los recibos bancarios, los cuales tiramos a la basura sin precaución; además este tipo de casos no respeta ni edad, género o posición socioeconómica", abundó.
Flores indicó que los menos precavidos son los jóvenes entre 18 a 24 años, debido a que realizan movimientos más arriesgados principalmente en el uso de la red y sus tarjetas de crédito o débito.
"Se debe destacar que 11 por ciento de los mexicanos seguimos dando información de forma telefónica, a pesar de tratarse de personas desconocidas", remarcó.

Otro dato del estudio reveló que 23 por ciento de los particulares proporciona información por medio de las redes sociales, fuente importante y atractiva de datos para los delincuentes.
"La mayoría son para realizar fraudes financieros, pero también se han dado casos de compras de insumos o uso del nombre para la apertura de empresas apócrifas", afirmó.

 

Fuente: www.sipse.com

 

El 63% de los colegios sufren de problemas de Seguridad al menos dos veces al año (USA)

Panda Security, The Cloud Security Company, presenta hoy los resultados de su primer Estudio de Seguridad IT en colegios en Estados Unidos, en el que se han examinado las principales prácticas en seguridad y el top de preocupaciones sobre riesgos en las escuelas. El 63% de los responsables de TI de los parques de colegios encuestados han sufrido problemas derivados de infecciones de malware o por el acceso de usuarios no autorizados dos veces al año de media. Los resultados indican, además, que la gestión de la seguridad de estos centros escolares exige mucho tiempo y dedicación de los responsables de TI.

Con un panorama donde el malware sigue creciendo de forma exponencial a la vez que aumentan los riesgos de seguridad derivados de la distribución de amenazas a través de las redes sociales cada día, el contar con las herramientas y políticas de seguridad apropiadas en los colegios es cada vez más importante. De acuerdo al estudio, el 64% de las escuelas encuestadas ha sufrido caídas de servicio provocadas por infecciones, que de media han sucedido al menos dos veces al año.

Los responsables de la administración de las redes informáticas de los colegios también han aludido a las barreras con las que se encuentran para mejorar los sistemas de Seguridad. El 72% se ha referido a problemas relacionados con el presupuesto destinado a este fin, y el 38% ha confirmado que no cuenta con personal suficiente para gestionar la seguridad de los parques. El 29% ha indicado, además, que el personal de IT tiene otras prioridades

“Así como Internet es una herramienta para la educación de un valor incalculable, puede causar serios problemas de Seguridad que acaben en interrupciones de las operaciones diarias de los colegios si no se solucionan los principales problemas de Seguridad identificados”, dice Luis Corrons, Director Técnico de PandaLabs. “Las conclusiones del Estudio de Seguridad IT en los colegios apuntan claramente a la necesidad de contar con una solución de Seguridad que sea capaz de balancear de una forma efectiva coste, tiempo de gestión y una mayor protección.”

Principales preocupaciones de Seguridad en los colegios

Los problemas de Seguridad consumen el tiempo del personal de IT, distrayéndoles de otros cometidos inherentes al propio negocio. El personal interno de IT pasa el 38% de su tiempo desinfectando de virus y otras amenazas informáticas sus sistemas, y lo hacen varias veces por semana. El 21% confirma que esta tarea es diaria.

Aunque las escuelas cuentan con una base de buenas prácticas aplicadas para la Seguridad, todavía hay mucho por hacer y mejorar. El 90% de las escuelas tiene instalados productos antivirus o antimalware, pero cerca del 25% no cuenta con firewalls, no bloquea las webs de alto riesgo o utiliza soluciones de autenticación de usuarios.

El uso de las Redes Sociales por parte de los alumnos y profesores es una de las primeras preocupaciones del personal de IT, aunque tienen implementadas, en su mayoría, políticas de seguridad. El 95% de las escuelas tiene implementadas políticas de Seguridad en cuanto al uso, desde los ordenadores de los colegios, de redes sociales. El evitar infecciones por malware que utilizan estas plataformas para distribuirse es la principal razón que les ha llevado a implementar dichas políticas. El 29% de las escuelas permite el uso de dichas redes sin limitación, mientras que el 32% prohíbe su acceso.

Los colegios reconocen que el uso de periféricos externos en la red suponen un riesgo, por lo que sus políticas de seguridad contemplan esta posibilidad. El 82% de los colegios permiten a estudiantes y profesores conectar sus ordenadores personales a la red, y solo el 74% monitorizan el uso de dispositivos externos. El 15%, sin embargo, falla en la adopción de medidas de Seguridad adicionales para evitar problemas derivados de esta práctica, dejando de esta manera el parque más desprotegido.

Los administradores de IT de los colegios creen que las soluciones de Seguridad desde la nube les ayudarían a mejorar su infraestructura y reconocen sus beneficios. La mayoría de los responsables encuestados (el 91%) confirma conocer el valor añadido que les puede otorgar la implementación de soluciones de seguridad desde la nube, y planifica su adopción en los próximos dos años. Además, el 32% confirma que ya han implementado soluciones de Seguridad desde la nube, y el 80% de los encuestados identifica la mejora de la Seguridad como la principal razón por la que se decantarían por este tipo de soluciones. Los tipos de medidas de seguridad con las que cuentan los colegios encuestados son los siguientes:

La gestión de la seguridad es un reto para los administradores encuestados, no sólo por los riesgos en sí, sino por la reducción de presupuestos y la falta de personal destinado a esta labor. Panda Security recomienda a los profesionales de IT:

