Reporte: Top Ten Smartphone Risks segun ENISA

The top ten information security risks for smartphone users.

Market analysts predict that smartphones will outnumber PCs by 2013, and that they will be the most common device for accessing the internet. In 2010 we published a report about smartphone security, giving an overview of risks, opportunities for smartphone users, and making recommendations.

This is the list of the top ten smartphone security risks from our report. The (level of) risk was determined in consultation with the expert group. The level is intended to convey the relative risk in relation to others, rather than an absolute probability or impact level.

• 1 - Data leakage resulting from device loss or theft  (Risk: High)

The smartphone is stolen or lost and its memory or removable media are unprotected, allowing an attacker access to the data stored on it.

•  2- Unintentional disclosure of data (Risk: High)

The smartphone user unintentionally discloses data on the smartphone

• 3  -Attacks on decommissioned smartphones (Risk: High)

The smartphone is decommissioned improperly allowing an attacker access to the data on the device.

• 4  -Phishing attacks (Risk: Medium)

An attacker collects user credentials (such as passwords and credit card numbers) by means of fake apps or (SMS, email) messages that seem genuine.

• 5 - Spyware attacks (Risk: Medium)

The smartphone has spyware installed, allowing an attacker to access or infer personal data. Spyware covers untargeted collection of personal information as opposed to targeted surveillance.

• 6 - Network Spoofing Attacks (Risk: Medium)

An attacker deploys a rogue network access point (WiFi or GSM) and users connect to it. The attacker subsequently intercepts (or tampers with) the user communication to carry out further attacks such as phishing.

• 7 - Surveillance attacks (Risk: Medium)

An attacker keeps a specific user under surveillance through the target user’s smartphone.

• 8 - Diallerware attacks (Risk: Medium)

An attacker steals money from the user by means of malware that makes hidden use of premium SMS services or numbers.

• 9  -Financial malware attacks (Risk: Medium)

The smartphone is infected with malware specifically designed for stealing credit card numbers, online banking credentials or subverting online banking or ecommerce transactions.

• 10 - Network congestion (Risk: Low)

Network resource overload due to smartphone usage leading to network unavailability for the end-user.


Risk is defined as the product of the likelihood and the impact of a threat against the information assets of an organization or an individual. Threats exploit one or more vulnerabilities. The likelihood of a threat is determined by the number of underlying vulnerabilities, the relative ease with which they can be exploited and the attractiveness for an attacker.

We used the following list of possible affected assets throughout:
- Personal data
- Corporate intellectual property
-  Classified information
- Financial assets
- Device and service availability and functionality
- Personal and political reputation

Video: Physical & Information Security Awareness Cartoon

MindfulSecurity.com

Update: Sysinternals Suite (Septiembre 2011)

Updated: September 20, 2011

Tanto profesionales como desarrolladores de TI encontrarán utilidades en Sysinternals para facilitar la administración y el diagnóstico de sistemas y aplicaciones de Windows, así como la solución de problemas que pudieran surgir al respecto.

- Utilidades de disco y archivos Utilidades para ver y supervisar el acceso a los discos y archivos, así como el uso que se hace de ellos.  -Red Herramientas de red, desde monitores de conexión a analizadores de seguridad de recursos. - Procesos y subprocesos Utilidades para consultar de forma subyacente los procesos en ejecución y los recursos que consumen.

- Utilidades de seguridad Utilidades de administración y configuración del sistema de seguridad, con programas de rootkit y de captura de spyware. - Información del sistema Utilidades para consultar el uso y la configuración de los recursos del sistema. - Varios Una colección de utilidades variadas que incluye un protector de pantalla, ayuda de presentación y una herramienta de depuración.

Si tiene alguna duda sobre una herramienta o sobre cómo utilizarla, visite el foro de Sysinternals para encontrar respuestas y ayuda de otros usuarios o nuestros moderadores.

Download Sysinternals Suite (12.9 MB)

By Mark Russinovich

Reporte: Appstore security - 5 lineas de proteccion contra el Malware para usuarios de smartphones

ENISA (la Agencia Europea de Seguridad de la Información), que es una agencia de la UE para redes y seguridad de la información, ha propuesto una medida de cinco pasos para proteger a los usuarios de smartphones de malware (software que están diseñados para robar datos de usuario y daños al dispositivo del usuario) mientras que la descarga de una aplicación.

A continuación se muestran los cinco pasos que la agencia ha propuesto, y estamos totalmente de acuerdo con ellos en relación con estos pasos. El problema es que es para las tiendas de la aplicación para decidir si elegir o ignoran estas sugerencias. Pero a medida que un usuario puede utilizar estas sugerencias para ser más seguro.

Revisión de la aplicación: Appstores debe revisar las aplicaciones antes de admitirlos. Mientras que la revisión de la aplicación no puede ser perfecto, que limita las posibilidades de los desarrolladores de aplicaciones para introducir aplicaciones maliciosas, o legítima, pero la inseguridad en las tiendas de aplicaciones. La aplicación puede comprobar las aplicaciones con herramientas automáticas de análisis (estático y dinámico). Además humanos (manual) el examen se puede utilizar. Mientras que la escalabilidad es un problema con la revisión humana, esto podría ser dirigida por centrarse en la funcionalidad sensible y mediante el uso de procedimientos de escalamiento.

Mecanismo de Reputación: La reputación de las aplicaciones y los desarrolladores de aplicaciones pueden ayudar a los usuarios a evitar malware. Las tiendas de aplicaciones debe mostrar la reputación de las aplicaciones y los desarrolladores de aplicaciones. De segundo orden, los mecanismos pueden aumentar la calidad de la reputación. Las tiendas de aplicaciones podría tener en cuenta la reputación de la misma aplicación en otras tiendas de aplicaciones. Un punto de preocupación es que la mayoría de aplicaciones de los usuarios la tasa por su funcionalidad y no por su seguridad, por lo que debe ser un canal separado para cuestiones de seguridad y privacidad (por ejemplo, “esta aplicación funciona, pero para los privilegios excesivos a instalar “).

 

Revocación de la aplicación (alias kill-switch): las plataformas de Smartphone deben apoyar la eliminación remota de aplicaciones instaladas en las tiendas de aplicaciones. Las tiendas de aplicaciones deben tener un mecanismo de revocación de la aplicación para las aplicaciones de malware y la inseguridad. En casos especiales, por ejemplo cuando el malware se escapa de la caja de arena de la aplicación, puede ser necesario el uso de herramientas personalizadas de la eliminación.

Seguridad del dispositivo: defensas App Store se basan en la seguridad de los dispositivos que ejecutan las aplicaciones. El dispositivo se debe instalar y ejecutar aplicaciones en cajas de arena, para reducir el impacto de malware. En el recinto de seguridad, las aplicaciones deberían obtener solamente un conjunto mínimo de privilegios (el principio de mínimo privilegio). El recinto de seguridad deben vigilar la aplicación en su interior y permitir al usuario ver la actividad del pasado de la aplicación. La revocación de la aplicación debe desinstalar la aplicación y devolver el dispositivo a un estado de pre-instalación.

