Estos 10 dominios son los siguientes:

1. Prácticas de Gestión de la Seguridad: Identificación de los activos de una organización y desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías:
   • Conceptos y objetivos.
   • Gestión del riesgo.
   • Procedimientos y políticas.
   • Clasificación de la información.
   • Responsabilidades y roles en la seguridad de la información.
   • Concienciación en la seguridad de la información.
2. Arquitectura y Modelos de Seguridad: Conceptos, principios, estructuras y estándares empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad:
   • Conceptos de control y seguridad.
   • Modelos de seguridad.
   • Criterios de evaluación.
   • Seguridad en entornos cliente/servidor y host.
   • Seguridad y arquitectura de redes.
   • Arquitectura de la seguridad IP.
3. Sistemas y Metodología de Control de Acceso: Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información:
   • Conceptos y tópicos.
   • Identificación y autenticación.
   • Equipo de e-security.
   • Single sign-on.
   • Acceso centralizado / descentralizado / distribuido.
   • Metodologías de control.
   • Monitorización y tecnologías de control de acceso.
4. Seguridad en el Desarrollo de Aplicaciones y Sistemas: Define el entorno donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información:
   • Definiciones.
   • Amenazas y metas de seguridad.
   • Ciclo de vida.
   • Arquitecturas seguras.
   • Control de cambios.
   • Medidas de seguridad y desarrollo de aplicaciones.
   • Bases de datos y data warehousing.
   • Knowledge-based systems.
5. Seguridad de las Operaciones: Usado para identificar los controles sobre el hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso:
   • Recursos.
   • Privilegios.
   • Mecanismos de control.
   • Abusos potenciales.
   • Controles apropiados.
   • Principios.
6. Criptografía: Los principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad:
   • Historia y definiciones.
   • Aplicaciones y usos de la criptografía.
   • Protocolos y estándares.
   • Tecnologías básicas.
   • Sistemas de encriptación.
   • Criptografía simétrica / asimétrica.
   • Firma digital.
   • Seguridad en el correo electrónico e Internet empleando encriptación.
   • Gestión de claves.
   • Public key infrastructure (PKI).
   • Ataques y criptoanálisis.
   • Cuestiones legales en la exportación de criptografía.
7. Seguridad Física: Técnicas de protección de instalaciones, incluyendo los recursos de los sistemas de información:
   • Gestión de las instalaciones.
   • Seguridad del personal.
   • Defensa en profundidad.
   • Controles físicos.
8. Seguridad en Internet, Redes y Telecomunicaciones: Incluye los dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación:
   • Gestión de la seguridad en la comunicaciones.
   • Protocolos de red.
   • Identificación y autenticación.
   • Comunicación de datos.
   • Seguridad de Internet y Web.
   • Métodos de ataque. Seguridad en Multimedia.
9. Recuperación ante Desastres y Planificación de la Continuidad del Negocio: Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones:
   • Conceptos de recuperación ante desastres y de negocio.
   • Procesos de planificación de la recuperación.
   • Gestión del software.
   • Análisis de Vulnerabilidades.
   • Desarrollo, mantenimiento y testing de planes.
   • Prevención de desastres.
10. Leyes, investigaciones y Ética: Engloba las leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos:
    • Leyes y regulaciones.
    • Gestión de incidentes.
    • Gestión de la respuesta ante incidentes.
    • Conducción de investigaciones.
    • Ética en la seguridad de la información.
    • Código ético del (ISC)².

Suerte!

Fuente: Internet Security Auditors

Curso COBIT FOUNDATION
En este curso los participantes aprenden la necesidad de un marco de trabajo de TI y la manera en la que COBIT satisface esta necesidad al ofrecer un marco de trabajo TI mundialmente aceptado. El curso explica los elementos del marco COBIT y sus materiales de asistencia con un enfoque lógico y orientado a ejemplos para los interesados en la obtención de conocimientos fundamentales de COBIT.