• Invertir en soluciones de Seguridad desde la nube. El sistema de funcionamiento centralizado capaz de detectar prácticamente en tiempo real cualquier tipo de nueva amenaza es, sin duda, un gran avance que facilitaría enormemente la labor de estos profesionales. Además, permite una reducción eficiente en los costes de Seguridad. Este es el caso de adoptar soluciones como Panda Cloud Office Protection, que además de ofrecer mayor protección y una reducción de costes del 50% respecto a soluciones tradicionales, facilita enormemente la implementación y gestión del parque.
• Implementar como requerimiento obligatorio el registro para conectar periféricos externos y mantener así los sistemas protegidos contra la potencial distribución de amenazas introducidas en el parque mediante el uso de dispositivos como iPhones, iPads, portátiles, etc.
• Contar con competitivos sistemas de seguridad, basados en la filosofía de gestión centralizada, de forma que la tecnología haga su trabajo liberando a los profesionales de IT de la gestión y manejo de la seguridad de los parques.
• Monitorizar el acceso y la actividad en los social media para limitar la exposición de los colegios a las redes sociales, herramientas favoritas de los cibercriminales.
• Institucionalizar programas de formación, educación y concienciación en seguridad para los alumnos y profesores sobre los riesgos así como las principales tácticas empleadas por los hackers. PandaLabs ofrece información puntual y recursos sobre lo último que sucede en el mundo de la Seguridad.

Descarga de Reporte (PDF, EN) - Kindergarten‐12 Education IT Security Study 

Visto en prensa.pandasecurity.com

Arachni v0.2.2.2 has been released (Open Source Web Application Security Scanner Framework)

Arachni is a fully automated system which tries to enforce the fire and forget principle.

Automation
As soon as a scan is started it will not bother you for anything nor require further user interaction.

Upon completion, the scan results will be saved in a file which you can later convert to several different formats (HTML, Plain Text, XML, etc.).

Modularity

One of the biggest advantages of Arachni is its highly modular nature.
The framework can be extended indefinitely by the addition of components like path extractors, modules, plug-ins, or even user interfaces.
Arachni is not only meant to serve as a security scanner but also as a platform for any sort of black box testing or data scraping; full fledged applications can be converted into framework plug-ins so as to take advantage of the framework's power and resources.
Arachni's flexibility goes so far as to enable system components (like plug-ins) to create their own component types and reap the benefits of a modular design as well.

Changelog - Version 0.2.2.2 (March 22, 2011)

Arachni: WebUI v0.1-pre screencast

Los bancos van a retribuir el dinero robado (Ecuador)

El superintendente de Bancos, Pedro Solines, y el fiscal general, Washington Pesántez, se reunieron ayer para informar sobre la resolución que beneficiaría a los clientes de bancos ecuatorianos privados  y que fueron víctimas de la fragilidad del sistema informático.

En febrero pasado, las dos entidades conformaron una comisión para investigar más de 2.000 denuncias de pérdidas en sus depósitos en cuentas bancarias en diferentes instituciones financieras del país. Como resultado de las indagaciones, el informe reveló que se determina la responsabilidad directa o indirecta de éstas y  recomendó que los depositantes y usuarios perjudicados  de enero de 2010 a la presente fecha, reciban el resarcimiento de sus dineros.

Más...

Fuente: www.telegrafo.com.ec

 

 

Congreso de Seguridad y Software Libre 2011 en Mexico

 

Objetivo Principal del congreso

Dar a conocer a los administradores de tecnología, directores de TIC, estudiantes de licenciatura y posgrados en informática, sistemas, seguridad de la información, personas interesadas en los temas más actuales en seguridad de la información, de organizaciones y empresas de los sectores público, educativo, privado, financiero, etcétera. Todos, con el propósito de analizar y establecer el eje de trayectoria que la seguridad de la información ha llevado hasta ahora, las nuevas vanguardias y técnicas de seguridad informática en dispositivos móviles, equipos de cómputo; así como las diferentes técnicas de hackeo y la ética que esta conlleva.

“Aprender unos de otros y de compartir en la construcción de una mejor comunidad”.

Web del evento

Francia multó a Google por recolectar datos personales

Es por su servicio Street View. Unos 30 gobiernos ya presentaron quejas a la compañía.

El organismo de control de privacidad en Francia impuso su mayor multa contra Google por colectar y almacenar inapropiadamente información potencialmente delicada que tomó de redes de Wi-Fi mientras sus vehículos tomaban fotografías para su servicio Street View.

La multa de 141.000 dólares, dada a conocer el lunes, sanciona a Google por colectar datos personales -incluso mensajes electrónicos, historiales de navegación en Internet y detalles bancarios- de 2007 a 2010 por medio de sus automóviles y bicicletas equipados con cámaras especiales.

La multa impuesta por las autoridades francesas es la primera contra Google por su colección de información personal, de la que unos 30 gobiernos se han quejado. Al menos otros dos países europeos están analizando multas, mientras que otros han decidido no sancionar a la compañía.

Google Inc. se ha disculpado y dice que va a borrar los datos.

Fuente: Lavoz.com.ar

 

 

 

 

Indice mundial sobre el cibercrimen (Norton)

La red está plagada de antivirus y utilidades falsos, de resultados de búsqueda dañinos y de cantidades crecientes de malware. Así de claro de mostraba Salvador Tapia, country Manager de Norton, antes de presentar Norton Cybercrime Index, que servirá “para que la gente sepa las tendencias en ciberseguridad”.

Cybercrime Index es un índice de crimen informático cuya presentación es similar a la de cualquier parqué de bolsa, con un porcentaje diario que hace que el índice suba o baje, aunque la diferencia es que en este caso el crecimiento es malo y lo que se busca es que el índice baje.

Norton Cybercrime Index advierte diariamente a los usuarios sobre los riesgos del cibercrimen a nivel mundial y ofrece información puntual sobre los riesgos, alertando a los consumidores de los lugares conflictivos del día y los posibles peligros, incluyendo los sitios web más peligrosos del día, las estafas más populares, y también ofrece consejo sobre cómo evitar las amenazas y mantenerse fuera de peligro.

