viernes, 9 de junio de 2017

Revista CIBERelcano #26



Contenido

  1. Comentario Ciberelcano: ¿Estamos preparados para hacer frente a un ciberataque global?, de Enrique Fojón Chamorro – p. 4
  2. Análisis de la actualidad internacional: La particular lucha de Irán para prevenir potenciales interferencias en sus elecciones, de Miguel Ángel de Castro Simón y Yaiza Rubio – p. 6
  3. Informes y análisis sobre ciberseguridad publicados en mayo de 2017 – p. 9
  4. Herramientas del analista: Userline – p. 10
  5. Análisis de los ciberataques del mes de mayo 2017 (Adolfo Hernández) – p. 12
  6. Recomendaciones
    Libros y películas – p. 21
    Webs recomendadas – p. 24
    Cuentas de Twitter – p. 24
  7. Eventos – p. 25

viernes, 5 de mayo de 2017

Pengowin 4, un repositorio de herramientas de seguridad informática

Dentro del repositorio, hay unos listados con todas las herramientas disponibles, y a continuación el link original de la URL original de la herramienta, para que podamos estar al tanto de donde buscarla y actualizarla en caso de ser necesario. 

También incluye información sobre los distintos tipos de sistemas operativos en que se puede correr cada herramienta, la cual fue testeada en los mismos.






martes, 2 de mayo de 2017

Se publicó ISO/IEC 27003


NBlog April 22 - ISO/IEC 27003 ISMS implementation guide published

ISO/IEC 27003:2017 has been published.  This is a fully revised version of the Information Security Management System (ISMS) implementation guide, originally published in 2010.

The new version is a significant improvement on the 2010 version.  It follows the structure of ISO/IEC 27001, providing pragmatic advice section-by-section on how to satisfy the requirements. I'm happy to recommend it.

The following core ISO27k standards are a sound basis on which to design and implement a management system to manage information risks (for historical reasons, termed "information security risks" or "cybersecurity risks" in the standards):
Unfortunately, ISO/IEC 27005 on information risk management is out-of-line with the set. A revised version of '27005 is not expected to surface for at least a couple of years. Meanwhile, '27003 gives useful advice in this area, while ISO 31000:2009 (a well respected de facto risk management standard) is readily applied to information risks. There are several other information risk management standards, methods and approaches as well, all of which have their advantages and disadvantages: if your organization is already familiar with and using some other approach to risk management, it can probably be applied directly or adapted to suit information risk management.

For more information on the ISO27k standards, ISMS implementation, information risk management and so forth, please browse the ISO27k FAQ. If you are active in this area, you are very welcome to join the 3,500-strong ISO27k Forum. Although it is not 'official' ISO information, it is FREE.


Regards,
 

miércoles, 26 de abril de 2017

Dos buscadores de internet deberán indemnizar a una modelo por vincularla a sitios pornográficos (Argentina)



JUZGADO NACIONAL DE PRIMERA INSTANCIA EN LO CIVIL Nro 35 - 17/04/2017
Hace lugar a la demanda por daños y perjuicios interpuesta por una ex modelo contra dos buscadores de internet por la utilización de fotografías y por el incumplimiento de diversas medidas cautelares que ordenaban bloquear el acceso a los resultados de búsqueda que vinculaban el nombre de la actora y sus imágenes con sitios pornográficos.
Refiere que, en principio, no correspondería atribuirle responsabilidad a los motores de búsqueda por contenidos publicados en internet de los que no sean autores, pero dicha situación varía cuando el buscador toma efectivo conocimiento de la ilicitud de ese contenido y no actúa con la debida diligencia que el caso amerita. 
Señala que las numerosas intimaciones efectuadas en el incidente sobre medidas cautelares dan cuent a de que las demandadas se encontraban fehacientemente notificadas de que debían abstenerse de vincular el nombre de la actora a contenidos pornográficos y, pese a haber tomado conocimiento de la ilicitud del contenido, su conducta no fue seguida de un obrar diligente.

M., A. c/ Yahoo de Argentina S.R.L. y otro s/ daños y perjuicios
ver texto completo

SAIJ - Ministerio de Justicia

 

martes, 20 de diciembre de 2016

5 tendencias que amenazarán la seguridad informática en 2017

Según la compañía de seguridad ESET, el ransomware, el malware en smartphones, el espionaje de datos personales y los ataques al Internet de las Cosas y a los videojuegos son algunas de las principales amenazas que predominarán el próximo año.