Cárceles (o espacios protegidos): los vendedores pueden restringir los teléfonos inteligentes para aplicaciones de una o más tiendas de aplicaciones designadas y de esta manera evitar los ataques drive-by download. Esto se conoce comúnmente como una cárcel o un jardín.

Visto en pysnnoticias.com



Reporte completo:

“The five lines of defence” to secure app stores from malware: app review, reputation, kill-switches, device security & jails identified in new Agency report.

New report: App-store security– the 'five lines of defence'

The Agency today publishes a new report on app-store security where it advocates for a baseline set of ‘five lines of defence ‘ against malware

Starting from a threat model for app-stores, the paper identifies what it calls “the five lines of defence” that must be in place to secure app stores from malware: app review, reputation, kill-switches, device security and jails. “This report provides a very practical and technical analysis of malware threats for app-stores in under 20 pages. The Agency has made an excellent choice of security techniques, and the recommendations are ready-to-use,” says Raoul Chiesa, an Italian ethical hacker and cybersecurity expert.

Without overlooking the differences between the various smartphone models and app-stores, ENISA recommends an industry-wide approach to addressing insecure and malicious apps. “The number of malware attacks direct at smartphones still pales in comparison to PCs. This paper is a blueprint for how to maintain this head-start and address security across app-stores." says Professor Udo Helmbrecht, Executive Director of ENISA.


For full report

La NSA se abre al público para luchar contra las ciberamenazas

ORLANDO, EEUU (Reuters) -

Anthony Stramella, oficial del Centro de Amenazas de la Agencia de Seguridad Nacional estadounidense, está más preocupado que la mayoría por cómo la información de ordenadores, teléfonos y otros dispositivos puede ser manipulada o acabar en las manos equivocadas.

Así que cuando se compró un ordenador que sólo utiliza para enviar correos electrónicos en casa y vio que tenía cámara web, rápidamente la tapó con cinta de carrocero. Y utiliza un teléfono móvil de 15 dólares (11 euros) que sólo puede hacer una cosa: llamadas telefónicas.

Esto llevó a sus hijas, que tienen dispositivos móviles con múltiples aplicaciones, a meterse con él diciendo que es un "hombre de las cavernas". Pero Stramella dice que el normal: "Puedo vivir en este mundo, mis hijas no".

En un ejemplo de cuánto ha cambiado también el mundo de Stramella, el oficial de la NSA (por sus siglas en inglés), que asegura que su padre trabajó para la agencia y nunca le dijo cuál era su trabajo, habló abiertamente en una conferencia sobre ciberseguridad patrocinada por la NSA en Florida, a la que acudieron cerca de 600 personas pertenecientes a empresas de tecnología, el gobierno y los medios.

Más...


Visto en que.es

Expertos en seguridad desvinculan los desnudos de famosos de Anonymus

CNN) — Las celebridades desnudas parecen estar en todas partes últimamente.

La semana pasada, un hacker supuestamente robó fotos de desnudos de la actriz Scarlett Johansson y luego las publicó en internet. Anteriormente fue la rapera Kreayshawn, quien escribió en su blog que su cuenta de Twitter fue hackeada en agosto cuando aparecieron fotos de ella desnuda. En marzo, Vanessa Hudgens, de High School Musical, enfrentó un episodio similar después de que algunas fotos fueran supuestamente robadas de su cuenta de Gmail.

Y en diciembre, la policía de Alemania dijo que dos jóvenes habían usado sus habilidades para hackear computadoras para conseguir el acceso a las cuentas de correo electrónico y fotos de más de 50 celebridades incluyendo a famosas como Lady Gaga y la Ke$ha, de acuerdo con el diario británico The Telegraph.

A raíz de todo este jugoso alboroto de Hollywood, la gente ha empezado a asumir que estas recientes filtraciones de fotos son el último frente en las llamadas guerras hacktivistas llevadas a cabo por círculos de hackers de gran renombre como Anonymous y LulzSec. Esos grupos se han atribuido la responsabilidad de tirar sitios gubernamentales y de bancos.

Más..

NIST releases draft Risk Assessment Guidance - SP 800-30 Rev. 1

Risk assessment is one of four steps in the risk managed process agencies should undertake in securing their computer networks, says the National Institute of Standards and Technology.

The agency released Sept. 19 a draft publication meant to guide agencies in performing risk assessments, stating that it will accept public comment through Nov. 4. The document is special publication 800-30, which originally covered risk management guidelines--which are now instead covered by 800-39. 



























A risk assessment should include an explicit risk model, an assessment approach, and an analysis approach, the draft document states. A risk model defines key terms and their relationships. Defining terms early can lead to useful distinctions, such as between threat sources and threat events, the draft notes. Multiple threat sources can cause the same threat event, it adds. For example a key server being taken offline is a threat event, but sources can be as diverse as a denial-of-service attack and power failure.






















More...


Download
SP800-30-Rev1-ipd.pdf (823 KB)





Visto en fiercegovernmentit.com

Link relacionado
-  SP 800-30 Rev. 1 (NIST)

SECURITY-ZONE 2011 - Congreso de Seguridad Informática en Colombia

The Muro Group International presenta SECURITY-ZONE 2011, un evento de seguridad informática de talla internacional presentado en Centro de Eventos Valle del Pacifico en Cali, Colombia, Noviembre 28 al 30, 2011.

SECURITY-ZONE 2011 reúne a 16 reconocidos expertos de seguridad informática provenientes de USA, Europa, Asia, y Colombia, en un ambiente propicio para el intercambio de conocimiento, actualización de información, y networking.

Presentacion Security Zone 2011 Resumen Web del evento

Publicado estándar para la Gestión de Incidentes de Seguridad de la Información – ISO/IEC 27035:2011

ISO / IEC 27035:2011 Tecnología de la información – Técnicas de seguridad – gestión de incidentes de seguridad de la información es el nuevo estándar publicado por ISO para ayudar a las organizaciones a mejorar la gestión de los incidentes relativos a la seguridad de la información.

Los controles de seguridad existentes pueden fallar, no se han aplicado bien o simplemente no son perfectos.

Una gestión de incidencias eficaz implica aplicar controles detectivos y correctivos dirigidos a minimizar los impactos adversos, reunir pruebas forenses (si aplica) y “aprender las lecciones” en términos de la mejora de la gestión de la seguridad o de un SGSI.

ISO/IEC 27035 establece un enfoque estructurado y planificado para:

• - Detectar, informar y evaluar los incidentes de seguridad de información;
• - Responder a incidentes y gestionar incidentes de seguridad de la información;
• - Detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
• - Mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.

Un aspecto importante es que la norma incluye la gestión de vulnerabilidad, así como la gestión de incidentes

 - Departamento Gestión de la Seguridad

 - Áudea, Seguridad de la Información, S.L.

Visto en www.comusoft.com/

Hacker Intelligence Initiative, Monthly Trend Report #4 - SQL Injection: By The Numbers (Imperva)

Imperva's Hacker Intelligence Initiative has put out a 4th report.  