Para Salvador Tapia, Norton Cybercrime Index responde a la pregunta: ¿cuál es su riesgo en Internet hoy?

Norton Cybercrime Index está basado en un porcentaje que indica el nivel de riesgo del día. Este porcentaje se basa en un algoritmo que calcula los datos de tres fuentes. La primera es Symantec Global Intelligence Network, que examina más de 130 millones servidores en todo el mundo para mantener conteo de nuevas riesgos y ataques. Además, la empresa de administración de riesgos del consumidor ID Analytics y DataLossDB, un proyecto de investigación de la Open Security Foundation, proporcionan datos sobre fraude de identidad y pérdida de datos, respectivamente.

Finalmente, toda esa información llega a un algoritmo, que ha desarrollado la Universidad de San Antonio, en Texas, que es capaz de asignar valores al número de amenazas en línea cada día. Esto resulta en el número del Norton Cybercrime Index del día, actualizado cada mañana. Un analista proporciona comentarios continuamente sobre cada amenaza del día, incluyendo advertencias y recomendaciones sobre cómo proceder con cautela.

Fuente: itespresso.es - Rosalía Arroyo

Acceso a Cybercrime Index

 

Norton presenta Norton Cybercrime Index que proporciona avisos diarios sobre las amenazas y estafas en Internet

nullcon 2011 - Presentaciones

Presentaciones del congreso de seguridad informática Nullcon realizado el pasado 25 y 26 de febrero.

=============================================================
1. Technical Track
=============================================================
Fyodor Yarochkin
Workshop: Building an intelligence analysis systems using open source tools
Presentation: No bullshit on underground crime: traces, trends, attribution, techniques and more
____________________________________________________________________
Manu Zacharia
Workshop: Security and Forensic Discovery in Cloud Environments
____________________________________________________________________
Saumil Shah
Presentation: Lessons learned from 2010
____________________________________________________________________
Abhijeet Hatekar
Presentation: Chupa Rustam
____________________________________________________________________
Rahul Sasi
Presentation: Penetration Testing a Biometric System
Whitepaper: Penetration Testing a Biometric System
____________________________________________________________________
Jeremy Brown
Presentation: Exploiting SCADA Systems
____________________________________________________________________
Assaf Nativ
Presentation: Memory analysis – Looking into the eye of the bits
Whitepaper: Memory analysis – Looking into the eye of the bits
____________________________________________________________________
Sunil Kumar
Presentation: Automatic Program Analysis using Dynamic Binary Instrumentation
Whitepaper: Automatic Program Analysis using Dynamic Binary Instrumentation
____________________________________________________________________
Mikel Gastesi & Jose Miguel Esparz
Presentation: ZeuS MitMo – A real case of banking fraud through mobile phones
____________________________________________________________________
Harsimran Walia
Presentation: Reversing MicroSoft patches to reveal vulnerable code
Whitepaper: Reversing MicroSoft patches to reveal vulnerable code
____________________________________________________________________
Vishwas Sharma
Presentation: Fuzzing with Complexities
Whitepaper: Fuzzing with Complexities
____________________________________________________________________
Chinmaya Kamal & Saurabh Sharma
Presentation: Buffer UnderRun Exploits
____________________________________________________________________
Gursev Singh Kalra
Presentation: SSLSmart – Smart SSL Cipher Enumeration
____________________________________________________________________
Prashant KV & Tamaghna Basu
Presentation: JSON Fuzzing: New approach to old problems
____________________________________________________________________
Nilesh Sharma & Pulkit Mehndiratta
Presentation: Botnet Detection approach by DNS behavior and clustering analysis
____________________________________________________________________
Abhishek Kumar
Presentation: (secure) SiteHoster – Disable XSS & SQL Injection
Whitepaper: (secure) SiteHoster – Disable XSS & SQL Injection
Whitepaper: XSS – Defeating Concept – Part-1
Whitepaper: XSS – Defeating Concept – Part-2
=============================================================
2. CXO Track
=============================================================
Wolfgang Kandek
Presentation: Vulnerabilities and Malware: Statistics and Research for Malware Identification
____________________________________________________________________
Shashidhar C.N & Simran Gambhir
Presentation: Cyber crime 101: Cost of cyber crime, trends and analysis
____________________________________________________________________
Deepak Rout
Presentation: Enterprise Paradigm for Controlling Data Leakage
____________________________________________________________________
Vishal Gupta
Presentation: Protect infrastructure of protect information – Lessons from Wikileaks

Verizon Enterprise Risk and Incident Sharing (VERIS) framework and application

The VERIS framework provides a common language for describing security incidents in a structured and repeatable manner. This VERIS application provides the means by which VERIS-classified incidents can be anonymously reported and shared with the community.

Additional Resources

• VERIS Wiki - Contains the complete and documented framework
• Example Incidents - A few common incidents in VERIS format
• Whitepaper - Overview of the VERIS framework (pdf)
• User Guide - How to Use This Application

Pwn2Own: vulneran iOS 4.2.1, iOS 4.3 resiste pero iOS 4.3.1 podría ser inminente

Segunda jornada de la competición anual de hacking Pwn2Own donde por unos días, compañías y algunos de los mayores expertos técnicos en seguridad, capaces de comprometer cualquier sistema, se convierten en los mejores amigos. Es la prueba de fuego para navegadores o sistemas operativos, en cuanto a testeo de su seguridad para el usuario. Aquel que consiga entrar en algún sistema (encontrar un exploit) recibe un reconocimiento, un premio en metálico y varias más que probables ofertas de empleo en los departamentos de seguridad de los grandes del mundo de la informática y la tecnología.

