Guía de ISACA Define las Vulnerabilidades y Estrategias de la Seguridad de las Aplicaciones Web

Posted on November 23, 2011 by Inforc Ecuador

El uso de aplicaciones Web crece rápidamente debido al gran valor que agregan a las empresas al aportar formas innovadoras de interactuar con los clientes. Sin embargo, los beneficios de estas aplicaciones vienen acompañados de vulnerabilidades para la seguridad que crean riesgos y exposiciones peligrosas. ISACA, una asociación mundial de 95 mil profesionales de la seguridad de TI, dio a conocer un nuevo reporte gratuito titulado Web Application Security: Business and Risk Considerations (Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo), que perfila las causas de las vulnerabilidades de las aplicaciones Web, al mismo tiempo que examina el riesgo asociado, su impacto y brinda sugerencias para mitigar el riesgo. La guía aplica a todos los tipos de actividades de desarrollo de software.

Las nuevas aplicaciones Web están basadas en un ambiente cliente-servidor y son independientes de las plataformas, requieren menos poder de cómputo, y pueden integrarse perfectamente con recursos y servicios en línea. Su utilización puede reducir el tiempo y costo de los procesos, mayor número de clientes satisfechos e ingresos más altos. Sin embargo, las vulnerabilidades de las aplicaciones abren la puerta a la explotación de información corporativa sensible, a la interrupción del servicio y al robo de propiedad intelectual. Algunas vulnerabilidades comunes identificadas en el reporte incluyen:

  • Inyección de SQL
  • Cross-site scripting
  • Referencias inseguras de objetos directos
  • Fuga de información
  • Anti-automatización insuficiente

Aunque se están reportando cada vez más violaciones en la Web, existe un gran número de ellas que nunca se reportan o ni siquiera se detectan, y muchas empresas no han tomado aún las acciones para resolver las vulnerabilidades”, aseguró Salomón Rico, CISA, CISM, CGEIT, de Deloitte México, y presidente del equipo de desarrollo de este reporte en ISACA. “Las aplicaciones Web deben contar con seguridad integrada en cada paso e ISACA ofrece una guía específica y los pasos detallados para hacerlo”.

El reporte incluye las siguientes estrategias para enfrentar el riesgo de las aplicaciones web:

  • Las medidas de seguridad deben ser componentes obligatorios que se incluyan al inicio del proceso de desarrollo.
  • Los programadores deben capacitarse en técnicas de codificación seguras.
  • Debe existir un proceso robusto de aseguramiento de la calidad para aplicar pruebas de calidad continuas y controladas no sólo de la parte funcional sino de cuestiones de seguridad también.
  • Las aplicaciones implementadas deben ser monitoreadas continuamente para detectar las vulnerabilidades descubiertas.
  • Deben tomarse medidas decisivas para resolver las vulnerabilidades encontradas.

Las empresas pueden aprovechar los diversos beneficios de las aplicaciones Web si tienen un enfoque sistemático”, añadió Rico. “Estas nuevas tecnologías pueden integrarse exitosamente con cuidado, lo que puede crear un mejor valor y reputación; así como un mayor apoyo de la empresa y sus integrantes”.

Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo está disponible sin costo a través de www.isaca.org/web-application-security. Puede encontrar una guía adicional de ISACA sobre temas como el cómputo en la nube, el gobierno de los medios sociales y la seguridad de los dispositivos móviles en www.isaca.org/whitepapers.

Posted in Isaca | Leave a comment

Las Compras Navideñas Incrementan el Riesgo para los Sistemas IT de las Empresas

Posted on November 1, 2011 by Inforc Ecuador

Las compras a través de dispositivos móviles se están incrementando en todo el mundo y con su popularidad, crecen los riesgos que presentan para los sistemas de información de las empresas. De acuerdo, a la edición 2011 de la encuesta Shopping on the Job: Online Holiday Shopping and BYOD Security realizada por ISACA, el 52% de los 272 profesionales de TI encuestados en América Latina creen que sus empleados incrementarán este año sus compras en línea durante las horas de trabajo, lo que ocasionará un riesgo para la empresa.

El incremento en las compras en línea para esta época de navidad serán empujadas en gran medida por el uso de smartphones o tabletas, de acuerdo a un estudio reciente de e-Marketer. Por lo tanto, la utilización de estos dispositivos móviles para compras, sobre todo desde dispositivos proporcionados por la empresa, se está convirtiendo en una actividad de alto riesgo para los sistemas de información corporativos. Más de la mitad de los encuestados (59%) considera que cada vez que un empleado abra un correo electrónico desde una computadora o smarthphone de la empresa y siga un link para llegar a una tienda en línea presentará un alto riesgo de seguridad para sus sistemas de información.