El material del curso se apoya en ejercicios prácticos entorno a una empresa virtual. Los candidatos aprenden el verdadero significado de COBIT practicando el uso de COBIT en un escenario seguro, basado en casos.
Un módulo de preparación para el examen COBIT Foundation está incluido en el curso.

El participante aprenderá más sobre:

• Cómo afectan los problemas de gestión de TI a las organizaciones y la necesidad de un marco de trabajo de control, impulsado por la necesidad de un gobierno de TI.
• ¿Cómo cumple COBIT con la exigencia de un marco de trabajo para el gobierno de TI.
• ¿Cómo se utiliza COBIT con otros estándares y mejores prácticas.
• Las funciones que provee COBIT y los beneficios del uso de COBIT.
• El marco de trabajo COBIT y todos los componentes de COBIT (Objetivos de control, métodos de control, directivas de gestión, directrices de aseguramiento).
• ¿Cómo aplicar COBIT en una situación práctica y cómo el uso de COBIT es apoyado por el ITGI.

Requisitos previos:
No se requieren.

Aquí más detalles

La certificación demuestra un conocimiento avanzado dentro de los 10 dominios del (ISC)² CISSP CBK.

No te pierdas esta oportunidad en Quito.

Para más detalles contactarse con Sthefanny Reyes al (02) 2435434 o al e-mail sreyes@digiware.net

Digiware organiza este 4 de octubre un CISSP training con el objetivo de preparar a los candidatos para aplicar a la certificación CISSP, por medio de una revisión extensa y completa de los principales temas, conceptos y mejores prácticas del sector de la seguridad de la información como son los 10 dominios del CBK.

Para más detalles contactarse con Sthefanny Reyes al (02) 2435434  o al e-mail sreyes@digiware.net

…….En buscadores de internet se puede encontrar varios portales que ofertan servicios relativos al sicariato, pero el problema radica en no conocer dónde quedan los servidores de las páginas. Así lo explica Patricia Morejón, fiscal de Delitos Informáticos, “no hay una página de Sicarios.com pero lo que tenemos son páginas donde se venden productos”.

Uno de los principales problemas es que los sicarios aprovechan el anonimato y la falta de fronteras que fácilmente se consigue en internet, “porque estas páginas no necesariamente son ecuatorianas, son creadas o son abiertas en otros países, es decir, se me ocurre, se abre en Brasil y de ahí va a la página .ec (Ecuador). Es como una subdistribuidora, no necesariamente el servidor está en Guayaquil o en Quito”;, dijo Morejón.

Ecuador pedirá ayuda internacional para combatir sicariato On line

Se trata de un acontecimiento donde se tratarán los últimos temas, visiones y perspectivas para la definición de su estrategia en Seguridad de la Información. Además de capacitación sobre Tendencias de Seguridad de la Información y su impacto en los Esquemas de Gobierno, Riesgo y Control.

Detalles:
Fecha: jueves 27 de mayo
Hora: 08:00 am – 21h00 pm
Lugar: Quito, Hotel Sheraton
Salón: Bolívar (auditorio)

ENTRADA GRATIS

Para mayor información y confirmación de asistencia, contactarse con Sthefanny Reyes al correo: sthefanny.reyes@digiware.net o al teléfono: (02) 2435434

*NOTA: Entre los asistentes se sorteará el 50% de descuento para el curso CISSP.

Luego, al ingresar al sitio fraudulento del atacante, nos muestra la siguiente imagen:

(clic para agrandar)

Luego, al momento de ingresar “los datos”, nos envía a una nueva página para confirmar el acceso.

(clic para agrandar)

Los datos son robados a través de un script PHP alojado en un servidor que ha sido previamente afectado.

Al momento de escribir el presente post, el sitio web falso sigue activo, por ese motivo se alerta y se advierte a los amigos lectores de este blog, para que estén muy atentos.

El sitio fraudulento es detectado por el SafeBrowsing de Google en Chrome, Internet Explorer y Firefox, informando de la falsificación.

Actualización: El sitio ha sido dado de baja.

*Recomendaciones:
El phishing no es un virus, sino un método que utiliza un mensaje de correo digital en la que se propone engañosamente la introducción de claves en una página web que simula la de una entidad bancaria.