Más...

Visto en appleweblog.com

Las 11 mejores aplicaciones de hacking y seguridad para Linux

1. John the Ripper: herramienta para cracking de contraseñas. Es una de las más conocidas y populares (también tiene versión Windows). Además de autodetectar el hash de las contraseñas, puedes configurarlo como quieras. Lo puedes usar en contraseñas encriptadas para Unix (DES, MD5 ó Blowfish), Kerberos AFS y Windows. Tiene módulos adicionales para incluir hashes de contraseñas badadas en MD4 y almacenadas en LDAP, MySQL y otros.

2. Nmap: ¿quién no conoce Nmap?, sin duda el mejor programa para se seguridad para redes. Puedes usarlo para encontrar ordenadores y servicios en una red. Se usa sobre todo para escanear puertos, pero esta es sólo una de sus posibilidades. También es capaz de descubrir servicios pasivos en una red así como dar detalles de los ordenadores descubiertos (sistema operativo, tiempo que lleva conectado, software utilizado para ejecutar un servicio, presencia de un firewall ó incluso la marca de la tarjeta de red remota). Funciona en Windows y Mac OS X también. Tutorial Nmap.

3. Nessus: herramienta para encontrar y analizar vulnerabilidades de software, como aquellas que puedan ser utilizadas para controlar o acceder a los datos del equipo remoto. También localiza passwords por defecto, parches no instalados, etc.

4. chkrootkit: básicamente es un shell script para permitir descubrir rootkits instalados en nuestro sistema. El problema es que muchos rootkits actuales detectan la presencia de programas como este para no ser detectados.

5. Wireshark: sniffer de paquetes, se utiliza para analizar el tráfico de red. Es parecido a tcpdump (luego hablamos de él) pero con una GUI y más opciones de ordenación y filtro. Coloca la tarjeta en modo promiscuo para poder analizar todo el tráfico de la red. También está para Windows.

6. netcat: herramienta que permite abrir puertos TCP/UDP en un equipo remoto (después se queda a la escucha) , asociar una shell a ese puerto y forzar conexiones UDP/TCP (útil para rasteo de puertos o transferecias bit a bit entre dos equipos).

7. Kismet: sistema de detección de redes, sniffer de paquetes y de intrusión para redes inalámbricas 802.11.

8. hping: generador y analizador de paquetes para el protocolo TCP/IP. En las últimas versiones se pueden usar scripts basados en el lenguaje Tcl y también implementa un motor de strings (cadenas de texto) para describir los paquetes TCP/IP, de esta manera es más fácil de entenderlos además de poder manipularlos de una manera bastante fácil.

9. Snort: es un NIPS: Network Prevention System y un NIDS: Network Intrusion Detetection, capaz de analizar redes IP. Se usa sobre todo para detectar ataques como buffer overflows, acceso a puertos abiertos, ataques web, etc.

10. tcpdump: herramienta de debugging que se ejecuta desde la línea de comandos. Permite ver los paquetes TCP/IP (y otros) que se están transmitiendo o recibiendo desde el ordenador.

11. Metasploit: esta herramienta que nos proporciona información sobre vulnerabilidades de seguridad y permite hacer pruebas de penetración contra sistemas remotos. Tiene también un framework para realizar tus propias herramientas y está tanto para Linux como para Windows. Existen muchos tutoriales por la red donde explican cómo utilizarlo.

Fuente: linux-os.com.ar

El gobierno de Francia, víctima de un ciberataque

PARIS.- El Ministerio de Economía y Finanzas francés sufrió un ataque cibernético sin precedente, que logró infiltrar durante varias semanas unas 150 computadoras de dos áreas cruciales: la de los servicios del Tesoro -que también es responsable del Club de París- y la base de datos del G-20.

“Se trata de un ataque de espionaje”, declaró ayer Patrick Pailloux, director general de la Agencia Nacional de Seguridad de los Sistemas de Información (Anssi). “El objetivo era robar información precisa”, afirmó.
Más...


Visto enenfoqueseguro.com

SAP Security In-Depth Volume III: The Silent Threat - SAP Backdoors and Rootkits

New SAP Security In-Depth issue released!

In this volume, "The Silent Threat: SAP Backdoors and Rootkits". Learn how cyber-attackers can attack your business processes to understand how to stop them!

Abstract

Backdoors and rootkits have existed for a long time. From PCI cards to the most modern operating systems, almost every system is susceptible of being attacked and modified to hold a malicious program that will secure future access for the attacker and even perform unauthorized activities, while trying to remain undetected.

As SAP business solutions run the most critical business information and processes in the organization, a backdoor in this platform would imply severe impacts for the business. If the organization is not securing its systems properly, it would be possible for a remote, anonymous attacker to perform continuous espionage, fraud and sabotage attacks through the injection of a backdoor or rootkit in the SAP platform.

This publication analyzes some of the different attack vectors that malicious parties can use to try to inject backdoors and rootkits in the SAP platform, in order to understand which are the necessary protection measures that need to be implemented to protect the business crown jewels.

Download

What is the SAP Security In-Depth Publication?

Until these days, SAP security keeps being regarded as a synonym of Segregation of Duties (SoD) or security of roles and profiles by most part of the professional community. While this kind of security is mandatory and of absolute importance, there are many threats that have been so far overlooked by the Auditing and Information Security industries and entail much higher levels of business fraud risk.

 

 

Memoria USB que puede ser destruida remotamente

Secomdata Technologies, empresa especializada en seguridad y cifrado de datos, lanza al mercado la memoria USB “Ironkey”, un pendrive que puede borrar sus datos en caso de algún intento de extracción física, destruirse remotamente e incluso ser localizado en caso de pérdida o robo.