This time, our focus is SQL injection. 

Blog Imperva
As we have written before, SQL injection is the most pernicious vulnerability in human computer history. From 2005 through today, SQLinjection has been responsible for 83% of successful hacking-related data breaches.  Using data from Privacyrights.org, we checked the data breaches from 2005 to today.  There were 312,437,487 data records lost due to hacking with about 262 million records from various breaches including TJMax, RockYou and Heartland, all of which were SQL injection attacks.

We found, since July, the observed Web applications suffered on average 71 SQLi attempts an hour. Specific applications were occasionally under aggressive attacks and at their peak, were attacked 800-1300 times per hour.

We also found:

• Attackers increasingly bypass simple defenses. Hackers are using new SQLi attack variants which allow the evasion of simple signature-based defense mechanisms.
• Hackers use readily available automated hacking tools. While the attack techniques are constantly evolving, carrying out the attack does not necessarily require any particular hacking knowledge. Common attack tools include Sqlmap and Havij.
• Attackers use compromised machines to disguise their identity as well as increase their attack power via automation. To automate the process of attack, attackers use a distributed network of compromised hosts. These “zombies” are used in an interchangeable manner in order to defeat black-listing defense mechanisms.
• About 41% of all SQLi attacks originated from just 10 hosts. Again, we see a pattern where a small number ofsources are responsible for a majority of attacks.

The report is available here (no registration required).



Windows 8 secure boot would 'exclude' Linux

Computer scientists warn that proposed changes in firmware specifications may make it impossible to run “unauthorised” operating systems such as Linux and FreeBSD on PCs.

Proposed changes to the Unified Extensible Firmware Interface (UEFI) firmware specifications would mean PCs would only boot from a digitally signed image derived from a keychain rooted in keys built into the PC. Microsoft is pushing to make this mandatory in a move that could not be overridden by users and would effectively exclude alternative operating systems, according to Professor Ross Anderson of Cambridge University and other observers.

UEFI is a successor to the BIOS ROM firmware designed to shorten boot times and improve security. The framework, a key part of Windows 8, is designed to work on a variety of CPU architectures.

More...


theregister.co.uk

Crece el malware para dispositivos móviles un 273%

El último “Informe de Malware” de G Data señala un notable incremento de malware para esta plataforma respecto al primer semestre de 2010

Madrid, 19. septiembre 2011

El último informe de malware de G Data es concluyente acerca de la actividad incesante y la desafortunadamente buena salud de la ‘economía underground’. G Data SecurityLabs registró una nueva pieza de malware cada 12 segundos hasta acumular, durante los primeros seis meses de año, más de 1,24 millones de nuevos programas maliciosos, casi un 16% más de los registrados en la segunda mitad de 2010. Los expertos de G Data adelantan que este crecimiento continuará en los próximos meses y acabaremos el año con, al menos, 2,5 millones de nuevos programas dañinos. Incluso se podría registrar en este 2011 tanto nuevo malware como el acumulado entre los años 2006 y 2009, ambos incluidos. Parece que no hay final a la vista para esta interminable avalancha de malware.

Dispositivos móviles en la diana…

Los datos y análisis del laboratorio de G Data señalan que, de enero a junio de 2011, la proporción del malware destinado a dispositivos móviles creció un 273% respecto al primer semestre de 2010 (frente al 16% de crecimiento global de nuevas amenazas). “Con el malware para móviles, los cibercriminales han descubierto un nuevo modelo de negocio”, explica Ralf Benzmüller, responsable de G DataSecurity Labs. “Ahora mismo, los autores de malware usan principalmente backdoors, programas espía y abusivos servicios SMS para estafar a sus víctimas. Desafortunadamente, podemos decir que estamos asistiendo al nacimiento de un nuevo y potencialmente muy lucrativo nicho de mercado para los cibercriminales y esperamos un continuo crecimiento del ‘malware mobile’ de aquí a finales de año.”

… pero troyanos, downloaders, backdoors y adware siguen amenazando al PC

En general, los expertos de G Data han observado que los troyanos siguen dominando el escenario del malware, seguidos por downloaders y backdoors (aunque el número de amenazas incluidas en estas dos últimas categorías han disminuido su presencia ligeramente). La mayoría de los troyanos están diseñados para facilitar cualquiera de las actividades contenidas en los catálogos de servicios de los cibercriminales (ataques DDoS, spamming, robo de contraseñas o información personal, etc.). Es destacable también el crecimiento respecto al periodo anterior de las amenazas de tipo adware, que continúan siendo un negocio lucrativo para los autores de malware.

Nuevos programas maliciosos por año

 

Dos ejemplos de malware para Android

App Zsone. Está app manipulada se expandió a través del Android Market oficial de Google. La aplicación incluía un troyano que enviaba una suscripción a un servicio Premium de envío de mensajes SMS en China sin, por supuesto, el permiso del usuario. Una vez realizado este registro, los usuarios sólo podían comprobar la estafa en su siguiente factura.

Por su parte, el malware NickiBot funciona como un programa espía capaz de grabar conversaciones y ruido ambiente durante cualquier llamada, así como las coordenadas GPS del dispositivo infectado y permite a sus autores acceder a la información personal de la víctima.

Fuente: gdata.es

Trend Micro Mobile Security - Personal Edition para Android

'Trend Micro Mobile Security - Personal Edition' se puede descargar a través de Android Market.
La aplicación de escáner, 'App Scanner', es gratuita.

• - A Free App Scanner ensures everything you install on your device is safe
• - Surf, Call, Text Security keeps you and your kids safe online, avoiding unwanted contact
• - Lost Device Protection lets you find, lock or wipe your missing mobile device

System Requirements

Before installing Trend Micro Mobile Security Personal Edition, be sure your Android device meets the following requirements:

• Platform: Google Android
• Operating system: Android OS 2.2 and above
• Storage space: 7.5-MB minimum
• Memory usage: 9-MB for phone, 16-MB for tablet
• Others: Internet connection

Link relacionados:
- Trend Micro presenta su próxima generación de seguridad para Android
- Mobile Security Personal Edition

Anonymous señala a Uruguay como próxima víctima

Americaeconomica.com

El grupo internacional Anonymous ha amenazado a través de un vídeo con un ataque informático masivo al Gobierno uruguayo. Una persona con una máscara y la voz distorsionada, que se identifica como miembro de este grupo e hackers, anunció que la ofensiva tendré lugar entre los próximos días 19 y 20 de octubre.

El objetivo sería atacar las cuentas de Internet de los senadores, diputados y la web del Ministerio del Interior. En el video, presentado por el Canal 10 de Montevideo, se dice literalmente que “el Frente Amplio (Partido en el Gobierno en Uruguay) hace muy poco, casi nada, para luchar en contra de la delincuencia, mientras que los partidos de la oposición solo se encargan de criticar en vez de preocuparse por plantear soluciones. Solo se preocupan por los votos". Esto fue lo que leyó el encargado de ‘dar la cara’ por todo su grupo. Por ello, el estatal Centro Nacional de Respuesta a Incidentes en Seguridad Informática está en alerta ante un posible ataque. Anonymus reclama fundamentalmente una mayor seguridad, puesto que, según el grupo de activistas, “la delincuencia ha ido aumentando considerablemente y la inseguridad es de todos los días, hay familias destruidas” .

