Gestión de riesgos de las infraestructuras de información críticas de una nación

Posted on June 6, 2011 by Inforc Ecuador

ENISA ha publicado “National Risk Management Preparedness” como resultado de las conclusiones de un grupo de trabajo en el que han participado expertos y entidades relevantes en la seguridad de la información para la protección de los gobiernos de los distintos países que forman la Unión Europea.
El documento dirigido a entidades gubernamentales de los distintos países europeos es marco de trabajo eminentemente práctico y que tiene carácter de guía práctica de implantación de procesos en base a flujos, modelos de cuestionarios, evaluaciones de riesgos y diversas actividades que se presentan de modo organizado según modelos de procesos y que implica el análisis y consideración de las diversas partes (públicas y privadas) relevantes para la mejor gestión de escenarios adversos que pudieran afectar a un país o inluso a nivel intracomunitario europeo.

Aquellas organizaciones que ya hayan implantado un SGSI según ISO/IEC 27001 identificarán claramente en el documento desarrollado por ENISA referencias directas a este estándar internacional y que este caso llega al nivel de protección recomendado para gobiernos de los paises y de sus infraestructuras críticas.

Por tanto, la alineación de las actividades de prestación de productos y servicios de dichas empresas en cuanto a las necesidades y requisitos actuales y futuros por parte de los gobiernos e instituciones públicas otorga nuevos argumentos de peso y de ventaja competitiva.

La publicación de este documento consolida la implantación y certificación de ISO/IEC 27001 como una obligación actual de cualquier organización que actúe en los mercados europeos y sobrepasando la sensibilidad individual y/o cumplimiento legal de protección de datos de las empresas como argumentos principales en los primeros años de vida de la norma en muchos países europeos.

Descargar: National Risk Management Preparedness Consolidated Report (.PDF-1.94MB)

Fuente: ISO27000.ES

Posted in seguridad | Leave a comment

Los 10 mandamientos de la seguridad corporativa

Posted on June 1, 2011 by Inforc Ecuador

Compartimos con ustedes este interesante material elaborado por la gente de ESET.

  1. Definirás una política de seguridad.
  2. Utilizarás tecnologías de seguridad.
  3. Educarás a tus usuarios.
  4. Controlarás el acceso físico a la información.
  5. Actualizarás tu software.
  6. No utilizarás a IT como tu equipo de Seguridad Informática.
  7. No usarás usuarios administrativos.
  8. No invertirás dinero en seguridad, ¡sin pensar!.
  9. No terminarás un proyecto en seguridad.
  10. No subestimarás a la seguridad de la información.

¿Te pareció interesante?, entérate de los detalles de cada mandamiento.

Posted in consejos, ESET | Tagged | Leave a comment

Malware en Mac y Linux

Posted on April 17, 2011 by Inforc Ecuador

Una presentación que ya tiene varios meses de difusión, pero por su importancia la ponemos a disposición de todos los lectores de este blog, se trata de un tema que cada vez se pone más interesante.

Malware en Mac y Linux

View more presentations from Ignacio Sb
Posted in Malware | Tagged | Leave a comment

Publicada ISO/IEC 27031

Posted on April 13, 2011 by Inforc Ecuador

El estándar BS ISO / IEC 27031:2011Tecnología de la información. Técnicas de seguridad. Directrices para la información y la disponibilidad de la tecnología de comunicaciones para la continuidad del negocio” sustituye al estándar BS 25777 y describe los conceptos y principios para la preparación de la continuidad del negocio en actividades relacionadas con la tecnologías de la información y las comunicaciones(TIC) para mejorar la capacidad de hacer frente a situaciones de estrés.

¿Quién se beneficiará del uso de BS ISO 27031?

  • Responsables y consultores de Gestión de la Continuidad de Negocio
  • Administradores TI
  • CIO
  • La alta dirección.

La norma describe los conceptos y principios de la preparación de las TIC para la continuidad del negocio, y proporciona un marco de métodos y procesos para identificar y especificar todos los aspectos.

Fuente: ISO27000.ES

Posted in procedimientos | Leave a comment

Anatomía de un ataque de Phishing [infografía]

Posted on April 5, 2011 by Inforc Ecuador

Fuente: ESET Threat Blog | How to Avoid a Phishing Attack

Posted in ESET, phishing | Tagged | Leave a comment

Los delitos informáticos en el Ecuador

Posted on April 2, 2011 by Inforc Ecuador

Después de haber publicado el siguiente comentario en Facebook, muchas interrogantes llegaron pidiendo que especifique mi comentario.

No voy a negar el delito como tal, de hecho es muy grave el asunto a nivel general, que basta con poner un subject interesante como para atraer la atención de los incautos, método mejor conocido como Ingeniería Social, pero lo que si me extraña es que la difusión de la una parte afectada (usuarios) tenga tanta cobertura (nada de malo hasta ahí) de los medios oficiales o de Gobierno, cuando del otro lado (banca) no ha existido o no han tenido los mismos espacios para justificar sus argumentos, y para coronar la conjetura ni siquiera en los medios no-estatales (también llamados independientes), este asunto de la devolución no ha tenido repercusión que merece un caso de estas características.
Entonces, yo si creo que el asunto tiene mucho tinte político, en esta guerra Gobierno (Correa) – Bancos (Egas y banqueros en general), sumando también a favor del Gobierno a la Fiscalía y Superintendencia de Bancos, al final puedo estar equivocado, pero por ahora es lo que observo.

Ahora pasando al tema de los delitos informáticos y concretamente al famoso Phishing, en este blog yo lo comentaba (sugería) en el 2007: …una normativa que obligue a los bancos a indemnizar a sus clientes que hayan sido estafados por ciberdelincuentes, o al menos campañas de capacitación, concienciación de la problemática, difusión masiva de métodos de ataque, campañas que debían (deben) ser dirigidas por las entidades bancarias, pero parece que esto si se está logrando con la campaña “saber es poder” de la Asociación de Bancos Privados del Ecuador (ABPE), es un gran paso, quizás es el precio que tuvieron (tienen) que pagar los bancos con toda esta arremetida (del Gobierno) para que se hagan cargo de las pérdidas (robos) de dinero mediante métodos electrónicos como el Phishing.

Bien por los usuarios que al final salen ganando, así tendremos campañas (ojalá permanentes) de los diferentes métodos de delitos informáticos, consejos y recomendaciones a través medios de comunicación masivos que ayudarán en algo al usuario. El problema está, se debe aprender a convivir con el problema, la banca ahora pensará (debería) pensar dos veces a la hora de ofrecer sus in-seguros sistemas a sus clientes, la cuestión no es solo innovar, el asunto acá es que más importante que la innovación es la seguridad que deben ofrecer a sus clientes.

Posted in Ecuador | Tagged | 6 Comments