viernes, 19 de enero de 2018

¿Cómo afecta la nueva versión del Top Ten de OWASP el cumplimiento de PCI DSS v3.2?

Dentro de la comunidad de seguridad de la información, el proyecto OWASP (The Open Web Application Security Project - https://www.owasp.org) tiene un amplio reconocimiento debido a sus aportes en pro de la mejora de los controles para la protección de aplicaciones web. Uno de sus proyectos más importantes es el “OWASP Top Ten Project” (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project), que, de forma periódica, lista los 10 riesgos más críticos en este tipo de aplicaciones. Este listado se establece con base en múltiples propuestas de firmas especializadas en seguridad de aplicaciones y de entrevistas a más de 500 individuos, cuyos datos son seleccionados y priorizados de acuerdo con estimaciones consensuadas de explotabilidad, detectabilidad e impacto, tanto técnico como al negocio. 

Figura 1. Variables para el cálculo del riesgo en aplicaciones (Fuente: OWASP)

La versión más reciente de este listado - OWASP Top 10 2017  https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf - fue publicada el 20 de noviembre de 2017. Esta nueva versión, a diferencia de su predecesora, la versión 2013 (https://www.owasp.org/images/5/5f/OWASP_Top_10_-_2013_Final_-_Espa%C3%B1ol.pdf), ha tenido en cuenta el impacto de nuevas tecnologías en la industria y los cambios de arquitectura en aplicaciones web, tales como el uso de microservicios escritos en node.js y Spring Boot y el uso de marcos de trabajo web basados en JavaScript (Angular, Bootstrap, Electron y React).

De acuerdo con ello, la priorización de riesgos en esta nueva versión 2017 ha quedado de la siguiente manera, en comparación con la versión del 2013:


 Figura 2. Comparativo de los riesgos del OWASP Top Ten de 2013 y de 2017 (Fuente: OWASP)


Como se puede observar, se han priorizado tres nuevos riesgos (A4, A8 y A10), dos han sido fusionados (A4 y A7 del 2013 en el A5 de 2017) y dos han sido retirados (A8 y A10 del 2013) debido al bajo porcentaje de aplicaciones afectadas hoy en día. Todo lo anterior demuestra que, a pesar del gran esfuerzo realizado para la protección de la infraestructura de aplicaciones web, las amenazas constantemente van evolucionando, quizás más rápido que la propia tecnología.



Fuente: blog.isecauditors.com

miércoles, 10 de enero de 2018

Informe de Ciberseguridad, Percepciones y Perspectivas 2017 (CISCO)

A medida que la superficie de ataque aumenta, los defensores deben centrarse en su objetivo más importante: la reducción del espacio operativo de sus adversarios.


El Informe de ciberseguridad anual de Cisco 2017 presenta estudios, datos y perspectivas del grupo de investigaciones de seguridad de Cisco. Destacamos la dinámica incesante de tira y afloja entre los adversarios, que intentan ganar más tiempo para actuar, y los defensores, que trabajan para anular los márgenes de oportunidades que los atacantes intentan aprovechar. Examinamos los datos recopilados por los investigadores de amenazas de Cisco y otros expertos. Nuestra investigación y nuestros datos tienen como fin ayudar a las organizaciones a responder eficazmente a las amenazas actuales sofisticadas y de rápida evolución.

Este informe se divide en las secciones siguientes:

  • Comportamiento de los atacantes
  • Comportamiento de los defensores
  • Estudio comparativo sobre capacidades de seguridad de Cisco 2017
  • Sector (la importancia de garantizar la seguridad en la cadena de valor)



Guía práctica de compra segura en Internet (España)

Gracias a la colaboración entre la Agencia Española de Protección de Datos (AEPD), Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN), la Policía Nacional, y el Instituto Nacional de Ciberseguridad (INCIBE), se consiguió desarrollar una completa guía que os ayudará a realizar compras online de manera segura.
Dicha guía recoge aspectos tan importantes como los siguientes:
  1. Qué debemos tener en cuenta antes de comprar o contratar por Internet.
  2. Cómo actuar si decidimos comprar.
  3. Qué pasa una vez que hayamos comprado.
  4. Cómo reclamar en caso de necesidad.
También se facilitan 10 consejos básicos a modo resumen para comprar de manera segura por Internet.




viernes, 9 de junio de 2017

Revista CIBERelcano #26



Contenido

  1. Comentario Ciberelcano: ¿Estamos preparados para hacer frente a un ciberataque global?, de Enrique Fojón Chamorro – p. 4
  2. Análisis de la actualidad internacional: La particular lucha de Irán para prevenir potenciales interferencias en sus elecciones, de Miguel Ángel de Castro Simón y Yaiza Rubio – p. 6
  3. Informes y análisis sobre ciberseguridad publicados en mayo de 2017 – p. 9
  4. Herramientas del analista: Userline – p. 10
  5. Análisis de los ciberataques del mes de mayo 2017 (Adolfo Hernández) – p. 12
  6. Recomendaciones
    Libros y películas – p. 21
    Webs recomendadas – p. 24
    Cuentas de Twitter – p. 24
  7. Eventos – p. 25

viernes, 5 de mayo de 2017

Pengowin 4, un repositorio de herramientas de seguridad informática

Dentro del repositorio, hay unos listados con todas las herramientas disponibles, y a continuación el link original de la URL original de la herramienta, para que podamos estar al tanto de donde buscarla y actualizarla en caso de ser necesario. 

También incluye información sobre los distintos tipos de sistemas operativos en que se puede correr cada herramienta, la cual fue testeada en los mismos.






martes, 2 de mayo de 2017

Se publicó ISO/IEC 27003


NBlog April 22 - ISO/IEC 27003 ISMS implementation guide published

ISO/IEC 27003:2017 has been published.  This is a fully revised version of the Information Security Management System (ISMS) implementation guide, originally published in 2010.

The new version is a significant improvement on the 2010 version.  It follows the structure of ISO/IEC 27001, providing pragmatic advice section-by-section on how to satisfy the requirements. I'm happy to recommend it.

The following core ISO27k standards are a sound basis on which to design and implement a management system to manage information risks (for historical reasons, termed "information security risks" or "cybersecurity risks" in the standards):
Unfortunately, ISO/IEC 27005 on information risk management is out-of-line with the set. A revised version of '27005 is not expected to surface for at least a couple of years. Meanwhile, '27003 gives useful advice in this area, while ISO 31000:2009 (a well respected de facto risk management standard) is readily applied to information risks. There are several other information risk management standards, methods and approaches as well, all of which have their advantages and disadvantages: if your organization is already familiar with and using some other approach to risk management, it can probably be applied directly or adapted to suit information risk management.

For more information on the ISO27k standards, ISMS implementation, information risk management and so forth, please browse the ISO27k FAQ. If you are active in this area, you are very welcome to join the 3,500-strong ISO27k Forum. Although it is not 'official' ISO information, it is FREE.


Regards,