Hoy he descubierto (practicando un poco el idioma sueco recién aprendido) un detector de vulnerabilidades tipo sqlinjection, gratuito, llamado Priamos, y que se puede encontrar en Priamos-Project
Al parecer, ha sido utilizado para extraer bastante información sensible de las bases de datos del ejército norteamericano (http://www.flashback.info/showthread.php?t=608727&page=7).
viernes, 25 de enero de 2008
El valor (personal) de la Seguridad de la Información
Esto es bastante en broma, pero no deja de ser cierto, y es otra muestra del diverso valor aportado por la Seguridad de la Información, en este caso personal.
Al parecer, según me comentó un abogado amigo mío, hay un site, http://www.flashback.info, con un apartado especial sobre discusiones de Seguridad, pero, lamentablemente sólo en sueco.
El sitio no tendría mayor interés, si no fuera por la cantidad de información reciente que hay sobre ataques realizados a mil y un sitios de mil y una maneras (por ejemplo, el desvío de la órbita de un satélite, o cientos de claves y usuarios obtenidos de las páginas con extensión .mil). Esto me ha incitado a aprender sueco. Al menos para leerlo.
Curiosa aportación de valor a mi curriculum de la Seguridad de la Información...
Al parecer, según me comentó un abogado amigo mío, hay un site, http://www.flashback.info, con un apartado especial sobre discusiones de Seguridad, pero, lamentablemente sólo en sueco.
El sitio no tendría mayor interés, si no fuera por la cantidad de información reciente que hay sobre ataques realizados a mil y un sitios de mil y una maneras (por ejemplo, el desvío de la órbita de un satélite, o cientos de claves y usuarios obtenidos de las páginas con extensión .mil). Esto me ha incitado a aprender sueco. Al menos para leerlo.
Curiosa aportación de valor a mi curriculum de la Seguridad de la Información...
martes, 23 de octubre de 2007
Seguridad de la Información: derecho a la protección de la información personal
No estamos diciendo nada nuevo. Como pueden ver, ya en 2005, en el 27º Congreso Internacional de Protección de Datos, se recogieron los principios fundamentales de la protección de datos personales:
- Principio de legalidad y adecuada recolección y procesado.
- Principio de limitación a un propósito y especificación de éste
- Principio de proporcionalidad
- Principio de transparencia
- Principio de participación individual y del derecho de acceso
- Principio de no discriminación
- Principio de supervisión independiente
- Principio de seguridad en los datos
- Principio de veracidad
- Principio de responsabilidad
- Principio del adecuado nivel de protección
Estos principios fueron firmados por todas las Agencias Reguladoras Europeas. ¿Qué quiere esto decir? Al no existir en Europa una ley similar a la SOX, sino diferentes regulaciones y leyes dispersas que se fijan en problemas similares, hemos de recurrir a la presencia de estas Agencias Reguladoras para el control del cumplimiento de los principios.
Para estas Agencias Públicas, es una obligación de las compañías y entes públicos el cumplimiento de los objetivos de la Seguridad de la Información (y sus ideas clave como el Gobierno de la Seguridad, el Análisis del Riesgo, los Planes de Continuidad) .
- Principio de legalidad y adecuada recolección y procesado.
- Principio de limitación a un propósito y especificación de éste
- Principio de proporcionalidad
- Principio de transparencia
- Principio de participación individual y del derecho de acceso
- Principio de no discriminación
- Principio de supervisión independiente
- Principio de seguridad en los datos
- Principio de veracidad
- Principio de responsabilidad
- Principio del adecuado nivel de protección
Estos principios fueron firmados por todas las Agencias Reguladoras Europeas. ¿Qué quiere esto decir? Al no existir en Europa una ley similar a la SOX, sino diferentes regulaciones y leyes dispersas que se fijan en problemas similares, hemos de recurrir a la presencia de estas Agencias Reguladoras para el control del cumplimiento de los principios.