La idea de Anonymous como movimiento en la red surgió a partir de los tablones de imágenes de Internet, donde se da la etiqueta de “anónimo” a todo visitante que comparte sus opiniones y comentarios sin identificarse. Cuando estos tablones ganaron en popularidad lo hizo también la idea de Anonymous como un colectivo de individuos sin nombre. Amparándose en la lucha contra la censura y por la libertad de expresión, sus miembros (que se ocultan tras el anonimato) llevan actuando en Internet desde el año 2006, cuando tuvo lugar la primera redada en Habbo, web que recrea un hotel virtual. En America Latina, el grupo de piratas informáticos atacó de forma masiva varios sitios webs ecuatorianos. Días antes a la ofensiva, el colectivo avisó de sus intenciones y las promocionó a través de Facebook y Twitter con el hastag #OPCondorlibre.

La Operación Cóndor fue la respuesta de los ciberactivistas a los supuestos ataques a la libertad de expresión promovidos por el Gobierno de Ecuador. Colombia también se ha visto atacada por el grupo. Mientras, Bolivia, Venezuela y Perú ya han sido avisadas de una posible ofensiva. 2011-09-19

'Caso Scarlett': la seguridad de los dispositivos móviles, al desnudo

• - El caso de las fotos de Scarlett Johansson desnuda ha dado la vuelta al mundo
• - Uno de los problemas más comunes son las redes wifi gratuitas
• - Los 'hackers' pueden acceder a estos terminales sin demasiada dificultad

'Hackear' móviles de famosos parece que se ha puesto de moda. Se habla de una lista de 50 celebrities de Hollywood a las que piratas informáticos han conseguido robarles sus fotos más íntimas del móvil. 

El caso de las fotos de Scarlett Johannson, en las que aparece desnuda, ha dado la vuelta al mundo. Pero hay más actrices, como Mila Kunis, Vanessa Hudgens, Lady Gaga o Miley Cirus que también lo han sufrido y se han puesto en contacto con las autoridades para denunciarlo.

Más..

Fuente rtve.es

XV Congreso Iberoamericano de Derecho e Informática

3 al 8 Octubre, 2011 Buenos Aires

La Ciudad Autónoma de Buenos Aires, será la sede del nuevo congreso. Las instituciones principales en el desarrollo del congreso serán el Instituto Universitario de la Policía Federal Argentina, la Carrera de Posgrado de Abogado Especialista en Derecho de Alta Tecnología de la Pontificia Universidad Católica Argentina y la Asociación Argentina de Informática Jurídica, quienes igualmente les dan la bienvenida y auguran el mayor de los éxitos para este congreso.

El Objetivo

 El objetivo de quienes participamos de este Comité Organizador, es ofrecerles tanto a los asistentes, como a los expositores, la posibilidad de disfrutar de un ambiente académico de excelencia, a la vez que compartir buenos momentos con viejos y nuevos amigos, mientras todos adquirimos novedosas herramientas para la vida profesional y nos actualizamos con las tendencias más modernas del derecho y la informática.

Web del evento

El Password: Factor crítico de éxito para proteger la información contra los Hackers

“El conflicto entre la necesidad de construir contraseñas de difícil deducción y la necesidad para mantenerlas fácil de recordar, ha hecho de la seguridad de la contraseña un problema complejo”. M. King

La definición de contraseñas seguras (Strong Password) es una necesidad imperativa para habilitar accesos seguros tanto a la información personal en las redes sociales, cuentas de correo, Internet Banking, así como los sistemas y recursos de red empresarial.

La definición de contraseñas seguras reduce los riesgos asociados al acceso no autorizado, manipulación y destrucción de información de forma accidental o deliberada y la protege de una posible divulgación no autorizada.

Sin embargo, el uso de contraseñas seguras no reemplaza la necesidad de otros controles de seguridad, los cuales deben actuar en conjunto para proteger la información de manera eficaz. La eficacia de los controles de acceso viene dada por cuatro (4) factores:

• -Definición de contraseñas seguras o complejas
• -Educación y cultura de seguridad en la protección de contraseñas
• -Controles complementarios al uso de contraseñas seguras
• -Controles en la transmisión y almacenamiento de contraseñas

Definición de contraseñas seguras
Muchas personas son de la opinión que la definición de contraseñas seguras no es funcional dado el número de contraseñas que manejan, la dificultad que tienen para construirlas y recordarlas, sobre todo ahora con el crecimiento de las redes sociales y el uso de smartphones. Esta situación, trae consigo mayores probabilidades de generar brechas de seguridad, como por ejemplo escribir las contraseñas y ubicarlas en lugares no seguros, tales como debajo de los teclados, en archivos planos en sus computadores e incluso en el sitio de trabajo visibles a cualquier persona.

Más...

Visto en cwv.com.ve

Informe de Chatham House: La seguridad cibernética es un problema a nivel ejecutivo

La seguridad cibernética es un problema a nivel ejecutivo, dice informe de Chatham House

El Gobierno debe comunicar la información cibernética de riesgo en palabras sencillas

Por Anh Nguyen

Computerworld Reino Unido

Un nuevo informe dice que los ejecutivos de nivel directivo tienen que ser más conscientes de los problemas de seguridad cibernética de sus organizaciones para gestionar eficazmente los riesgos cibernéticos. Se trata de un anuncio importante del gobierno del Reino Unido sobre seguridad informática, que se espera que se haga esta semana.

El evento “Cyber ​​seguridad y críticas de infraestructura del Reino Unido” informe de Chatham House, patrocinado por la empresa BAE Systems Detica, recomienda que las empresas deben hacer que todo el personal en sus organizaciones esté consciente de los riesgos informáticos, y que este debe ser dirigido desde la parte ejecutiva. La alta dirección debe tener la suficiente confianza en su comprensión de la seguridad cibernética para "hacer las preguntas correctas a los encargados de garantizar la seguridad dentro de su organización", dijo el informe.

Más..

Visto en pcwla.com

Cyber Security and the UK's Critical National Infrastructure Chatham House Report
Paul Cornish, David Livingstone, Dave Clemente and Claire Yorke, September 2011

Government cannot provide all the answers and guarantee national cyber security in all respects for all stakeholders. As a result, Critical National Infrastructure enterprises should seek to take on greater responsibilities and instil greater awareness across their organizations
 

All organizations should look in more depth at their dependencies and vulnerabilities. Awareness and understanding of cyberspace should be 'normalised' and incorporated and embedded into standard management and business practices within and across government and the public and private sectors
 

Cyber terminology should be clear and language proportionate to the threat. It should also encourage a clear distinction to be made between IT mishaps and genuine cyber attacks
 

Research and investment in cyber security are essential to meeting and responding to the threat in a timely fashion. However, cyber security/protection should not be the preserve of IT departments but of senior executive boards, strategists and business leaders and it should be incorporated into all levels of an organization

Descarga de informe

El 54% de usuarios de Internet no comprueba los enlaces antes de abrirlos

La compañía danesa de filtros antispam, SPAMfighter, muestra según un estudio que el 54% de los usuarios abre enlaces de páginas Web, e-mails, redes sociales y demás, sin comprobar antes su destino.
Barcelona, 08 de septiembre de 2011-.

