Tag Archives: sobre-conficker

Portal especializado para CIOs de la mano de IBM

Posted on by
Reply

Si no sabías lo que es un CIO igual te sorprendes porque conoces a mas de uno, quizás en tu propia empresa. Un CIO sería aquella persona que define que sistemas de información se usarán en un entorno corporativo, algo así como el director general de informática, quien toma las decisiones y las propone el Consejo de Administración.

En IBM, conscientes de la constante profesionalización que requiere este perfil de alto directivo de los sistemas de información, ha creado un portal CIO específico en el que podrán encontrar todo tipo de información, guías y consejos sobre como estar mejor informado, ser efectivo y gestionar la información de la compañía, entre otras muchas utilidades.

Es un portal realmente atractivo, profesional y bien estructurado, que lo convierte en una fantástica herramienta para cualquier CIO y profesional de la gestión de sistemas de información.

Fuente: Open Security

Read the rest here:
Portal especializado para CIOs de la mano de IBM |

Alcances certificables para ISO 20000

Posted on by
Reply

Como ya he comentado alguna vez, definir qué tipo de alcances son certificables bajo ISO 20000 no es un tema sencillo. Los requisitos para conseguir la certificación son fáciles de resumir: montar el sistema de gestión, desarrollar los 13 procesos que define el estándar y aplicar el SGSTI a los servicios a certificar. No obstante, en muchas ocasiones surgen dudas en este último apartado. ¿Qué tipos de servicios son certificables bajo este estándar?

Desde mi punto de vista, podemos encontrar varios tipos de servicios susceptibles de serlo:

  • Servicios desarrollados por sistemas informáticos: Serían todos aquellos servicios que son prestados por aplicaciones o plataformas tecnológicas concretas, entre los que podemos encontrar no sólo los “típicos” ejemplos (correo electrónico, DNS, etc.) sino también servicios prestados a través de aplicaciones desarrolladas a medida, servicios prestados en modo SaaS, etc.
  • Servicios de CPD: Serían todos aquellos servicios orientados al albergue físico y/o lógico de sistemas, entre los que tenemos tanto los clásicos de un datacenter (hosting, housing) como las modernas versiones virtualizadas que están empezando a aparecer.
  • Servicios de soporte técnico: Aquí podemos englobar todos aquellos servicios profesionales prestados en régimen de outsourcing, orientados a TI y en los que la propia infraestructura TI utilizada tiene un peso específico propio fundamental para la prestación del servicio. En esta categoría podemos encontrar desde servicios de asistencia técnica hasta servicios de mantenimiento o help-desk.

Es posible que esta última tipología pueda haber sorprendido a alguien, ya que anteriormente había mostrado ciertas dudas al respecto. No obstante, aunque creo que es en la que mayores matizaciones habría que hacer caso por caso, ver de primera mano que es posible me ha servido para terminar de convencerme. Por lo tanto, si alguien tiene un servicio que se encuadre en alguna de estas tres categorías… ya sabe que puede intentarlo.

Autor: Joseba Enjuto
Fuente: Seguridad y Gestion

View post:
Alcances certificables para ISO 20000 |

Google propone "nuevos" captchas

Posted on by
Reply

De acuerdo con Google, solamente un ser humano tiene la capacidad de saber la respuesta correcta, puesto que la imagen contienen elementos que solamente nosotros (y no programas informáticos) pueden diferenciar. De esta manera, la compañía podría usar esta idea para detectar si aquel que dice ser un humano (y que quiere, por ejemplo, abrir una nueva cuenta en Gmail) realmente lo es y no es un sistema automático que quiere registrar miles de cuentas.

En este paper publicado por tres ingenieros de Google, y que será presentado en la decimoctava ‘World Wide Web Conference’ que se celebrará a partir de mañana en Madrid (España), se analizan nuevos métodos para crear ‘captchas’, distintos de los que muestran simplemente letras y cifras, y que han sido utilizados clásicamente para protegerse de las peticiones automáticas, de ataques de fuerza bruta para hacerse con una contraseña de usuario, o prevenir el spam en los blogs de Blogger.