A pesar de la preocupación que está generando el uso de dispositivos móviles proporcionados por la empresa para usos personales, solo el 24% de los encuestados aseguró tener una prohibición en efecto, el 38% afirmó que se han establecido límites y el 35% permite los usos personales de los dispositivos. Asimismo, el creciente uso de servicios de tecnología de geolocalización está incrementando el nivel del riesgo, pero un 57% reportó que su organización no ha establecido una guía de seguridad sobre su uso para los empleados.

Los teléfonos inteligentes se están convirtiendo rápidamente en parte esencial de nuestra vida y nuestro trabajo. La implementación de políticas de seguridad y la capacitación sobre el uso de los dispositivos móviles harán la diferencia para las empresas de la región en la prevención de los riesgos”, aseguró Gustavo A. Solis Montes, CISA, CISM, CGEIT, CRISC, Presidente del Capítulo México de ISACA.

Resultados Globales

La presente edición de la encuesta de ISACA Shopping in the Job encuestó a 4,740 miembros en 84 países. Entre las similitudes encontradas en las diversas regiones, destaca que la mayoría estima que sus empleados usarán entre 1-2 horas para sus compras navideñas a través de dispositivos o computadoras de la empresa o a través de dispositivos propios pero en horas de trabajo. Las diferencias se observan en las políticas de uso de los recursos de TI y tiempo laboral para cuestiones personales. En Norteamérica y Europa cerca del 40 % de los encuestados permite el uso de estos recursos por parte de sus empleados para promover un balance Vida-empleado. En contraste, cerca del 50% de los encuestados de Asia y América Latina aseguró que sus empresas restringen el uso de recursos de TI y horas de trabajo para actividades personales por preocupaciones de seguridad.

Cabe destacar las diferencias regionales en las medidas que las empresas implementan como parte de su sistema de manejo de riesgo y seguridad en relación a las compras en línea de sus empleados a través de una computadora o smartphone del trabajo:

  • En América del Norte (EEUU y Canadá) y Europa, el 75% de los participantes aseguró que cuentan con tecnología activada para proteger ataques en línea.
  • En Asia el 63% destacó que sus empresas ofrecen entrenamiento sobre conocimiento de temas de seguridad.
  • En América Latina el 61% comentó que monitorean el uso de internet de sus empleados.

Por último, la mayoría de los encuestados de todos los países consideran que los riesgos de permitir el uso de dispositivos móviles personales para actividades de la empresa- una tendencia en crecimiento conocida como BYOD (siglas en inglés de Bring your Own Device)- son mayores que los beneficios que presentan a la empresa. A pesar de esto, el número de empresas que permiten a sus empleados ocupar dispositivos personales para actividades de trabajo está a la alza, por lo que se vuelve imperante para estas organizaciones contar con una postura de “acepta y educa”: aceptar la tecnología y los beneficios que trae a la empresa, al mismo tiempo que se educa a los empleados sobre las acciones a tomar para minimizar el riesgo.

Los resultados completos de la encuesta están disponibles en www.isaca.org/online-shopping-risk. Información adicional sobre seguridad en dispositivos móviles puede ser consultada en www.isaca.org/mobile-devices.

Acerca del 2011 ISACA Shopping on the Job Survey: Online Holiday Shopping and BYOD Security

La encuesta realizada por ISACA, Online Holiday Shopping and BYOD Security permite identificar similitudes y diferencias entre las actitudes y comportamientos relacionas con los riesgos y beneficios asociados con las compras en línea, el uso de dispositivos personales y los proporcionados por la empresa. La edición 2011, el cuarto año que se realiza, contempló la aplicación de una encuesta en línea durante el mes de octubre a 4,740 miembros de ISACA en 84 países, incluyendo 272 profesionales de América latina.

ISACA en Twitter: http://twitter.com/ISACANews
ISACA en LinkedIn: ISACA (Oficial), http://tinyurl.com/42vbrlz
ISACA en Facebook: www.facebook.com/ISACAHQ
Colabora con los miembros de ISACA: www.isaca.org/knowledge-center

Posted in Isaca | 2 Comments

Las empresas replantean los planes de continuidad después del caso Blackberry

Posted on October 25, 2011 by Inforc Ecuador

A raíz del mayor corte de la historia de la compañía que se ha producido en los servicios Research in Motion (RIM), Jenny Williams investiga cómo las empresas construyen su estrategia de resistencia contra puntos únicos de fallo para el caso de la interrupción en la prestación por parte de un proveedor de servicios.