Un estudio reciente de SPAMfighter muestra como los usuarios de Internet, concretamente un 55% de hombres y un 50% de mujeres, continúan siendo confiados a la hora de abrir cualquier tipo de enlace, sin comprobar antes su destino exponiendo sus equipos informáticos a graves problemas de seguridad.

Aunque la mayoría de los encuestados se arrepiente después de abrir este tipo de enlaces, el estudio revela como el 65% de las mujeres son más confiadas a la hora de abrir links en el correo electrónico, y no comprueban donde va el link antes de pinchar en ellos, mientras que un 55% de los hombres abre enlaces de páginas Web.

Comentando esta situación, Martin Thorborg, co-fundador de SPAMfighter señala: "El elevado número de personas que han hecho clic en un enlace y se arrepiente, muestra que para los estafadores es fácil engañar a las personas. Es muy triste y el elevado número de casos nos sorprende mucho. También es interesante que las mujeres parecen ser un poco más cautelosas. Sólo podemos sugerir a los internautas que tengan cuidado y que se protejan contra el spam y spyware."

Visto en www.spamfighter.com

 

Video: Guía sobre almacenamiento y borrado seguro de información

INTECO

La píldora didáctica de la “Guía sobre almacenamiento y borrado seguro de información”, resume de forma práctica y visual la citada publicación del Observatorio dirigida a empresas.

Este videotutorial parte de la información como activo de valor en las organizaciones, para abordar aspectos como la adecuada gestión y almacenamiento de los datos, la pérdida de información y las acciones preventivas y correctivas ante un incidente de este tipo. En concreto, se tratan los principales métodos de borrado seguro que garantizan la adecuada gestión del ciclo de vida desde el punto de vista de la seguridad de la información.

La guía está disponible para su descarga la en formato PDF accesible en castellano e inglés, así como la reseña de la misma en catalán, euskera, gallego y valenciano. También se puede descargar desde la sección de Guías y Manuales del Observatorio.

Pósters de Concientización en Seguridad de la Información (VIII)

Free Passwords Information Security Awareness Posters

The following posters are aimed at raising awareness of the risks associated with using weak passwords and are being made freely available for you to download. They are fun, bright and eye catching with a serious message. Click on each poster to download.

 

Terms of use:
These posters are being made freely available and may be printed locally and used within your own business or dwelling. By downloading these posters, you agree not to use them, or any of the images contained within them, for commercial purposes. You agree to the terms and conditions of this site and agree to not alter or modify the posters in any way and to not remove the copyright message. If you do wish to customize a poster, or obtain the file in a much higher resolution, or to not have the copyright notice displayed – please purchase it from the store or contact me.

More...

Mindfulsecurity.com


Post relacionados:
- Pósters de Concientización en Seguridad de la Información (VII)
- Pósters de Concientización en Seguridad de la Información (VI)
- Pósters de Concientización en Seguridad de la Información (V)
- Pósters de Concientización en Seguridad de la Información (IV)
- Pósters de Concientización en Seguridad de la Información (III)



 

6 consejos prácticos para blindar tu cuenta de twitter contra hackeos

Existen varios trucos para “blindar” nuestras cuentas de twitter y correo electrónico, para que no seamos víctimas de un delito informático como el “hackeo”, en donde una persona toma control de una cuenta que no le pertenece, violando la privacidad de la persona o empresa afectada. A continuación, te traemos  consejos prácticos para evitar que tu cuenta sea hackeada.

1. Contraseñas: Haz una contraseña buena y larga, utilizando mayúsculas, minúsculas, números y signos. Una genial manera de hacer una contraseña, es poner en siglas una frase que nos guste, como por ejemplo: “Mi Cumpleaños Es El 19 De Noviembre” = MCEL19DN.

2. Ñ: Una excelente alternativa para evitar hackers es colocar la letra ñ en tu contraseña, principalmente porque en teclados en inglés no se encuentra este grafema.

3. Correo diferente: Linkea tu cuenta de twitter con una cuenta de correo electrónico que casi no tenga que ver con tu usuario. Por ejemplo, si en twitter eres @Culturizando, asociarla a culturizando@gmail.com sería muy obvio. No olvides colocarle una clave diferente de la que tienes en twitter.

4. Pregunta secreta de correo: Al pulsar la opción de “olvidé mi contraseña”, cualquier persona puede modificarla, luego de contestar tu pregunta secreta. Muchos servidores de email permiten redactar tu propia pregunta, coloca unas que sólo tú sepas, y sean difíciles de adivinar. “Número de viajero frecuente?” o “Marca de las bocinas de mi computadora?”, pueden ser buenas alternativas. Otra forma es contestar las preguntas con cosas que no tengan que ver, como responder a “Año de su nacimiento?”, con “Ser o no ser”.

5. Recuperación en email: Coloca correos electrónicos de servidores poco conocidos y con un nombre diferente al que ya posees, para recuperar tu contraseña, en caso de olvidarla. AOL es un buen servidor para ello. Al tener una cuenta de recuperación de contraseña que sea difícil de adivinar, es mucho más complicado que personas ajenas accesen a ella, hackeen tu correo linkeado a twitter, y luego puedan controlar tu usuario.

6. Mantenla tuya: Nunca compartas tu clave de twitter o correo electrónico con nadie, ni la guardes si visitas un ciber café. Es mejor escribir una clave mil veces, y evitar un hackeo, a pulsar la opción de “recordar contraseña” en una o varias computadoras.

Si ya has sido víctima de un hackeo, intenta recuperar tu correo electrónico en primera instancia, contestando a la pregunta secreta, o enviando la restitución de contraseña a tu correo de recuperación. Al lograr esto, modifica la clave, y luego pide a twitter restituir tu contraseña, para cambiarla a una mucho más fuerte.

La seguridad en Internet depende de todos, y de que los usuarios aprendamos a hacer contraseñas fuertes y seguras. No olvides seguir estos consejos, para que no seas víctima de una posible usurpación a tu identidad o la de tu empresa. 

Fuente: Culturizando

Visto en boy4me.net

El peligro de las erratas en el ciberespacio

Un punto que falta en un correo electrónico podría hacer que los mensajes terminen en las manos de ladrones del ciberespacio, reveló una investigación.

Luego de crear dominios de internet que incluían erratas frecuentes, los investigadores recibieron correos electrónicos que no hubiesen tenido destinatario de otra forma.