El Ironkey tiene un tamaño de 75mm x 13 mm x 9mm y un peso de 25 gramos; su exterior es blindado, resistente al agua y a difíciles condiciones climáticas. En su interior tiene chips de memoria diseñados para ser autodestruidos en caso de que alguien quiera desarmar el pendrive o lo golpee violentamente.

El dispositivo portable viene en tres presentaciones: Basic, Personal y Enterprise, cada una con una capacidad que va de 1GB hasta 32GB. Con cada presentación viene un paquete de funciones que van desde el monitoreo automático anti-malware, encriptación, cifrado de datos y geolocalización hasta aniquilación de la memoria USB.

Además, dentro de la plataforma de seguridad que viene preinstalada en el dispositivo, se podrá encontrar el Mozilla Firefox para así tener que evitar el ingreso a otros navegadores externos que puedan estar infectados; así mismo las claves requeridas en páginas de bancos, correos u otros sitios webs con contenido personal se podrán almacenar en el dispositivo, con el objetivo de obviar la gestión que implica la digitación de los datos y el riesgo de robo de información en casos como el Phishing.
El Ironkey es compatible con sistemas operativos como: Windows 7, Mac OS X, Windows Vista, Windows XP y Linux.

Por el momento no se conoce fecha de lanzamiento, ni precio aproximado.

Fuente: caracol.com.co

Temor a robo de información inhibe uso de Factura Electrónica (Mexico)

Una de las razones por las que las empresas mexicanas obligadas a adoptar el esquema de Factura Electrónica (FE) no lo han hecho aún, es porque temen que la seguridad de sus datos sea vulnerada, lo cual ha incidido en que sólo 38% de estas compañías en México utilicen este documento digital actualmente, reveló René Torres Fragoso, director general de de CONTPAQ i, empresa proveedora de servicios de facturación electrónica.

Explicó que la Factura Electrónica tiene por sí misma propiedades de seguridad, pues el Servicio de Administración Tributaria (SAT) estableció medidas para asegurar la integridad de la información, además de la imposibilidad de modificar los datos, su validación y la inclusión de mecanismos adicionales de seguridad: la Firma Electrónica Avanzada (FIEL) y el Certificado de Sello Digital (CSD).

Sin embargo, según el especialista, el momento en el que los datos podrían ser robados o infectados por un virus, es cuando se envía el documento al cliente, vía internet o por medio de dispositivos de almacenamiento como discos compactos o memorias USB. Lo anterior es una de las principales preocupaciones de los empresarios, además de que si la FE llegará a su destino, como protegerla de ataques de hackers y cuál es el mejor lugar para almacenarla.

Por ello, el experto recomendó que tanto el emisor como el receptor, deben guardar las facturas electrónicas en un almacén digital, es decir en un disco duro al que sólo ciertas personas tengan acceso y evitar almacenarlos en carpetas sueltas; también aconsejó realizar un respaldo alterno, asegurarse de la autenticidad de los documentos digitales y elegir con cuidado al proveedor de servicios informáticos.

Destacó que las empresas, alrededor del 75%, toman una postura reactiva y no preventiva ante contingencias y robos de información, por lo cual se carece de una cultura de seguridad informática. Por tal motivo, CONTPAQ i y HD México, empresa que brinda soluciones para resguardar información, establecieron una alianza estratégica que promueva mejores prácticas de negocio relacionadas con el tema de seguridad informática y adopción de Factura Electrónica.

Según datos del SAT, a enero de este año, se habían contabilizado más de 17 mil Facturas Electrónicas emitidas. Asimismo, a diciembre de 2010, cerca de 222 mil contribuyentes optaron por este esquema.

Visto en  www.amda.org.mx

 

La Fuga de datos de la pyme comienza en la sala de impresoras

Un documento enviado por error a la impresora equivocada, o no contar con un plan que evite y regule qué empleados pueden tener acceso a los datos e informes estratégicos de la empresa son algunos de los errores que pueden provocar un mal uso de la información interna, o una fuga de datos hacia posibles competidores de la pyme. Sin embargo, son pocas las compañías que se preocupan por gestionar su documentación de manera adecuada.

De hecho, un estudio reciente de Infotrends pone de manifiesto que sólo el 24 por ciento de las empresas cuenta con planes para implantar y usar aplicaciones de seguridad en sus sistemas de impresión y gestión documental, lo que significa que tres de cada cuatro están poniendo seriamente en riesgo la seguridad de su información crítica y confidencial.

Más...


Fuente eleconomista.es

Tres de cada cuatro empresas no controlan quién ve e imprime documentos estratégicos

Metasploit 3.6 Aims for Compliance

The Metasploit vulnerability testing framework is out with a major update this week, providing new capabilities to help enterprises ensure security compliance.

Metasploit is available in three versions, Express, Pro and Open Source edition, and all three benefit from new features and capabilities. Metasploit Pro users gain a new PCI compliance capability that is intended to help organizations validate their readiness for the new PCI-DSS (Payment Card Industry Data Security Standard) 2.0 requirements.

"The Metasploit Pro PCI-DSS 2.0 report is designed to be used an appendix to a comprehensive report," HD Moore, Rapid7 Chief Security Officer and Metasploit chief architect told InternetNews.com. "Instead of providing a full list of pass/fail items, it is focused on known fail conditions based on the results of the penetration test."

More...

Visto en esecurityplanet.com

Acceso a redes sociales en el entorno corporativo. La decisión entre restringir o concientizar

Cuando se habla de una cifra de 500 millones de personas, bien se podría estar haciendo referencia al tercer país más poblado del mundo, el cual tendría incluso más habitantes que Estados Unidos y Canadá juntos. Sin embargo no se trata de un país o nación, o al menos no en el sentido estricto de un área geográfica delimitada. Pero si tenemos en cuenta que esta impresionante cifra corresponde al número de usuarios que alcanzó y superó hace ya varios meses la famosa red social Facebook, podríamos decir que estamos ante la nación virtual más grande del planeta. Ahora bien, el número indicado corresponde apenas a una sola red social (sí, aunque no lo crea aparte de Facebook existen otras). Se estima que si se suman los usuarios de todas las redes sociales disponibles actualmente, la cifra pronto llegará a los mil millones.

