La página web del Teatro Nacional Sucre sufrió una modificación (defacing) la noche de ayer, hasta la publicación de este post, el portal web sigue caído.
(clic en la imagen para agrandarla)
Reportado en Twitter por @gabbycorsalas.
Durante los últimos 5 años, en Ecuador se ha mantenido un confortable silencio en términos de seguridad de la información. La sensación de no ser un blanco directo de ataques, o de no ser potencias de la programación, ha relegado el avance de la conciencia corporativa de seguridad de la información.
Durante los últimos 2 años se han venido sofisticando y casi que profesionalizando las metodologías de ataque, y más grave aún, se han venido parametrizando dichos ataques para aprovechar esta falsa sensación de seguridad. Se configura un ataque para que cumpla los horarios típicos más vulnerables, por ejemplo, configurar una red de zombis (máquinas que ya han sido comprometidas y se mantienen bajo el poder de un atacante como un “ejército silencioso”) para que ataquen de forma discreta y pausada, en intervalos lentos de conexión y de diferentes direcciones IP, justo en horario de almuerzo. Se eligen estos horarios porque estadísticamente durante el día se sospecha mucho menos de actividades de la red y porque culturalmente son horas mucho más susceptibles a abrir correo o navegar en páginas no corporativas. Se han encontrado también virus y troyanos con fechas de propagación relativas a las fiestas patrias en Ecuador.
El más popular es quizás el detalle con el que se ha conseguido suplantar entidades financieras del país por medio de Phishing. De hecho no ha sido difícil encontrar tecnologías de phishing en la región que incluyen tecnologías AJAX, ataques DNS, javascript avanzado y hasta intentos de suplantación en los certificados digitales. Todo esto teniendo muy en cuenta que para materializarlo en un ataque, antes ha habido un estudio del objetivo atacado.
Se espera que este comportamiento siga su incremento exponencial en los próximos años. Ya se ha propagado la noticia de que nuestros niveles de conciencia e inversión en temas de seguridad de la información no son los suficientemente aceptables para el reto que se avecina.
No todo es negativo. Afortunadamente se ha venido lentamente despertando el interés particular en la institucionalización de normativas para tratamiento y protección adecuados y seguros de la información, lo que ha creado algo de expectativa entre algunas organizaciones. Aunque el tema debe madurarse mucho aún, se tienen claros los principios de la seguridad. Desafortunadamente nuestra cultura se orienta mucho a la remediación en vez de la prevención; y son pocos los ejemplos de organizaciones que por iniciativa y conciencia, invierten esfuerzos adecuados y suficientes en la protección de uno de sus activos más valiosos: La información.
*Por: Adrián E. Rodríguez — Director de consultoría Digiware Perú — CISSP, CISM, GCFA, ISO Lead Auditor.
Filed under documentos, ecuador, phishing by on Oct 20th, 2009. 2 Comments. 
Por séptima ocasión se desarrollará en Quito, el InfoSecurity Quito 2009, uno de los más prestigiosos eventos de Seguridad de la Información, que contará con la participación de las más destacadas empresas, organismos y speakers del mercado.
Filed under InfoSecurity, conferencias, ecuador, eventos, presentaciones, seguridad, seminarios by on Oct 19th, 2009. 2 Comments.
Tratándose de una ley de gran trascendencia para todos los ecuatorianos, desde este espacio ponemos a disposición para su descarga, el Proyecto de Ley Orgánica de comunicación que ha sido presentado a la Asamblea Nacional por el asambleísta del partido de Gobierno, Rolando Panchana.
Proyecto Ley Organica de Comunicacion
Descargar archivo en PDF (2.09MB)
*Nota: Si alguien conoce o posee el o los proyectos de Ley presentados por el asambleísta César Montúfar, así como el presentado por el grupo denominado de izquierda, pueden enviarnos para subirlos y ponerlos a consideración de todos.
Filed under descargas, documentos, ecuador by on Sep 25th, 2009. Comment.
ISACA Capítulo Ecuador, invita a participar en los cursos de Fundamentos de CObIT (16 horas) y Taller de Implementación de Gobierno de Tecnología con CobiT (16 horas). Estos cursos serán dirigidos por el consultor internacional Lucio Molina Focazzio, tanto en Quito como en Guayaquil .
Además de la certificación CISA, Lucio Molina Focazzio cuenta con la acreditación de entrenador CobiT. Esta acreditación hasta el momento solo ha sido otorgada a 5 personas en Latinoamérica y a 30 en el mundo.