Durante seis meses recopilaron 20GB de información incluida en 120.000 mensajes enviados por equivocación.

Parte de las correspondencia interceptada contenía nombre de usuarios, claves secretas y detalles de redes corporativas.

De acuerdo al trabajo elaborado por Peter Kim y Garret Gee del grupo Godai, cerca del 30% de las principales 500 compañías estadounidenses estaban en situación vulnerable por este defecto en la seguridad informática.

El problema ocurre debido a la forma en la que las empresas organizan sus sistemas de correo electrónico. Si bien la mayoría tiene un solo dominio para su página de red, muchas usan subdominios para unidades específicas de negocios, oficinas regionales o filiales extranjeras.

Los puntos son utilizados para separar las palabras en ese subdominio.

Más...

Fuente: www.bbc.co.uk

Facebook tendra directora privacidad

Hace un año y medio, Mark Zuckerberg, el creador de Facebook, afirmó que la era de la privacidad ha muerto. Según él, los usos sociales estaban marcando el camino hacia un mundo totalmente público.

Poco antes, la red social había convertido en accesible al público la información de todos sus miembros: nombre, foto de perfil, género, ciudad, redes, lista de amigos y páginas suscritas. Todo ello es ahora visible en la web. Cualquiera puede buscarlo y leerlo.

Cuando Facebook comenzó, esa información solo era visible para los usuarios aceptados como amigos.

Más...

Visto en abc.es

China pide más cooperación internacional para mejorar seguridad de la información

China instó el día 13 martes a la comunidad internacional a trabajar más estrechamente para mejorar la seguridad de la información y de internet.
"China considera que la seguridad de la información y de internet es un desafío común al que se enfrentan todos los países, por lo que sólo puede ser manejada de manera efectiva a través de la cooperación internacional", indicó la portavoz del Ministerio de Relaciones Exteriores, Jiang Yu, en una conferencia de prensa regular celebrada en Beijing.
Las declaraciones de Jiang se producen después de que los representantes de China, Rusia, Tayikistán y Uzbekistán ante las Naciones Unidas enviaran ayer lunes una carta conjunta al secretario general de la organización, Ban Ki-moon, solicitándole que ponga en circulación el Código Internacional de Conducta para la Seguridad de la Información como un documento formal de la 66ª sesión de la Asamblea General de la ONU.

El documento es el primero de su tipo que plantea propuestas exhaustivas y sistemáticas para las reglas internacionales sobre la seguridad de la información.

"China espera que el código de conducta sirva como base para las discusiones internacionales pertinentes y pide a todos los países que continúen debatiendo dentro del marco de la ONU para alcanzar un consenso sobre las normas y reglas y así regular la conducta de los estados en sus actividades relacionadas con la información y la red", manifestó Jiang.
La portavoz dijo que dicho código también podría ayudar a promover la seguridad de la información y de internet en todos los países y lograr beneficios comunes.

De acuerdo con el documento, el propósito del código de conducta es identificar los derechos y responsabilidades de las distintas naciones en la red, fomentar un comportamiento constructivo y responsable y reforzar la cooperación a la hora de abordar las amenazas y desafíos comunes.(Xinhua)
14/09/2011

Fuente: spanish.peopledaily.com.cn

Cybersecurity Risk Management Process (RMP) Guideline for Public Comment

ELECTRICITY SECTOR CYBERSECURITY RISK MANAGEMENT PROCESS GUIDELINE

U.S. Department of Energy

SEPTEMBER 2011

This risk management process (RMP) guideline was developed by the Department of Energy (DOE), in collaboration with the National Institute of Standards and Technology (NIST) and the North American Electric Reliability Corporation (NERC). Members of industry (utilities and vendors) and utility-specific trade groups were included in authoring guidance that would be meaningful and reflect industry advice. The primary goal of this guideline is to describe an RMP that is tuned to the specific needs of Electricity Sector organizations. The NIST Special Publication (SP) 800-39, Managing Information Security Risk, provides the foundational methodology for this document. The NIST Interagency Report (NISTIR) 7628, Guidelines for Smart Grid Cyber Security, and NERC critical infrastructure cyber security standards provide a strong foundation for the development of cybersecurity guidelines that will further refine the definition and application of effective cybersecurity for all organizations in the Electricity Sector. The NERC Critical Infrastructure Protection (CIP) cybersecurity standards are outside the scope of this guideline.

Download

Paper: Como atacar smart phones usando etiquetas QR

Si alguien te dijera que puede disparar un ataque informático desde un papel impreso? Pensarías que es posible?

Y si te dijera que tu smartphone es uno de los dispositivos que pueden ser atacado de esta forma ¿ Lo creerías?

Bueno si es posible!

Probablemente si conocemos en con cierta profundidad a utilizar las funciones que pueden realizarse desde este tipo de dispositivos, estaremos familiarizados con los códigos de barras o con sus primos los códigos bidimensionales o QR. Un ejemplo de esto es la imagen que se muestra a continuación

Más...

Fuente: Blog KaOtiCo NeUtRaL

Paper: Web Application finger printing Methods/Techniques and Prevention

Table of Contents

1. Abstract
2. Theory of Finger Printing and Web Application Finger printing
3. Usage of Web Application Finger Printing
4. Methods of Web Application Finger Printing
   • HTML Data Inspection
   • File and Folder Presence (HTTP response codes)
   • Checksum Based identification
5. Disadvantages of Current automated Solutions
6. Case Study of various Web Application finger printing Software�s
   
   • WhatWeb
   • Wapplyzer
   • BlindElephant
   • Plecost (Specialized Scanner for Wordpress)
   • W3af Wordpress finger printer
7. Inherent Flaws in the Design of Current automation ToolsThwarting Web Application Finger Printing
   • HTML cleansing
   • File and folder Restrictions
   • Checksum Management
     • Static Text Files (HTML, JS, CSS)
     • Image files (PNG, JPG, ICO, GIF)
     • Incremental chaos
9. Enhancing Current Tools and future directions
   • New Approach for Tools
   • Cross Referencing other techniques & using Human Common Sense in Tools
10. Conclusion
11. References

 



Paper: Web Application finger printing Methods/Techniques and Prevention

Anant Shrivastava
17 july 2011

Nueva plataforma de formación online de INTECO

Ya se encuentra disponible la nueva plataforma de formación online de INTECO , mejorada, con un nuevo diseño, en la que puede encontrar un amplio abanico de cursos gratuitos para profesionales de las TIC. Además, nuevas e importantes mejoras serán progresivamente incluidas en la oferta de servicios online.

La plataforma de formación online de INTECO es un espacio virtual que permite impartir cursos on-line, así como administrar los alumnos que accederán a dichos cursos. Cuenta con todos los servicios necesarios para garantizar la efectividad de la formación a distancia en modalidad on-line.

En la plataforma el alumno podrá observar la oferta completa de cursos disponibles, así como una breve descripción de los mismos, la forma de contacto, los objetivos de la acción formativa, la formación previa necesaria para acceder al curso -en su caso-, el hardware o software necesarios -en su caso- y una orientación acerca del público objetivo al que van dirigidos. En la página de inicio así mismo, podrá ver un carrusel con cursos destacados y próximas convocatorias.