Contenido completo en Dirson

Original post:
Google propone "nuevos" captchas |

Malware, ataques dirigidos y redes de ciber-espionaje. El caso Ghostnet

Posted on by
Reply

Buenas,

Vía F-Secure he localizado un interesante paper sobre ataques dirigidos. Los ataques segmentados no son ninguna novedad, pero siguen siendo protagonistas de infecciones relevantes dado su caracter orientado, lo que permite decidir a quién y cómo atacar, escogiéndose con frecuencia víctimas que desempeñan sus funciones en organismos e instituciones relevantes, con la esperanza de lograr acceso a información sensible y/o clasificada.

El motor que posibilita el éxito de estos ataques es tratar de generar la suficiente confianza para que los usuarios soslayen las recomendaciones de seguridad usuales. Estas acciones no se lanzan de manera masiva, sino que se ejecutan sobre sujetos específicos elegidos con anterioridad, lo que hace que en el argot estos movimientos se se denominen dirigidos o segmentados.

El mecanismo es simple, pero a su vez, complejo: la vícitima recibe un correo electrónico con un documento adjunto, siendo el remitente conocido. El contenido del mensaje habla de cosas reales, aparentando ser un mensaje estructurado y con sentido. Como adjunto, un fichero PDF, DOC, PPT o XLS que cuando se abre muestra un documento real, pero que en paralelo, contamina la máquina del usuario sin su conocimiento, descargando de un sitio remoto un troyano. El resultado es el que todos imagináis: la infección inadvertida.

Al hilo de estos ataques, hoy mismo se ha publicado un artículo en el New York Times, donde es posible ver el alcance de las infecciones, usando como ejemplo Ghostnet, una red de ciber-espionaje basada en malware orientado y cuyos principales objetivos son equipos institucionales y gubernamentales. En este caso, los investigadores han detectado al menos 1.295 máquinas comprometidas en 347 localizaciones geográficas distintas, todas pertenecientes a servicios diplomáticos y gubernamentales del sur y sureste asiático.

Durante los últimos tiempos se vende a diestro y siniestro la idea de que el malware sólo se fabrica para contaminar a despistados usuarios Windows con el fin de vaciar sus cuentas bancarias. Nada más lejos de la realidad: sirva este caso como ejemplo.

Autor: Sergio Hernando
Fuente: Sahw.com

Continued here:
Malware, ataques dirigidos y redes de ciber-espionaje. El caso Ghostnet |

Publicada ISO 27011:2008

Posted on by
Reply

Conforme vayan siendo publicadas, iré comentando algunas otras normas que van a empezar a ir viendo la luz como extensión del marco ISO 27000 relativo a la seguridad de la información.

Los proyectos en proceso y publicados por el Subcomité 27 se pueden consultar en el siguiente enlace.

El pasado mes de diciembre vió la luz la norma ISO 27011:2008 que es un desarrollo del marco de controles ISO 27002 diseñado específicamente para el sector de las telecomunicaciones. El título de esta nueva norma es Information technology – Security techniques – Information security management guidelines for telecommunications organizations based on ISO/IEC 27002.

ISO 27011:2008 como la norma ISO 27799:2008 desarrollada para el sector sanitario son extensiones de la norma ISO 27002:2005 contemplada como un catálogo básico de controles que puede ser utilizado para implantar un SGSI. Tal como establece la norma ISO 27001:2005, a la hora de seleccionar controles se pueden elegir aquellos que figuran como Anexo A y que se corresponden con ISO 27002 o bien aquellos controles que la organización entienda que pueden ser interesantes o de aplicación. Por tanto, vamos a ir viendo aparecer normas de seguridad que son extensiones a medida de los diferentes sectores que están intentando establecer un conjunto de medidas de seguridad acordes con sus necesidades específicas.

Fuente: Seguridad de la Información

Original post:
Publicada ISO 27011:2008 |