Dada la gran demanda que hemos tenido en ocasiones anteriores y a los cupos limitados que disponemos les solicitamos confirmen con anterioridad su presencia a nuestra coordinadora:
Los costos por evento son:
- Socios ISACA: 420 + I.V.A. (Si toma los dos el costo es de 800 dólares +IVA).
- Socios IAI: 450 + I.V.A. (Si toma los dos el costo es de 900 dólares+IVA). No incluye __inscripción a ISACA.
- No Socios: 550 + I.V.A. (Si toma los dos 1000 dólares) Incluye inscripción A ISACA.
- Más de 3 personas de una misma empresa 10% de descuento sobre el valor de No socio.
*No Aplica dscto. sobre dscto.
Más detalles e información contactarse con: Raquel Yánez: rayaye@yahoo.com – 092641941 – 022245699
Filed under Isaca, conferencias, ecuador, eventos by on Sep 21st, 2009. Comment.
(SISTEMA DE GESTIÓN DE SEGURIDAD EN LA INFORMACIÓN)
El curso tiene como objetivo proporcionar a los asistentes los principios teóricos y prácticos para evaluar Sistemas de Gestión de Seguridad en la información, que le permitan establecer conformidad con relación a la norma ISO/IEC 27001:2005.
Dirigido
- Directivos, Gerentes y Profesionales en Ingeniería de Sistemas de Información.
- Gerentes de Tecnología Informática, Auditores de Sistemas, Auditores contables, Jefes y/o Directores de Departamentos de Sistemas de Información, Administradores de Redes, Directores de Centros de Informática.
- Toda persona que desee conocer cómo funcionan y auditan los Sistemas de de Gestión de la Seguridad de la Información.
Beneficios con ISO 27001:2005
- Conocer los requisitos y antecedentes para el establecimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI) en las organizaciones.
- Promover la adopción de un enfoque basado en procesos con el fin de mejorar la eficacia del Sistema de Gestión de la Seguridad de la Información (SGSI).
- Conocer como identificar, cuantificar y priorizar los riesgos de la Seguridad de la información en la organización con relación al Sistema de Gestión de la Seguridad de la Información (SGSI).
Contenido
- Introducción
- Antecedentes
- Información y Seguridad de Información
- El ciclo de vida de la información y el impacto en la organización.
- Tipos de información.
- Aspectos de la seguridad de la información
- Factores claves de éxito.
- Amenazas, vulnerabilidades, riesgos.
- Relación con otros estándares internacionales.
- Caso práctico
- Conceptos generales de auditoria.
- Propósito de la auditoria interna al SGSI.
- La certificación.
- Enfoque a procesos.
- Requisitos de la norma ISO/IEC 20000-1:2005.
- Auditores y certificación.
- Conceptos auditorias internas.
- Análisis documentación.
- Programación de la auditoria.
- Planeación de la auditoria.
- Preparación de una auditoria (preparación de listas de chequeo).
- Ejecución auditoria internas.
- Gestión del SGSI.
- Auditando la política del SGSI, Organización del SGSI, activos, seguridad del recurso humano, seguridad física y del entorno, comunicaciones y operaciones, control de acceso, adquisición, desarrollo y mantenimiento de sistemas de información, incidentes de seguridad de información, continuidad del negocio y cumplimiento.
- Auditando la responsabilidad y revisión de la dirección.
- Evidencia objetiva.
- Hallazgo, Redacción No conformidades.
- Clasificación de no conformidades
Metodología
- Clases expositivas, con recursos audiovisuales.
- Talleres grupales de aplicación.
- Examen Final.
Material de Apoyo
- Se entregará una carpeta con los contenidos y talleres del curso
- Certificado de asistencia y/o de aprobación
- Incluyen breaks
Inversión: USD 320.00 más IVA por participante. (Pago de contado, todas las tarjetas de crédito).
Instructor: Profesional y Auditor Líder con amplia experiencia en la realización de auditorias, parte del staff de auditores de SGS.
Duración: 24 horas (3 días)
Prerrequisito: Tener conocimiento previo de la norma ISO 27001:2005
Certificado Otorgado: SGS Ecuador extenderá certificado mundialmente reconocido de Auditor Interno ISO 27001:2005 (Sistema de Gestión de Seguridad en la Información)
Cronograma de Actividades: Quito 7, 14 y 21 de Noviembre.
Para mayor información contáctese:
Av. República del Salvador #880 y Suecia. Piso 5. Telf: 02-2 252 300, Fax ext. 578
Mariela Echeverría ext. 528, e-mail: mariela.echeverria[arroba]sgs.com
Filed under ISO27001, conferencias, ecuador, eventos, seminarios by on Sep 10th, 2009. 1 Comment.
Comentarios Recientes