Los resultados de la tercera encuesta anual de Cyber-Ark señala que el 35% de los trabajadores TI utilizan sus derechos de administración para fisgonear en las redes y acceder a información corporativa privilegiada. El resto reconoce que podría hacerlo si quisiera.
La información a la que suelen acceder es la relativa a la información de los empleados, seguido de las bases de datos de los clientes, planes de fusiones y adquisiciones además de información sobre el marketing de la empresa.
Quizá debido a las dificultades económicas actuales los participantes de la encuesta afirman que tienen más información ahora que hace un año. Se ha multiplicado por seis la cantidad de tranbajadores que guardan información financiera o planes de adquisiciones o fusiones y se han multiplicado por cuatro los que guardan las contraseñas de los CEO y los planes de investigación y desarrollo de la compañía.
Una quinta parte de las empresas admite haber experimentado casos de sabotaje interno o fraude en la seguridad TI. De estas compañías el 36% sospecha que sus competidores han recibido información altamente sensible e incluso propiedad intelectual.
Fuente: Vnunet
Filed under fraudes by on Jun 11th, 2009. Comment. 
Después de haber visto la importancia de la implementación de Estándares de Seguridad de la Información en las empresas, de notar cómo se distribuyen geográficamente y de marcar sus principales tendencias, en esta última entrega se describirán las principales audiencias objetivas de las normas con mayor aplicación.
ISO 27001
Chief Information Officer (CIO), Chief Architect, Head Development, Head IT Administration, Compliance, Audit y Risk and Security. Ver www.iso.org.
COBIT 4.1
Ejecutivos de negocio, CIO, Business Process Owner y con equipos de cumplimiento, Audit y Risk and Security. Ver www.itgi.org y www.isaca.org/cobit.
ITIL
Marco de trabajo (framework) para la Administración de Procesos y de Servicios IT. Es independiente de la industria y la tecnología. Ver www.itil-itsm-world.com.
ISO 20000
CIO, Business Process Owner, Chief Architect, Head Operations, Head Development, Head IT Administration, PMO (Oficinas de Gestión de Proyectos). Ver www.iso.org.
CMMI
Head Development y PMO. Ver www.sei.cmu.edu/cmmi.
AS/NZS 4360
CIO, Business Process Owner, Chief Architect, Compliance, Audit, Risk and Security, PMO. Ver www.standars.com.au.
BS 7799-3
CIO, Business Process Owner, Chief Architect, Compliance, Audit, Risk and Security, PMO. Ver www.bsi-global.com.
BS 2599
Ejecutivos de negocio, CIO, Business Process Owner y con equipos de cumplimiento, Audit, Risk and Security. Ver www.bsi-global.com.
ANSI/TIA-942-2005
Guía para el diseño y elementos de construcción de un centro de datos de cualquier tamaño. Ver www.ansi.org y http://www.tiaonline.org.
COSO
Marco general de control interno (Ambiente de control, Evaluación de riesgos, Actividades de control, Información y comunicación, Supervisión y seguimiento del sistema de control). Util para el cumplimiento de la sección 404 de SOX. Ver www.coso.org.
SAS 70
La declaración número 70 del Statement of Auditing Standards (SAS).
es un estándar sobre auditorías reconocido internacionalmente y desarrollado por el Instituto Americano de Contadores Públicos Certificadas (AICPA). Ver www.aicpa.org.
La Seguridad de la Información es un concepto “estándar” aplicable a distintas realidades y objetivos de negocio. Y si bien todos los estándares son una buena guía metodológica y están creados bajo una mirada común, no hay soluciones estándar porque cada organización tiene necesidades propias.
Por Miguel Iván Cisterna (Especialista de Seguridad Global Crossing de Chile)
Fuente: CXO Community
Filed under ISO27001, seguridad by on Jun 10th, 2009. Comment.
¿Cómo proteger a nuestros hijos de los ciberdelincuentes y pedófilos?
En el siguiente video queda resumida la responsabilidad de los mayores ante estos casos, donde pesa más la experiencia de vida que los conocimientos tecnológicos.
Filed under consejos, seguridad by on Jun 10th, 2009. Comment.
El pasado domingo 17 de mayo, la página web del Instituto Ecuatoriano de Seguridad Social (IESS), estuvo intervenida por un lapso apoximado de tres horas. La imagen que apareció en la web es la siguiente:
La implementación de Estándares de Seguridad de la Información responden a diversas necesidades según las empresas donde se los aplica.
Ya sea por cotizar en la bolsa de Estados Unidos o por pertenecer a un segmento que tiene algún tipo de control o normativa de parte de los gobiernos o de las mismas empresas, es necesario adecuarse a los estándares que aseguren la inserción en el mercado global.
La distribución geográfica de los estándares más utilizados se divide mundialmente de la siguiente manera:
- Internacionales: ISO/IEC 27001 – 27002, ISO/IEC 20000, ISO/WD 31000.
- Norteamérica: Bill 3494/2000, Bill 3221/2004, Bill 198, COBIT, COSO, SAS 70, Sarbanes-Oxley, Homeland Security, CMMI.
- Sudamérica: NBR 17799/27001, NTP 17799
NCH 2777, Regulaciones SB, Decreto 83, Exigencias puntuales locales. - Europa: BS 25999, BS 7799-3, KongTraG, Basell II, DPA, EUDP, IAS, Companies Act, BDSG, LOP, Reg 357, Article 46, King II Report, Banking Act.
- Asia: Japan Privacy, Japanese SOX, Basell II & FICS
- Australia y Nueva Zelandia: AS/NZS 4360, CLERP 9, PA&PAA
La tendencia esta claramente inclinada hacia los estándares que permiten detectar el fraude (internos y externo), los sistemas de gestión integrados, estándares para firma digital, control de desarrollo de software, data base intrusión prevention, entre otros.
La mayoría de las regulaciones están orientadas a los procesos, gobernabilidad y reportes, involucrándose con aspectos tecnológicos.
Algunos estándares al ser certificables, generan un cumplimiento de una regulación específica.
Existen muchas regulaciones que existen y obligan a diferentes compañías a implementar controles para dar cumplimiento a las diferentes regulaciones.
Independiente de la regulación que una empresa debe cumplir, puede encontrar mas de un estándar que le permita estar en cumplimiento de dicha regulación.
Por: Miguel Iván Cisterna (Especialista de Seguridad – Global Crossing de Chile)
Fuente: Community CXO
Filed under ISO27001, seguridad by on May 28th, 2009. Comment.
Son varios los correos fraudulentos hacia la entidad bancaria Produbanco, se trata de intentos de Phishing, el mensaje el correo electrónico es el siguiente:
El enlace al sitio falso re-direcciona a un sitio de Corea, mientras que el dominio que inicialmente muestra el correo fraudulento (igual es Coreano) y en este momento, se encuentra temporalmente caído.
Filed under Ecuador, bancos, phishing, seguridad by on May 27th, 2009. 3 Comments.
Comentarios Recientes