El abanico de cursos para profesionales TI se encuentran agrupados en tres categorías: Seguridad, Accesibilidad y Calidad.

Para utilizar el servicio, en primer lugar es necesario inscribirse en los cursos deseados. Realizada la inscripción a los cursos, para acceder a los mismos es necesario identificarse.

Al final de cada curso deberá realizarse un test de evaluación que medirá los conocimientos alcanzados por el alumno.

El alumno una vez identificado cuenta con una Guía para el uso de la plataforma donde podrá ampliar información.

Web de INTECO

Adobe Set to Patch Critical Reader and Acrobat Vulnerabilities

Adobe is set to release “critical” security updates on a number of their products on Tuesday as part of their monthly patch update to fix critical vulnerabilities in Adobe Reader and Acrobat.

In an early notification, Adobe said it would release critical updates for a  wide range of versions of Adobe Reader and Adobe Acrobat for both Windows and Macintosh.

The Adobe monthly patch-release coincides with Microsoft’s Patch Tuesday, which is also set for release tomorrow. Like Microsoft, Adobe was forced to issue unscheduled updates to revoke trust of compromised Dutch certificate authority DigiNotar last week.

Adobe's products are a popular target of attacks, given their ubiquity and the relative ease malicious hackers have had finding exploitable vulnerabilities in them. The company has  encountered criticism during its last monthly patch update, after researcher Tavis Ormandy accused the company of secretly patching undisclosed vulnerabilities with its August release. The company politely disagreed with Ormandy, saying that the vulnerabilities the company was accused of secretly patching had been discovered as a result of internal testing and that Adobe does not typically disclose issues it discovers. 

Check back tomorrow for a full report on Adobe’s patches.

Visto en threatpost.com

Video: Las TI en Seguridad Informatica

Libro: Seguridad por Niveles

Madrid, septiembre de 2011.

Se trata de una obra muy específica de más de 700 páginas, que desarrolla todos los temas de interés para profundizar en Seguridad de la Información, presentándolo desde el modelo de capas TCP/IP y con un gran cúmulo de ejercicios, herramientas y prácticas. Han tenido la amabilidad de participar en su revisión y escribir el prólogo y presentación: Arturo Ribagorda Garnacho y Jorge Ramió Aguirre, que son dos importantes referentes en Seguridad del ámbito Hispano.

El libro está disponible bajo licencia Creative Commons para su libre descarga y difusión sin fines de lucro, y lo recomendamos especialmente para su uso en todo tipo de ámbito de docencia.

Descarga  (hacer Click en el diskette)

Ecosistema’ del cibercrimen

En lo que va de 2011 se ha registrado un incremento de 490% de ataques maliciosos en la región de Iberoamérica, en comparación con las cifras de 2009

Los peligros de perder información en la computadora se han vuelto cada vez recurrentes debido a la falta de leyes que castiguen severamente el crimen cibernético, además de la gran cantidad de dinero que se maneja en estos mecanismos.

Estas dos premisas son la base que ha catapultado el crecimiento acelerado del malware o código malicioso, aseguró Dmitry Bestuzhev, director del equipo de Investigación y Análisis de Kaspersky para América Latina.

“Durante 2009, la región de Iberoamérica registro más de 500 mil ataques, mientras que para 2010 la cifra aumentó a 2 millones; en lo que va de este año hemos analizado más de 2.5 millones de amenazas, y todavía falta el último cuatrimestre”, explicó Bestuzhev en la primera Cumbre Iberoamericana de Analistas de Malware, organizada por Kaspersky Lab.

Los servidores de Kaspersky detectan al día cerca de 50 mil nuevos virus. Para evitarlos se requiere trabajar mucho tiempo innovando en nuevas programaciones para preveer vulneraciones a sistemas operativos y paquetes de antivirus informáticos.

Más...

elporvenir.com.mx

Presentaciones de ACNS '11

9th International Conference on Applied Cryptography and Network Security (ACNS '11)

June 7-10, 2011, Nerja (Malaga), Spain

• Cold Boot Key Recovery by Solving Polynomial Systems with Noise. Martin Albrecht and Carlos Cid.
• Practical Cryptanalysis of the Atmel Cipher in SecureMemory, CryptoMemory and CryptoRF. Alex Biryukov, Ilya Kizhvatov and Bin Zhang
• Mind your nonces: cryptanalysis of a privacy-preserving distance bounding protocol. Jean-Philippe Aumasson, Aikaterini Mitrokotsa and Pedro Peris-Lopez
• Preimage Attacks on 5-Pass HAVAL Reduced to 158-Steps and One-Block 3-Pass HAVAL. Yasuhide Sakai, Yu Sasaki, Lei Wang, Kazuo Ota and Kazuo Sakiyama
• Sanitizable Signatures in XML Signature-Performance, Mixing Properties, and Revisiting the Property of Transparency. Henrich Christopher Pöhls, Kai Samelin and Joachim Posegga
• Hierarchical Identity-Based Chameleon Hash and its Applications. Feng Bao, Robert H. Deng, Xuhua Ding, Junzuo Lai and Yunlei Zhao
• Fully Non-Interactive Onion Routing with Forward-Secrecy. Dario Catalano, Mario Di Raimondo, Dario Fiore, Rosario Gennaro and Orazio Puglisi
• Simple and Efficient Single Round Almost Perfectly Secure Message Transmission Tolerating Generalized Adversary. Ashish Choudhury, Kaoru Kurosawa and Arpita Patra.
• LBlock: A Lightweight Block Cipher. Wenling Wu and Lei Zhang.
• Fighting Pirates 2.0. Paolo D'Arco and Angel L. Perez del Pozo
• Spam Detection Through Sliding Windowing of E-mail Headers. Francisco Javier Salcedo-Campos, Jesús Esteban Díaz-Verdejo and Pedro García-Teodoro
• Towards User-Friendly Credential Transfer on Open Credential Platforms. Kari Kostiainen, N. Asokan and Alexandra Afanasyeva.
• Practical attacks on the Maelstrom-0 compression function. Stefan Kölbl and Florian Mendel.
• Linear Analysis of Reduced-Round CubeHash. Tomer Ashur and Orr Dunkelman.