 

Ante un número de esa dimensión, seguramente una de las inquietudes que puede surgir es: ¿Cuál es el secreto de las redes sociales para que más del 10% de la población mundial sea parte de ellas?

 

Más...

 

Visto en www.cioperu.pe

 

 

Ponencias: Rooted CON 2011

• Alberto García de Dios - Virus, el arte no deberia ser negocio
• Alejandro Martín + Chema Alonso - Pulveriza tus publicaciones con Dust
• Alejandro Ramos -
  www.rootedcon.es/congreso/ponencias.html#advancedpasswordcracking
• Antonio Ramos - La asimetría en el mercado de la seguridad
• David López Paz - Global Warfare
• David Pérez + José Picó - Un ataque práctico contra comunicaciones móviles
• Pedro Sánchez - Hospital Central (tus datos son mis datos)
• Eloi Sanfelix - Hardware security: Side Channel Attacks
• Francisco Jesús Gómez + Carlos Juan Diaz -
  Cloud Malware Distribution: DNS will be your friend
• Gabriel Gonzalez - Man-In-Remote: PKCS11 for fun and non-profit
• Hernan Ochoa - WCE Internals
• Jaime Peñalba - Como defenderse en terreno hostil: Protecciones para la Defcon 18 CTF
• José Ramón Palanco - NoSQL Security
• José Selvi - Unprivileged Network Post-Exploitation
• Joxean Koret - Database Security Paradise
• Marisol Salanova - Seguridad informática y cibersexo
• Sergi Álvarez + Roi Martín - radare2: From forensics to bindiffing
• Rubén Santamarta - SCADA Trojans: Attacking the Grid
• Vins Vilaplana - Seguridad en capa de enlace
• José Miguel Esparza - Obfuscation and (non-)detection of malicious PDF files
• Jacobo Van Leeuwen - La iPrueba
• Gianluca D'Antonio - La Gestión de la Seguridad de la Información ante las nuevas amenazas tecnológicas en la era de la web 3.0
• Jaime Blasco (Alienvault) + Pablo Rincón Crespo -
  Lost in translation: WTF is happening inside my Android phone

 

El material disponible es el publicado hasta el día 10 de Marzo, para acceder a otras posibles presentaciones ira al site del evento.

También se puede acceder al material accediendo directamente a slideshare.net

Crece riesgo de robo de Identidad (Mexico)

Revela un estudio que 43% de los mexicanos nunca revisa sus estados de cuenta lo que se traduce en la falta de medidas de protección de sus datos personales

Los mexicanos no usan las medidas adecuadas de protección de datos personales, como el que 43% de los mexicanos nunca revise sus estados de cuenta por lo que al no hacerlo, omite verificar cargos y cobros que se hacen de manera irregular e incluso llegar a ignorar que se está usando su tarjeta o dinero de su cuenta por otra persona, como parte de un robo de identidad, sugiere estudio realizado por CPP.

CCP—empresa líder en productos y servicios de asistencia y protección de tarjetas de crédito, además de prevención y asesoría en relación al robo de identidad— en su documento señala que "el robo de identidad es la utilización, tanto en el mundo tangible como en Internet, de nuestro nombre y datos personales, sin nuestro conocimiento ni consentimiento, para realizar actividades como obtener créditos o préstamos de manera ilegal, entre otras acciones en perjuicio de nuestra persona".

El estudio también revela que todavía un 23% de la población proporciona datos personales en las redes sociales, considerada como una fuente importante y atractiva de información para delincuentes que se dedican al robo de identidad.

También señala que 11% de mexicanos proporcionan datos personales por teléfono, a pesar de tratarse de personas desconocidas. Ésta es otra forma habitual que usan los delincuentes para robar la identidad de las personas, bajo el pretexto de que están actualizando los datos de su base de datos.

Asimismo, 16% de las personas en México mandan información confidencial, como claves y contraseñas de sus cuentas y tarjetas por correo electrónico; esta situación puede ser usada por especialistas como hackers, para obtener información valiosa que les permita hacer uso ilegal de esos datos.

Con esta información personal, los delincuentes pueden abrir cuentas bancarias, solicitar préstamos y financiar vehículos, usurpando la identidad de otra persona, además de comprar bienes y servicios o establecer contratos de telefonía móvil y alquiler de viviendas en su nombre, entre otras actividades.

El documento también señala que otra forma de obtener datos personales es al pagar con alguna tarjeta, ya sea de crédito, débito o departamental, por lo que es importante que al momento de hacerlo, no se pierda de vista el plástico. Esta muestra también indica que 27% descuida su tarjeta al pagar, momento que se puede utilizar para obtener los datos del tarjetahabiente.

CONSEJOS DE PREVENCIÓN CONTRA EL ROBO DE IDENTIDAD:

* Mantener una "seguridad lógica" a nivel de datos personales (DNI, tarjetas de crédito, etc.), tanto en el entorno online como en el mundo físico:

* No tirar a la papelera información personal, recibos bancarios, facturas de móvil, etc., sin destruirla previamente

* No revelar mis datos personales en llamadas telefónicas de desconocidos

* No perder de vista ni el DNI ni la tarjeta de crédito o débito cuando pagues con ella en algún establecimiento

* Nunca introduzcas números de tarjetas de crédito en páginas no seguras. Las páginas seguras empiezan por "https" y tienen un icono en forma de candado de seguridad

* Utilizar contraseñas seguras (combinación compleja de números y letras, no utilizar las típicas respuestas de cumpleaños o el nombre de la mascota, etc.)