Para estas Agencias Públicas, es una obligación de las compañías y entes públicos el cumplimiento de los objetivos de la Seguridad de la Información (y sus ideas clave como el Gobierno de la Seguridad, el Análisis del Riesgo, los Planes de Continuidad) .
martes, 16 de octubre de 2007
La importancia de la revisión de los registros de actividad
En este artículo de BankinfoSecurity (se necesita registro gratuito), ya con sus buenos dos años de antigüedad, se destaca la importancia de la revisión de los registros como medida para mejorar la Seguridad de la Información.
Es de destacar que, dos años después, seguimos sin herramientas confiables y extendidas que faciliten esta revisión, así como la gestión centralizada de los registros.
Quizás, aún haya oportunidades de negocio en el desarrollo de este tipo de software.
Es de destacar que, dos años después, seguimos sin herramientas confiables y extendidas que faciliten esta revisión, así como la gestión centralizada de los registros.
Quizás, aún haya oportunidades de negocio en el desarrollo de este tipo de software.
jueves, 11 de octubre de 2007
Caída por incidente interno
El pasado mas, uno de los bancos que ofrece servicio por Internet en España, estuvo fuera de servicio durante más de dos días. Aquí se encuentra la información de El Mundo -lo paradójico es que esta entidad presumía de estar conforme a la ISO27001-.
No se trataba sólamente de las operaciones por Internet, sino de cualquier tipo de operativa, por un error en la administración de los sitemas de Host (la entidad echa la culpa a una conocida marca de ordenadores y de servicios de grandes sistemas).
Más allá de que pudiera ser o no un error humano, un fallo técnico o una discrepancia con los socios tecnológicos, el caso es que se muestra a las claras la importancia de un Plan de Continuidad bien probado y diseñado, aceptado por todas las partes implicadas. La elaboración de los Planes de Recuperación y Continuidad debe estar promovida y mantenida por los departamentos de Seguridad de la Información (mal llamados de seguridad informática).
Téngase en cuenta que la Seguridad de la Información no trata de defenderse frente a virus, spam y hackers (como venden las compañías actuales del gremio) ni versa sobre la configuración adecuada de los firewall, por ejemplo, sino que trata de prevenir y anticiparse a cualquier tipo de incidente que pueda suponer un daño para la información y los sistemas que la procesan, venga de donde venga.
No se trataba sólamente de las operaciones por Internet, sino de cualquier tipo de operativa, por un error en la administración de los sitemas de Host (la entidad echa la culpa a una conocida marca de ordenadores y de servicios de grandes sistemas).
Más allá de que pudiera ser o no un error humano, un fallo técnico o una discrepancia con los socios tecnológicos, el caso es que se muestra a las claras la importancia de un Plan de Continuidad bien probado y diseñado, aceptado por todas las partes implicadas. La elaboración de los Planes de Recuperación y Continuidad debe estar promovida y mantenida por los departamentos de Seguridad de la Información (mal llamados de seguridad informática).
Téngase en cuenta que la Seguridad de la Información no trata de defenderse frente a virus, spam y hackers (como venden las compañías actuales del gremio) ni versa sobre la configuración adecuada de los firewall, por ejemplo, sino que trata de prevenir y anticiparse a cualquier tipo de incidente que pueda suponer un daño para la información y los sistemas que la procesan, venga de donde venga.
martes, 9 de octubre de 2007
Gestión de la Seguridad bajo demanda
Paisley, compañía dedicada a ofrecer servicios de valor en Seguridad Informática, ofrece una herramienta llamada "GRC on demand" para gestión de la seguridad en modo servicio.
Según Gartner, la próxima generación de servicios de Seguridad de la Información tendrá el distintivo de ser proporcionados en modo servicio.
Más información sobre GRC, aquí.
Según Gartner, la próxima generación de servicios de Seguridad de la Información tendrá el distintivo de ser proporcionados en modo servicio.
Más información sobre GRC, aquí.
lunes, 8 de octubre de 2007
Brevísima introducción a la Arquitectura de Seguridad
De nuevo viendo Isaca y sus artículos públicos, nos encontramos con éste en el que, de manera sencilla, se nos describen los elementos de la Arquitectura de Seguridad, cómo manejar el proceso de creación de esta arquitectura y una breve lista de puntos mínimos que debería tener.
Suscribirse a:
Entradas (Atom)