Monthly Archives: November 2008

Metodologias de Analisis de Riesgos

Posted on by
Reply

Hoy simplemente quiero hacer un repaso de las distintas metodologías específicas de análisis y/o gestión de riesgos que existen actualmente. No va a ser una lista exhaustiva, pero creo que servirá para la reflexión.

En primer lugar tenemos las normas que versan sobre el análisis de riesgos. Entre las más conocidas podemos encontrar:

  • AS/NZS 4360:2004: Norma australiana para la gestión de riesgos (en general).
  • BS7799-3:2006: Norma británica para la gestión de los riesgos de seguridad de la información.
  • ISO/IEC 27005:2008: Norma internacional sobre la gestión de los riesgos de seguridad de la información. Distinta a la anterior, aunque también sirve para dar cumplimiento a la ISO 27001.
  • UNE 71504:2008: Norma española que recoge una metodología de análisis y gestión de riesgos para los sistemas de información. No es equivalente a las anteriores, ya que esas eran para seguridad de la información.

Pero no sólo disponemos de normas de análisis de riesgos, también existen metodologías ampliamente reconocidas y de uso generalizado. Las principales son:

  • MAGERIT, metodología española de análisis y gestión de riesgos para los sistemas de información, promovida por el MAP y diferente a la UNE 71504.
  • EBIOS, metodología francesa de análisis y gestión de riesgos de seguridad de sistemas de información.
  • CRAMM, metodología de análisis y gestión de riesgos desarrollada por el CCTA inglés.
  • OCTAVE, metodología de evaluación de riesgos desarrollada por el SEI (Software Engineering Institute) de la Carnegie Mellon University.

Y no son las únicas. Para el que quiera conocer alguna más, tanto en la web de ENISA como en la web de ISO27000.es podéis encontrar más información sobre metodologías de análisis de riesgos.

En definitiva, existe una gran variedad de metodologías, muchas de ellas con reconocimiento internacional, pero lamentablemente todas distintas. Es cierto que, como metodologías de análisis de riesgos que son, todas se parecen, pero no se puede decir que sean compatibles de entrada. Cada una tiene sus particularidades, sus puntos fuertes… y será trabajo de quien quiera utilizarlas el saber sacar lo mejor de cada una de ellas.

Fuente: http://secugest.blogspot.com/2008/11/metodologias-de-analisis-de-riesgos.html

El ejército norteamericano prohíbe el uso de Pendrives

Posted on by
Reply

Debido a un problema de virus, un gusano, que infectó parte de su red y cuyo origen fue un pendrive USB, el ejercito norteamericano ha prohibido el uso de los mismos en sus ordenadores.

El uso de pendrives, disquetes, CDs, unidades externas de almacenamiento, tarjetas de memoria y otros dispositivos removibles se tienen en situación de cuarentena sin poder usarse mientras se intenta contener la expansión del gusano Agent-BTZ, una variante del gusano SillyFDC. Tales medidas tendrán repercusión en zonas donde los email o transferencias de archivos online no son opciones viables.

El malware está programado para descargar un código infeccioso de Internet estableciendo una conducta que podría ser usada para descargar es instalar software de keylogging, spyware de captura de contraseñas o introducir botnets en máquinas comprometidas.

El baneo actual de dicho tiipo de unidades podría levantarse si se desactiva el autoarranque en las opciones de Windows y pasando un antivirus a cada unidad conectada. Pero como se puede ver nadie está exento de infecciones de este tipo, teniendo en cuenta la popularidad actual de pendrives y dispositivos de almacenamiento masivo.

Autor: Jesus Maturana
Fuente: http://www.theinquirer.es/2008/11/20/el-ejercito-norteamericano-prohibe-el-uso-de-pendrives.html
http://www.scmagazineus.com/Militarys-ban-of-USB-thumb-drives-highlights-security-risks/article/121326/
http://blogs.zdnet.com/security/?p=2206&tag=nl.e589
http://blog.wired.com/defense/2008/11/army-bans-usb-d.html

Malware en el software de Lenovo

Posted on by
Reply

Investigadores de Microsoft han descubierto un troyano identificado como Win32/Meredrop, en un paquete de software del fabricante chino que incorpora a sus computadoras con Windows XP.

Como de costumbre el troyano se utiliza para instalar y ejecutar código malicioso y controlar el ordenador infectado. Otras compañías de software de seguridad identifican el archivo como un “porn dialer”.

El malware se ha encontrado en un controlador firmado digitalmente para sistemas XP con SP2 que se utiliza en aplicaciones de seguridad como Lenovo Security Logon y Lenovo Trust Key.

No es la primera vez que los grandes fabricantes (sin desearlo) nos cuelan bichejos tanto en aplicaciones propias descargadas de las web oficiales, como en la entrega de equipos nuevos con software preinstalado.

Autor: Juan Ranchal
Fuente: http://www.theinquirer.es/2008/11/21/malware-en-el-software-de-lenovo.html
http://blogs.zdnet.com/security/?p=2203

Calcule cuánto cuesta el spam

Posted on by
Reply

Esta calculadora forma parte de una campaña de marketing de Google Message Security, el servicio de filtro de spam basado en la tecnología Postini que el buscador compró el año pasado.

Para calcular el coste del spam, se han de introducir algunos datos, como el número de empleados en su empresa, cuánto les paga y con cuántos mensajes de correo electrónico no deseado se han de enfrentar todos los días. A partir de ahí, Google calcula cuántos días (y dólares) se pierden en productividad. Y, evidentemente, también ofrece el dato de cuánto le costaría al servicio de Google para erradicar el problema.

Para las empresas que tengan productos instalados contra el spam, también hay una calculadora del Coste Total de Propiedad con el que se pretende demostrar lo económico que resulta el servicio de Google.

Fuente: http://www.idg.es/pcworldtech/mostrarNoticia.asp?id=73995&seccion=Actualidad

Jornada de Seguridad Informática en ArCert (presentaciones)

Posted on by
Reply

Presentamos a continuación los documentos de la Jornada de Seguridad Informática organizada por el ArCert, realizada hace un tiempo:

La Ciberseguridad en Argentina: perspectiva desde distintos sectores.
Julio César ARDITA – Sector Privado – Presentación en PDF
Mara MISTO MACIAS – Gerente Principal de Seguridad de la Información del Banco Central – Presentación en PDF.
Javier DIAZ – Director Laboratorio de Investigación en Nuevas Tecnologías Informáticas – Facultad de Informática – Universidad Nacional de la Plata – Presentación en PDF.
Gastón FRANCO – Responsable de ArCERT – ONTI – Presentación en PDF

Tendencias en materia de ciberseguridad: rol de los CERTs Experiencia de INTECO (Instituto Nacional de Tecnologías de la Comunicación) de España. Manuel ESCALANTE GARCÍA – Director de Programas de INTECO -Presentación en PDF

Cooperación internacional en materia de ciberseguridad: La Convención sobre Ciberdelito de Budapest. Gilberto MARTINS – Representante del Consejo de Europa – Presentación en PDF

Hacia una estrategia de ciberseguridad. Juan ZAVATTIERO – Jefe de la Oficina Regional de la ITU para las Américas Presentación en PDF

Fuente: http://seguridad-informacion.blogspot.com/2008/11/presentaciones-jornada-de-seguridad.html