* CPP Protección de Identidad es la única solución en el mercado que te ayuda a prevenir el problema, as detectar a tiempo si eres una víctima y a solucionarlo si ya lo eres

Fuente:infochannel.com.mx


 

Estudio Global de Riesgos de TI de IBM revela inquietudes sobre la seguridad

IBM en colaboración con Economist Intelligence Unit (EIU), presentó su estudio Global de Riesgos de TI que pretendía identificar cuáles son las tendencias actuales de riesgos en Tecnología y en el que se destaca que 78% de los profesionales encuestados aseguran que la seguridad informática es la preocupación número uno en las empresas y es prioridad en la gerencia de riesgo en TI y que además, el rol de los administradores de TI se está gestionando hoy de forma diferente.

Miguel Angel Aranguren, especialista en Soluciones de Seguridad IBM Colombia y William González, consultor en Servicios para IBM Venezuela y el equipo mundial de PCI, fueron los ejecutivos encargados de presentar los resultados del estudio basados en un amplio sondeo online que se llevó a cabo en el segundo trimestre de 2010 a 556 directores de empresas de TI, de todos los segmentos, de Norteamérica, Europa Occidental y del Este, Asia- Pacífico, Oriente Medio, África y Latinoamérica.

“Un 4% de los resultados fue generado por la región latinoamericana”, dijo Aranguren destacando además que en 2010 el gasto en la gestión de riesgo había aumentado considerablemente en el número de esfuerzo/horas y de recursos para gestionar el riesgo enfocado en la protección de la información.

Se les preguntó a los Directores de TI sobre cómo se posicionaba su empresa para adquirir y desplegar tecnologías emergentes; y fueron las redes sociales, las plataformas móviles y la computación en la Nube las que presentaron un mayor motivo de preocupación.
“Las nuevas tecnologías como Cloud, Redes Sociales y tecnologías móviles abren las fronteras de las empresas y generan riesgos al interior de la organización. Las nuevas vulnerabilidades están afectando nuestro entorno y la seguridad de la información de los clientes y de las empresas como tal. Para los profesionales de TI es de alta importancia los riesgos asociados a las vulnerabilidades propias de los programas que ellos ejecutan, sistemas operativos, bases de datos, entre otros.”, explicó Aranguren.

El estudio, de acuerdo al ejecutivo, demostró que temas como protección de datos, privacidad, vulnerabilidad asociada con el conocimiento de la información de la persona, son tópicos que destacan las empresas consultadas.
“Otro resultado que ofrece el estudio es precisar cuál es el papel de las TI dentro de las organizaciones para gestionar estos riesgos. Preocupa mucho el presupuesto, la falta de apoyo por parte de la alta gerencia y la carencia de planes que mitiguen los riesgos y ayuden a hacerle frente. Si bien se hacen algunos esfuerzos importantes, aun se siente que este tema está aislado al tema de seguridad de las compañías”, explicó el ejecutivo.

IBM Estudio sobre la Seguridad en TI, los mayores riesgos

Resultados

• *50% de los encuestados respondieron que sus presupuestos se habían mantenido o mejorado. El 36% todavía lucha por la obtención de fondos suficientes para dirigir los desafíos relacionados con el riesgo.
• *66% de los encuestados califican sus enfoques generales para mitigar los riesgos de TI como “buenos” o experimentados”.
• *53% han aumentado los gastos en administración de riesgos en el último año.
• *Sólo la mitad de las empresas encuestadas tienen un departamento formal de riesgos (46%) y 54% cuentan con una estrategia de continuidad de negocios bien elaborada.
• *34% califican el enfoque general de sus empresas para mitigar los riesgos de TI como “mediano” o “deficiente”, mientras que 72% de los encuestados afirman que el enfoque del riesgo de su empresa ha mejorado en los últimos 12 meses.
• *47% declaran que la planificación contra negocios se hace en silos.
• *46% cuentan con un departamento de administración de riesgos formal.
• *83% creen que tienen que desempeñar un rol más importante en la elaboración de estrategias de administración de riesgos.

Para conocer más sobre el Estudio de Riesgo de IBM visite:




www.ibm.com/iibv





Anexo video con palabras de los voceros de IBM

Fuente: www.cwv.com.ve - Clelia Santambrogio



 

HITB Magazine! Issue # 5 is now available!

The first HITB Magazine release for 2011!

Just over a year has passed since Issue 001 and 2010 was definitely a great year for our humble magazine with over a 100,000 downloads of the 4 issues released which included 24 unique technical articles authored or co-authored by over 30 security experts from around the world! Since April 2010, readers have also had an opportunity to get familiar with prominent figures from the IT security industry thanks to the new "Interviews" section.

We believe our goal of giving researchers further recognition for their hard work, and to provide the security community with beneficial technical material as stated in our editorial note of Issue 001 has been successfully achieved.

