Seguridad y Tecnologia

Es evidente que cada vez somos más conscientes de los derechos relacionados con nuestros datos de carácter personal y, por ello, recelosos del mal uso que de ellos hagan terceras personas y/o entidades.

En este sentido destacamos el aumento de las denuncias ante AEPD (Agencia Española de Protección de Datos) en el 2008 en más de un 45%. En la gran mayoría de los casos las mismas estaban relacionadas con el sector de las telecomunicaciones, con entidades finacieras y con temas relacionados con la videovigilancia.

Como resultado a estas denuncias han sido muchos los procedimientos sancionadores, incrementados en un 58% respecto al año anterior, los cuales han llegado a recaudar más de 20 millones de euros en multas.

Así mismo es destacable que entre las infracciones cometidas una gran parte se corresponden a las Administraciones Públicas en este 2008 por acciones tan graves como, por ejemplo, el extravío de información de carácter personal de sus ciudadanos en la calle.

Por otro lado, junto al aumento de estas denuncias, nos encontramos con el incremento de consultas realizadas por parte de los ciudadanos a la Agencia para informarse de sus derechos, sin duda estamos dando importantes pasos en la materia con un importante incremento de concienciación no sólo por parte de los afectados, sino de las propias empresas.

Fuente: Áudea Seguridad de la Información.

Via Seguridad Informatica.es

Ha llegado un curioso correo, sobre todo era llamaba la atención por pertenecer a una entidad de la que nunca forme parte, igualmente dejando mis lados humanos de lado mire un poquito (no mucho, saltaba a simple vista) y me encontre con un lindo caso de phishing.

Lo que se intentaba era hacerle creer al usuario que se estaban actualizando las DB del Banco y que se debian actualizar los datos de cuenta (típico), obviamente el link “decía” llevarte a http://www.e-galicia.com.ar/homebanking (que dicho sea de paso, no es la URL correcta) pero en lugar de llevarnos ahí nos dirgia a http://www.XXXXXXXXX.de/webnews/modules/include/www.e-galicia.com/portal/ … como el sitio aún está arriba no les paso el link correcto.

Obviamente ha sido reportado y estamos a la espera de que deje de existir. 

Via Sechack

La criptografía viene empleándose en el diseño de Malware casi desde antes que se empleara en el diseño de SOFTWARE legitimo

Inicialmente se utilizó como una protección frente a la ingenieria inversa y contra la detección mediante cadenas y patrones: El virus cifraba su código mediante una clave y una operación sencilla, reversible, como puede ser un simple cifrado XOR con clave aleatoria.

Read the rest of this entry

Un proceso para implementación de nuevos sistemas es importante ya que permite que estos arranquen seguros en producción, por lo general las organización que carecen de este proceso cometen el error de llevar a producción sistemas que no están correctamente parchados que tienen aplicaciones, usuario o procesos que no son requeridos, los mismos que se convierten en un riesgo de seguridad muy grande para las organizaciones.

El proceso
Se propone el mismo con el fin de que en cada sistema nuevo, se pueda seguir una serie de pasos importantes y críticos que permita reducir el riesgo de compromiso, aligeren el proceso de administración de los mismos a futuro y permitan a la organización el cumplimiento de la norma en forma continua.

Se debe recordar que para el cumplimiento con la norma, el proceso deberá estar respaldado con los procedimientos adecuados y se deberá generar la documentación necesaria sin la que el sistema no sera aprobado por un QSA (Estándares de configuración, plantilla de revisión, entregables, etc.)

Endurecimiento
El proceso de endurecimiento se usa para asegurar un sistema reduciendo su potencial de ser vulnerado. Por la naturaleza de operación, los sistemas, mientras más funciones cumplen aumenta su potencial de compromiso y su numero de vulnerabilidades.

Lo que explica que la norma PCI-DSS solicite claramente que los sistemas solo cumplan una función (máximo dos si esto es justificado) y que en el mismo se reduzca los posibles vectores de ataque al remover todas las funciones (Aplicativos, programas, etc.), servicios (Demonios, puertos, etc.) y usuarios (Administradores, super usuarios, regulares, etc) no no sean específicamente requeridos por la función.

Read the rest of this entry

¿Qué es Sec-Track?

Sec-Track es un proyecto colaborativo que ofrece un repositorio de recursos relacionados con la implementación y el desarrollo de laboratorios  de entrenamiento e investigación sobre Seguridad Informática. Estos recursos son distribuidos por  medio de entornos virtualizados que asemejan entornos reales, dichos entornos pueden ser implementados en diferentes ambientes de capacitación e investigación.

Read the rest of this entry

Los 10 Mandamientos de la Seguridad Informática

1.Cuidaras la seguridad del sistema Operativo:

Elegir el sistema operativo (S.O) adecuado según la importancia y confidencialidad de los datos a almacenar en el equipo es vital. Si la información es crítica, lo ideal es emplear Sistemas Operativos muy seguros (como OpenBSD) o bastante seguros (GNU/Linux) y evitar a toda costa los menos fiables (todos los de la familia Windows, particularmente Vista y los anteriores a Windows 2000).

Read the rest of this entry

Google Wave es una herramienta que integra todos los productos y aplicaciones que tiene Google e introduce una colaboración en tiempo real que no habíamos experimentado antes, lo que la convierte en una plataforma de comunicación total, pues cuenta con una gran cantidad de funciones y aplicaciones. Además, su uso, como el del resto de productos de Google, será completamente gratuito y disponible para final de este año. Google Wave le permitirá compartir y editar de manera conjunta documentos online (algo que ya hacía Google Docs, pero con enormes mejoras), hablar por mensajería instantánea (al estilo de messenger), tener conversaciones de voz (como Skype), y ver la cara de su interlocutor gracias a su innovador sistema de videochat. Todo al mismo tiempo, lo cual la convierte en una verdadera muestra de la convergencia tecnológica.

Via : hiddekelmorrison

In-Q-Tel, una firma de capital riesgo que invierte en empresas que desarrollan equipos y tecnologías de vanguardia que pueden ser útiles para las agencias de seguridad de Estados Unidos como la DIA, la NGA y, especialmente, la Agencia Central de Inteligencia (CIA), ha entrado en el accionariado Visible Technologies, una compañía que ha creado un software que permite monitorizar páginas webs y comprobar qué hacen sus usuarios.

Visible Technologies inspecciona cada día medio millón de webs 2.0 y disecciona más de un millón de posts y conversaciones que tienen lugar en sitios como Twitter, Flickr, YouTube, Amazon y un sinfín de bitácoras, incluidos sus feeds.

Via abadiadigital