Los mensajes enviados utilizarán todo tipo de ingeniosos argumentos relacionados con la seguridad de la entidad, para justificar la necesidad de introducir sus datos de acceso. Algunos ejemplos de los más comunes pueden ser los siguientes:

• Problemas de carácter técnico.
• Recientes detecciones de fraude.
• Nuevas recomendaciones de seguridad.
• Cambios en la política de seguridad de la entidad.

Ante esta campaña, se recomienda cinco normas de fácil aplicación para evitar caer en estas trampas:

1. No atienda a correos electrónico escritos en idiomas que no hable: su entidad financiera no se dirigirá a Ud en ese idioma si antes no lo han pactado previamente.
2. No atienda a correos enviados por entidades de las que no es cliente en los que le pidan datos íntimos o que afecten a su seguridad.
3. No atienda a sorteos u ofertas económicas de forma inmediata e impulsiva
4. No atienda a correos que le avisen del cese de actividades financieras recibidos por primera vez y de forma sorpresiva.
5. No atienda a correos de los que sospeche sin confirmarlos telefónica o personalmente con la entidad firmante.

*Consejos de Seguridad en Pymes | Gracias a @eduardopalacios por el mensaje

Algunas características de esta prestigiosa certificación son:

• Es la Certificación de mayor reconocimiento internacional como Profesional Integral en InfoSec, con el mismo valor académico y profesional en cualquier lugar del mundo.
• Es una de las pocas Certificaciones que ha logrado el Estándar ISO/IEC 17024 como “General requirements for bodies operating certification of persons.”
• Consta de 10 dominios de estudio (conocidos como CBK – Base Común de Conocimiento) que cubren gran parte del conocimiento y experiencia actual en seguridad de la información.
• Lograr esta Certificación es un aval de Conocimiento, Credibilidad y Calidad.

Quién debería asistir:
Directores o gerentes de tecnología, directores y oficiales de seguridad de la Información y personal responsable en temas de seguridad de la Información dentro de la organización.

Contenido del Curso:
Los temas del curso son los contenidos en el Common Body of Knowledge (CBK):

Beneficios de la certificación para la empresa:

• Permite contar con profesionales certificados con el conocimiento adecuadopara establecer las mejores prácticas de seguridad en la compañía.
• El conocimiento certificado del “Common Body of Knowledge (CBK)” proveeuna gran capacidad para la definición de soluciones adecuadas para la organización.
• La certificación brinda un mayor nivel de credibilidad a las empresas en materia de Seguridad de la Información.
• Permite la administración de riesgos de una organización, desde una perspectiva de negocio y tecnología.

Beneficios de la certificación para el profesional:

• Garantiza un alto nivel de conocimientos en Seguridad de la Información.
• Marca un diferencial entre profesionales dedicados a Seguridad de la Información.
• Reafirma un compromiso ético como profesional de Seguridad de la Información

Algunos detalles del curso
Fecha: 21 al 25 de junio
Lugar: Hotel Akros (Quito)
Valor: $ 1.820 + IVA

Para mayor información y detalles pueden contactarse con Sthefanny Reyes a los correo info-ec@digiware.net o sthefanny.reyes@digiware.net

Notas Relacionadas:
El placer de ser CISSP
Certificación CISSP
Podcast sobre la certificación CISSP

09h00-10h50 (Sala de Conferencias No. 3)
Mesa redonda
Delitos y tecnologías de la información y la comunicación
- Gissela Echeverría, LAYTALEN Comunicación Humana
- José Luis Barzallo, Bazallo&Barzallo Abogados
- Enrique Mafla, Escuela Politécnica Nacional del Ecuador
Preguntas, comentarios, debate.

Receso

11h00-12h30 (Aula Virtual)
Videoconferencia desde México
Los delitos más comunes y controversiales cometidos por medios informáticos
- Gabriel Campoli, ALFA – REDI Revista de Derecho Informático
Formulación de propuestas de políticas públicas

Dirección de la FLACSO:
La Pradera E7-174 y Diego de Almagro