1.- Ransomware. Durante los últimos meses se han creado cientos de nuevas variantes que han afectado a cientos de miles de usuarios. No obstante, el verdadero problema ha sido la profesionalización definitiva de este modelo de negocio, algo que permite que cualquier delincuente sin apenas conocimientos pueda ganar importantes cantidades de dinero infectando a usuarios. “Esta tendencia se repetirá lamentablemente en 2017 e incluso es posible que veamos aún más infecciones debido al uso de técnicas de propagación más avanzadas que el simple fichero malicioso adjunto a un correo electrónico”, explica Josep Albors, director del Laboratorio de ESET España. 

2.- Malware en smartphones. A medida que el sistema operativo de Google afianza su posición predominante en el mercado móvil, los delincuentes priorizan los ataques sobre esta plataforma para obtener beneficios de sus víctimas. A este problema se le han unido otros como, por ejemplo, los enlaces maliciosos enviados a través de aplicaciones de mensajería instantánea. Se trata de una tendencia que, según ESET, seguirá al alza el próximo año, pues para el delincuente el único esfuerzo consiste en suplantar la marca de una empresa conocida y así engañar al usuario para que pulse en el enlace malicioso.

3.- Espionaje de datos personales. Es lo que se conoce como “Ataque al CEO” y que consiste en recopilar información de la persona que maneja las cuentas de la empresa, ya sea a través de fuentes abiertas como las redes sociales o espiándole el móvil. Una vez que los delincuentes han aprendido cómo realiza las transferencias de dinero con sus clientes de confianza, proceden a engañar a su víctima para que transfiera importantes sumas de dinero a números de cuenta que nada tienen que ver con sus proveedores o clientes habituales.


más...


Fuente: www.ituser.es/

viernes, 16 de diciembre de 2016

Cómo medir la eficacia de la seguridad de la información - ISO/IEC 27004:2016

La norma ISO/IEC 27004:2016, Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la información - Monitoreo, medición, análisis y evaluación, publicada recientemente proporciona orientación sobre cómo evaluar el desempeño de ISO/IEC 27001. La norma explica cómo desarrollar procesos de medición y cómo evaluar los resultados de un conjunto de métricas de seguridad de la información.
 
Según ha señalado el profesor Edward Humphreys, coordinador del grupo de trabajo que desarrolló el estándar (ISO/IEC JTC 1/SC 27), "Los ciberataques son uno de los mayores riesgos a los que una organización puede enfrentarse. Esta es la razón por la cual esta versión mejorada de ISO/IEC 27004 proporciona un apoyo esencial y práctico a muchas organizaciones que están implementando ISO/IEC 27001 para protegerse de la creciente diversidad de ataques a la seguridad de los negocios a los que se enfrentan".
Las métricas de seguridad pueden proporcionar conocimientos sobre la eficacia de un SGSI. Para los responsables de la seguridad o para aquellos que requieren una mejor información para la toma de decisiones, las métricas de seguridad se han convertido en un vehículo fundamental para conocer y comunicar el nivel de "ciber-riesgo" de la organización.
En palabras del profesor Humphreys: "Las organizaciones necesitan ayuda para abordar la cuestión de si la inversión de la organización en la gestión de la seguridad de la información es eficaz, apta para el propósito de reaccionar, defender y responder al entorno cibernético en continuo cambio. Aquí es donde ISO/IEC 27004 puede proporcionar numerosas ventajas."

ISO/IEC 27004:2016 muestra cómo construir un programa de medición de la seguridad de la información, cómo seleccionar qué medir y cómo operar los procesos de medición necesarios.
Entre los muchos beneficios para las organizaciones se cuenta un mejor desempeño de la seguridad de la información y procesos; o la evidencia de cumplir con los requisitos de ISO/IEC 27001, así como las leyes, normas y reglamentos aplicables.
ISO/IEC 27004:2016, que sustituye a la edición de 2009, se ha actualizado y ampliado para alinearse con la versión revisada de ISO/IEC 27001.

ISO ]

Fuente: infocalidad.net