Monthly Archives: October 2009

ISO 27004 nueva norma vinculada a la medición de la seguridad

Posted on by
Reply

Paloma Llaneza, con gran alegría por ser en parte madre de la criatura nos anuncia que ya tenemos oficialmente una nueva norma dentro del marco ISO 27000.

La nueva norma, oficialmente denominada “Information technology — Security techniques — Information security management — Measurement viene a sofocar uno de los grandes abismos que existen en el proceso de construcción de un SGSI. Ya he comentado muchas veces que certificarse con ISO 27001 es establecer que las cosas se vigilan dentro de un marco de gestión y que existen procesos de mejora continua sobre el funcionamiento de las medidas de seguridad. Sin embargo, gestionar bien no implica tener buena seguridad. Obviamente ayuda mucho tener un marco de gestión y revisión continua pero es sólo una condición necesaria, no suficiente.

Esta nueva norma establece criterios para la medición del estado de la seguridad. Es aquí donde los datos y las evidencias deben poner al SGSI en su sitio. Es cuando los resultados nos proporcionan información sobre cual es la situación real de las medidas y si están o no funcionando de acuerdo a los objetivos planteados. Por eso es tan importante la publicación de esa norma. Es la única manera de valorar si tanta gestión de la seguridad está sirviendo para algo, y esos hechos avalados por resultados y datos concretos que se están midiendo.

Por tanto, un SGSI certificado y todo que no logre unos buenos resultados en sus indicadores será solo un adorno, dado que habrá una bonita gestión pero con ello no se estará logrando satisfacer los objetivos planteados.

Estas reflexiones ya las plantee de forma más extensa en el post SGSI virtuales en su momento. Os resumo lo que en aquel momento comentaba respecto a las métricas.

Fuente: Javier Cao Avellaneda

View original here:
ISO 27004 nueva norma vinculada a la medición de la seguridad |

Sitio de Banco Galicia falso (Argentina)

Posted on by
Reply

Nos han reportado un caso de un sitio falso del Banco Galicia de Argentina, que seguramente será el componente de un ataque de Phishing si bien no nos han reportado el correo que se envía a los usuarios.

El sitio con dominio http://www.galicia-[ELIMINADO].ar.gd/ en realidad es un frame que apunta a la página http://www.os[ELIMINADO].com.co/Galicia/ un sitio colombiano que seguramente ha sido vulnerado para alojar el sitio falso del banco.

El sitio es el siguiente:

El caso presentado es igual al que en junio pasado denunciamos desde Segu-Info y ya hemos denunciado este nuevo caso para que se dé de baja de inmediato.

Lamentablemente el sitio http://ar.gd/ (dominiosfree.com y registro-dominios.info) deja registrar este tipo de dominios y no hace nada para su control ya que son muchas las veces que hemos denunciado casos similares al presente y siempre presentan el mismo patrón.

Por otro lado, nuevamente como ya es costumbre, al momento de escribir el presente Firefox bloquea el sitio falso pero no así Internet Explorer.

Cristian de la Redacción de Segu-Info

Go here to read the rest:
Sitio de Banco Galicia falso (Argentina) |

¿Cuáles son las prácticas seguras para administrar las bases de datos?

Posted on by
Reply

Horacio Bruera, del estudio Carranza Torres, analiza en esta nota para iProfesional.com obligaciones y responsabilidades establecidas en la ley 25.326

A los efectos de garantizar una tutela legal efectiva de los datos
personales, la Ley
25.326 de Protección de Datos Personales (LPDP) impone una serie de
obligaciones que pesan sobre los responsables y usuarios de las bases de datos.
Entre ellas, está la obligación de seguridad y confidencialidad de los datos
personales almacenados en las bases de datos públicas o privadas, a punto tal
que la LPDP prohíbe expresamente registrar datos personales en bases de datos
que no reúnan las condiciones técnicas de integridad y seguridad.

A fin de tener un panorama claro de las obligaciones y responsabilidades
derivadas de su incumplimiento, examinaremos detenidamente la regulación que la
LPDP y sus normas reglamentarias traen en materia de seguridad de los datos
personales.

Contenido completo en iProfesional.com

View original post here:
¿Cuáles son las prácticas seguras para administrar las bases de datos? |

Adictos a la Web: un mal de esta época con riesgo de ser epidemia

Posted on by
Reply

La vida de las personas está cada vez más vinculada al uso de una computadora, y esa relación parecería no tener vuelta atrás: a esta altura resulta muy difícil imaginar cómo se resolverían ciertas cosas de la vida diaria sin conectarse a la PC.

Lejos de demonizar el uso de las herramientas de la nueva era digital, los psiquiatras que intentan armar un nuevo manual sobre diagnóstico de enfermedades mentales aún no están de acuerdo sobre si la adicción a Internet es realmente una enfermedad. Pero muchos profesionales de la salud mental ya están considerando y analizando a fondo la adicción a Internet, que reúne todos los ingredientes de una conducta adictiva clásica en niños y adultos.

Incluso, los doctores Dimitri Christakis y Megan Moreno, de la Universidad de Washington, EE. UU., se preguntan ya si la adicción a Internet no se convertirá en la epidemia del siglo XXI, como la diabetes y la obesidad.

Contenido completo en Clarin.com

More:
Adictos a la Web: un mal de esta época con riesgo de ser epidemia |

Halloween, una oportunidad de oro para los cibercriminales

Posted on by
Reply

Las compañías de seguridad alertan: como otras grandes fechas, el número de
malware específico para la festividad de los muertos.

En Navidades, en Carnaval, en verano… Los cibercriminales no descansan. Las
grandes fechas y las vacaciones son una oportunidad de oro para enviar mensajes
gancho que redireccionen a los internautas hacia una infección
garantizada.

Las grandes empresas de seguridad han lanzado ya una alerta
a los ciudadanos: mucho cuidado con los mensajes que se abren y con los
links que se visitan porque detrás de ellos puede haber mucho más que
truco y trato. Puede haber un susto de muerte para la seguridad del
equipo.

De hecho, Panda Security, a través de su The Cloud Security
Company, ya he descubierto como los cibercriminales se han aprovechado
de la palabra Halloween y de las crecientes búsquedas relacionadas con esta
temática para posicionar mejor en los motores de búsqueda páginas que
direccionan a contenidos maliciosos.

Entre los primeros resultados de
búsqueda, alertan, se encuentran portales que recomiendan la instalación de
antivirus que, en realidad, no son tal. Los antivirus de pega son la última moda
en la industria del mal.

“Ahora que las noches empiezan a ser más largas
y frías, muchos individuos pasarán el próximo fin de semana en casa, y la noche
de Halloween es una ocasión perfecta para ‘asustar’ a los hackers que
pudiesen tener tomado su equipo, a través de un escaneo del sistema en busca de
amenazas”, explica el  Consultor de Tecnología de Sophos, Graham
Cluley.

Sophos ha aprovechado la festividad para convocar el que
ha bautizado como Kill Zombie-A-Day: una campaña que arrancará el
próximo 31 y que quiere empujar a los usuarios a plantar cara a los
cibercriminales. ¿Cómo? Limpiando el equipo de amenazas y eliminando cualquier
posibilidad de devenir un equipo zombie.

El cibermalo tendrá que
elegir… ¿Truco o trato?

Fuente: Siliconnews.es

Here is the original post:
Halloween, una oportunidad de oro para los cibercriminales |