Encuesta 2011 sobre Preparación ante Desastres en las PyMEs

La Encuesta 2011 de Symantec sobre Preparación ante Desastres en las PyMEs evaluó las actitudes y prácticas de pequeñas y medianas empresas y de sus clientes sobre su preparación frente a desastres. Los resultados muestran que, a pesar de que las PyMEs están en riesgo, no ven la preparación ante desastres como una prioridad a menos que sufran un incidente o pérdida de información, por lo que es importante que tomen acción antes de que sea tarde



Hallazgos clave:El estudio se realizó a nivel global e incluyó a más de 1,840 encuestados de 23 países entre los que se encuentran Argentina, Brasil, Chile, Colombia, Costa Rica y México. En América Latina, estos son algunos de los principales hallazgos:

• Las PyMEs todavía no toman seriamente la preparación para desastres. 54 por ciento no cuenta con un plan y 14 por ciento no tiene intenciones de crear uno.
• Sin embargo, las PyMEs están en riesgo. 68 por ciento reside en regiones susceptibles a desastres y casi la mitad (47 por ciento ) sólo respalda el 60 por ciento de sus datos.
• Las PyMEs no actúan sino hasta que es demasiado tarde. Casi la mitad (46 por ciento ) de las PyMEs en la región implementaron un plan por una interrupción o pérdida de datos.
• No estar preparado puede tener un gran impacto negativo. Una interrupción en las operaciones cuesta a las PyMEs un promedio de 12,250 dólares por día si sus computadoras dejan de funcionar. 40 por ciento de los clientes cambiaron de proveedores PyMEs debido a sistemas de cómputo poco confiables

Recomendaciones de Symantec: 

• No esperar hasta que sea muy tarde: Es importante que las PyMEs no esperen hasta que ocurra un desastre para pensar en qué deberían haber hecho para proteger su información.
• Implementar una protección completa de la información: Para reducir el riesgo de perder información critica del negocio, las PyMEs deben implementar soluciones de seguridad adecuadas y copias de respaldo de los archivos importantes, tales como la información financiera y registros de los clientes.
• Involucrar a los empleados: Los empleados de las PyMEs juegan un rol clave en ayudar a prevenir los períodos de inactividad, y deberían ser instruidos en las mejores prácticas de seguridad informática y en qué hacer si la información accidentalmente se borra o no puede encontrarse en sus archivos con facilidad.
• Hacer pruebas con frecuencia: El peor momento para enterarse que los archivos críticos no habían sido resguardados en una copia de seguridad es después de que un desastre ocurre.
• Revisar su plan: Si realizar pruebas con frecuencia no es posible a causa de los recursos y la banda ancha, las PyMEs deberían al menos revisar su plan de preparación ante desastres por lo menos cada tres meses.

Descarga:

• Descargar reporte complete con hallazgos globales (en inglés)
• Ver boletín de prensa con hallazgos globales y regionales (en español)
• Infografía - ¿Están las PyMEs Preparadas para Enfrentar un Desastre?

Link relacionado:
- Estudio 2010 sobre Recuperación ante Desastres (Symantec)

Samples: Security Awareness and Training Modules

View samples from the many security training and awareness modules that we have created over the years in various formats such as videos, screen savers, quizzes and newsletters.

A jet fighter pilot & physical security
Learn, pass the quiz and get a free ride on a fighter jet
. Play…

A farmer and password security awareness training!
Get a load of fresh veggies by passing this quiz.
Play…

Security awareness for “C” executives
An 8 minute tutorial for top management executives.
Play…



More...

.isqworld.com

Ecosistema del crimen cibernético en Latinoamérica

RedUSERS viajó a México para cubrir los pormenores de la Primera Cumbre Iberoamericana de Analistas de Seguridad, quienes describrieron el "ecosistema del ciberdelito" en la región

La Primera Cumbre Iberoamericana de Analistas nos dejó mucha información. RedUSERS estuvo en Cancún, México, y tuvo acceso mano a mano a los analistas especializados de Kaspersky Lab. En esta primera parte de la cobertura, analizaremos el ecosistema del delito en nuestra región. En la segunda entrega (estén atentos), daremos una mirada al corazón mismo de las organizaciones criminales en Brasil y las formas en que operan dentro y fuera de ese país.

En esta nota comprobaremos que el crimen cibernético o “ciberdelito” no solo está creciendo, sino que aún no se prevé un fin próximo ni soluciones definitivas para esta modalidad delictiva. De hecho, podríamos afirmar lo contrario; se espera un crecimiento importante tanto en cantidad de ataques, como en complejidad de los mismos. A continuación, los detalles en un informe exclusivo que RedUSERS trae desde México para sus lectores. La información presentada, está basada en la keynote realizada por Dmitry Bestuzhev, Director para América Latina del Equipo Global de Investigación y Análisis de Kaspersky Lab.

Más...

Visto en redusers.com

Seguridad en smartphones: una gran preocupación para las empresas

Si nos fijamos en las estadísticas sobre la penetración de la telefonía móvil, en muchos países nos encontramos que, en media, existe más de una línea móvil por habitante. Entre esta multiplicidad de líneas por habitante, podemos encontrar un alto número de líneas de uso profesional que, combinadas con un smartphone, permiten que los profesionales puedan tener acceso continuo a sus archivos o a su correo corporativo independientemente de su ubicación. Sin embargo, al abrir esta puerta a la movilidad, aumenta el riesgo para la seguridad de la información de las empresas algo que les preocupa cada vez más, según podemos ver en un estudio de reciente publicación.
El estudio, realizado por Kaspersky entre 1.300 responsables de TI de empresas europeas, pone en relieve que la seguridad de las comunicaciones móviles y sus terminales son uno de los retos a abordar por las empresas en estos tiempos y, además, de sus áreas de actuación con mayor prioridad. Si los smartphones han abierto la puerta a unas oficinas mucho más móviles, esta oficina móvil sumada al creciente número de tareas que pueden realizarse con los móviles ha aumentado los riesgos de sufrir fugas de información o acceso no autorizados.
Según los datos de este estudio, el 55% de los responsables de tecnología de las empresas están preocupados por la seguridad de los dispositivos móviles de la compañía, si bien es Italia el país europeo donde los responsables de TI parecen estar algo más concienciados con el problema (con un 57%), seguidos de Alemania (56%) y Reino Unido (53%).
¿Y realmente la telefonía móvil es un problema para las empresas? Personalmente creo que sí, de hecho, es algo que he visto en más de un ocasión en mi entorno laboral. La falta de concienciación de los empleados y una falta de cultura empresarial alrededor de la seguridad, al final, deriva en empleados distraídos que pueden olvidarse en un taxi su iPhone (que carece de clave para desbloquearlo) con acceso al correo corporativo y, por ejemplo, a unos documentos en Dropbox. Puede parecer una exageración pero, si el terminal es corporativo, suele importarnos algo menos que nuestro teléfono personal (quizás por que el personal nos cuesta dinero y el otro no) y, es muy posible que prestemos mucha menos atención a estos detalles.
Herramientas como Prey pueden ser un primer paso para mejorar la seguridad de los terminales móviles de nuestros empleados pero, como de costumbre, el propio usuario es la mejor línea de defensa y es la persona a la que estos responsables de TI deberían formar adecuadamente (si como bien dicen los números de la encuesta, están tan preocupados por estos asuntos) y prevenirles, por ejemplo, del malware circulante.
Puede parecer una tontería pero, ¿cuántas personas conocéis que no tienen una clave de seguridad para desbloquear su smarphone? Desgraciadamente, creo que conozco demasiadas, ¿y vosotros?


 Fuente: bitelia.com