Download (Volume 1, Issue 5, February 2011)


Contents
- Linux Security - Investigating Kernel Return Codes with the Linux Audit System
- Network Security - Secure Shell Attack Measurement and Mitigation
- ARP Spoofing Attacks & Methods for Detection and Prevention
- Exploiting Web Virtual Hosting – Malware Infections
- Windows Security - Windows CSRSS Tips & Tricks professional development
- CISSP® Corner – Tips and Trick on becoming a Certified Information Systems Security Professional
interview - Rolf Rolles

IN SECURITY Magazine # 29 (Marzo 2011)

- Review: iStorage diskGenie - Virtual machines: Added planning to the forensic acquisition process - Managers are from Mars, information security professionals are from Venus - PacketWars: A cyber security sport for a cyber age - Q&A: Graham Cluley on Facebook security and privacy - Financial Trojans: Following the money - Mobile encryption: The new frontier - Report: RSA Conference 2011 - Combating public sector fraud with better information analysis - Q&A: Stefan Frei on security research and vulnerability management - The expanding role of digital certificatesÉ in more places than you think - 5 questions to ask when reevaluating your data security solution - How to achieve strong authentication on the Web while balancing security, usability and cost

DOWNLOAD ISSUE 29 HERE (March 2011)

Revista digital eConfianza # 3 Marzo 2011

La Gaceta Interactiva "eConfianza" es una iniciativa de las empresas que forman el Grupo Interactiva, Albalia Interactiva, Atenea Interactiva y EADTrust. La Gaceta nace con la vocación de compartir conocimientos sobre confianza tecnológica con clientes y partners.

El número tres está disponible para descarga en formato PDF y para su lectura online en la página web (http://www.econfianza.es/) donde puede también descargar los números anteriores.

Índice
-Confianza en la red
-Entrevista: D. Héctor Sanchez Montenegro
-Entrevista: D. Héctor Sanchez Montenegro (Continuación)
-Diplomática Digital
-Multitec consigue la homologación de la AEAT
-Un mundo sin fraudes… ¿es posible?
-Kinamik Data Integrity: Integridad para las pruebas electrónicas
-CeBIT 2011: Trabajar y vivir con la Nube
-Servicios de tercero de confianza y protección de datos de carácter personal, Parte 2
-Ventajas de la factura electrónica
-Innovoto

Descarga

Agnitio v1.2 released

Agnitio is a tool to help developers and security professionals conduct manual security code reviews in a consistent and repeatable way. It aims to replace the adhoc nature of manual security code review documentation, create an audit trail and reporting.


Features:

• - Security code reviews
• - Security code review metrics and reporting
• - Application security code review tool
• - Static analysis security guidance and reporting

Download

Link relacionado:

- Agnitio v1.2 released today

Revista SECUREVIEW # 1 - 1st quarter 2011

SECUREVIEW is an electronic publication from Kaspersky Lab that provides information about all aspects of the IT security industry.

Each issue includes:

• News to bring you right up to date with all the latest trends and exciting discoveries in the field of information security. There will be reports from recently held conferences and exhibitions, many of which will set the course for the industry’s development in the years ahead.
• Top Story which provides detailed analyses of the hottest topics in the industry, reflecting the interests of users’ right across the board.
• Analytics in which some of the world’s leading experts and journalists will share the results of their research into the field of digital safety with you, examining the burning issues of the day and providing solutions to those IT security problems so often encountered by people in the field.
• Technology covering the most interesting solutions from the last few years that we think has seriously influenced the computer security market.
• Forecasts that will appeal to a very wide audience and present the opinions of some of the industry’s leading experts regarding the future direction of IT security in the short term.
• Interview will be putting the industry’s experts in the hotseat and getting their responses to some pretty tough computer security related questions.

Our readership: Predominantly male and aged between 21 and 55 years old with a higher technical education.
They are typically:

• Experts involved in the industry
• Specialists from different companies who are responsible for IT security
• CIOs & CTOs. People who make decisions on the integration and procurement of computer security
• Enthusiasts who want to keep up-to-date with the latest developments in computer protection

Publication Frequency: Quarterly

Download



CONTENTS
NEWS: Breakthroughs and trends in the IT security industry
REPORT: AVAR 2010: Security in paradise
TOP STORY:
- Money talks: Why is mobile malware so popular among Russian cybercriminals?
- Protecting mobile workers: Everything you should know about smartphone security in the working environment 1
ANALYTICS:
- Mass defacements - Hackers’ tools and tricks
- The practicalities of fighting malware: How to maintain corporate network security
TECHNOLOGY: Origin of the scripts: Combating malicious scripts
FORECASTS: Forty-four things to watch out for: The year 2011’s potentially major threats
INTERVIEW: Exploits exposed:

ESORICS 2011 - European Symposium on Research in Computer Security

Computer security is concerned with the protection of information in environments where there is a possibility of intrusion or malicious action. The aim of ESORICS is to further the progress of research in computer security by establishing a European forum for bringing together researchers in this area, by promoting the exchange of ideas with system developers and by encouraging links with researchers in related areas.
Progressively organized in a series of European countries, the symposium is confirmed as the European research event in computer security.

Web

Symantec Tool Challenges Small Businesses to Assess their Exposure to Information Risk

The Symantec Small Business Check-up is a simple-to-complete online questionnaire that enables small businesses to benchmark themselves against survey results from 700 small businesses across Europe, the Middle East and Africa (EMEA). The comparison allows participants to assess their organisation’s relative vulnerability to data risk and add information about their own environments to the benchmarking tool. The tool then provides them with an analysis of any gaps or inconsistencies that might cause exposure.

The Symantec Small Business Check-up has already revealed that smaller companies share a number of serious vulnerabilities:

• Surprisingly, the majority of small businesses are just as susceptible to information risks as large organisations. According to the research, 80 per cent of small businesses have ‘medium’ to ‘high’ sensitivity to risk. This figure is based on amalgamating their exposure to risk factors including whether they are governed by industry regulation, hold sensitive information, would be disrupted by regulatory breaches, or use mobile technology.
• More than a third of small businesses (35 per cent) have little or no ability to track and audit the way information is created, modified, deleted, accessed and moved. This could leave them exposed to significant risk or potentially facing heavy fines in some instances
• Interestingly, 40 per cent of small businesses have not tested the effectiveness of their backup and recovery arrangements, to make sure they could get their data back in a timely manner following a failure.

Más...