La interrupción de tres días en los servicios RIM ha afectado las entregas del correo electrónico móvil a las principales empresas y departamentos gubernamentales y que hacen uso intensivo de la empresa de servicios Blackberry.

La interrupción de los servicios globales ha llevado a las empresas a replantearse su uso y la dependencia de los teléfonos inteligentes Blackberry en base al único punto de fallo en la red de RIM y la infraestructura de TI demostrados.

Fuente: ISO27000.ES

Posted in amenazas | Tagged | 1 Comment

Proyecto de Código Orgánico Integral Penal Integral

Posted on October 20, 2011 by Inforc Ecuador

Para conocimiento de los lectores de este espacio, ponemos a su consideración el proyecto de Código Orgánico Integral Penal Integral, recientemente calificado por el Consejo de Administración Legislativa (CAL) y enviado a la Comisión de Justicia y Estructura del Estado en la Asamblea Nacional.

Recomendamos su lectura, especialmente (por la temática de este blog) los artículos relacionados con las Infracciones contra la información.

código-orgánico-integral-penal-final-12-de-otubre

Posted in Ecuador | Leave a comment

Proyecto de Ley Orgánica de Telecomunicaciones y de Servicios Postales

Posted on October 19, 2011 by Inforc Ecuador

A quién interese, publicamos para conocimiento y revisión el “Proyecto de Ley Orgánica de Telecomunicaciones y de Servicios Postales” enviado recientemente por el Ejecutivo a la Asamblea Nacional.

Ecuador: Proyecto de Ley Orgánica de Telecomunicaciones y de Servicios Postales

Posted in Ecuador | Tagged | Leave a comment

ISACA Presenta el Modelo de Evaluación de Procesos de COBIT

Posted on October 13, 2011 by Inforc Ecuador

Desde que COBIT fue dado a conocer hace 15 años, empresas de todo el mundo lo han utilizado para evaluar y mejorar sus procesos de TI. Sin embargo, hasta ahora no existía un modelo de evaluación consistente y confiable. El nuevo COBIT Assessment Programme de ISACA, que incluye el nuevo Process Assessment Model (PAM), ofrece esta consistencia y confiabilidad para que los líderes de negocio y de TI puedan confiar en el proceso de evaluación y en la calidad de los resultados mientras maximizan el valor del negocio de sus inversiones en TI. COBIT PAM puede descargarse de www.isaca.org/cobit-assessment-program.

Después de realizar una encuesta global en el 2010 para determinar la necesidad del mercado, ISACA descubrió que el 89 por ciento de los 1,400 entrevistados expresó la necesidad de una evaluación de la capacidad de los proceso de TI que fuera rigurosa y confiable.

COBIT PAM brinda la base para la evaluación de los proceso de TI de una empresa con COBIT 4.1 y permite que las evaluaciones de las capacidades de los procesos soporten la mejora”, apuntó Gary Baker, CA, CGEIT. “La evaluación se basa en evidencias para asegurar un proceso confiable, consistente y repetible en el gobierno y la administración de TI”.

La segunda guía de la serie COBIT Assessment Programme – COBIT La Guía del Asesor Usando COBIT 4.1 – se lanzará a finales de 2011. Ofrecerá información sobre cómo realizar una evaluación formal por parte de un asesor certificado capacitado. La Guía del Asesor utilizará COBIT PAM como el documento de referencia base y dará opciones para el alcance de las evaluaciones.

La tercera guía de la serie – COBIT Guía de Autoevaluación Usando COBIT 4.1 – también está en desarrollo. Esta guía le permitirá a las empresas realizar la autoevaluación básica de los actuales niveles de capacidad de procesos de TI con COBIT 4.1. Las empresas podrán utilizarla para realizar evaluaciones de capacidades que no se basan en evidencias para servir como una revisión precursora hacia una evaluación formal.

El modelo de evaluación de procesos de COBIT se integrará a COBIT 5, el cual estará disponible a principios de 2012. COBIT actúa como un integrador de estándares de TI y guía internacionales más detallados. Basado en estándares de la industria y las mejores prácticas, es un modelo completo que asegura que TI esté satisfaciendo las necesidades de una empresa y que permita cumplir con los objetivos estratégicos del negocio. El marco COBIT está disponible para descargarse sin costo en www.isaca.org/cobit.

El Modelo de Evaluación de Procesos de COBIT está disponible para los miembros de ISACA de manera gratuita. Los no miembros pueden adquirirlo por $50 dólares. Es posible encontrar mayor información en www.isaca.org/cobit-assessment-program.

Posted in Isaca | Tagged | Leave a comment