Tag Archive | "Educacion"

Proceso de concientización

Como continuación en el tema de la arquitectura de procesos de seguridad de la información, en el presente artículo se describirá el primero de seis procesos básicos, el de la concientización.

En el artículo anterior de esta misma sección (b:Secure, marzo 2008) establecimos las bases de una arquitectura de procesos de seguridad de información, o framework de seguridad de información. Esta arquitectura consta de seis procesos básicos: concientización, administración de riesgos, manejo de incidentes, continuidad de negocios, control de accesos y monitoreo de seguridad.

En los próximos seis artículos se irán describiendo los procesos de seguridad de información mencionados, iniciando en este espacio con el de concientización. Su meta es proveer un proceso constante, repetible y medible para mejorar y mantener el nivel del conocimiento de la seguridad de información a lo largo de toda la empresa. La concientización también implica educar a todo el personal en exposiciones existentes al riesgo y resumirlas en medidas que se han tomado para reducir al mínimo esas exposiciones.

Pero, ¿qué significa concientizarse? Es tomar conciencia de una realidad concreta, percatarse de ella, verla casi como si fuera un objeto que tuviésemos ante los ojos. El proceso de concientización es el medio o programa en el cual nos aseguramos que un gobierno de seguridad de información, así como sus políticas y normatividades aplicables, “permean” en el personal de todos los niveles de la organización. De la efectividad de estos programas depende la velocidad de la organización para implementar adecuadamente la seguridad de información. Si todo es efectivo, podemos hablar de un jet, pero si no está resultando y el proceso es algo tortuoso, entonces es como si fuéramos en un camión guajolotero.

Seguir leyendo >>

Posted in Consejos de Seguridad, EducacionComments (0)

Falsos negativos y falsos positivos. Problemas para desarrolladores

Hablamos de antivirus. Un falso negativo sucede cuando un antivirus no detecta un malware, cuando deja pasar o ejecutarse un código malicioso en el sistema que está protegiendo. El falso positivo se da cuando el antivirus, por error, identifica como malware un fichero que es legítimo e inofensivo.

De un tiempo a esta parte tanto falsos negativos como positivos van en aumento entre los productos antivirus y, al margen de la efectividad de los antivirus, los desarrolladores de software lo están sufriendo.
Los tiempos en los que era manejable el problema del malware con la generación de firmas reactivas y concretas para cada espécimen ya pasaron. Si bien antes los antivirus tampoco eran perfectos, al menos con ese esquema podían proporcionar una protección suficientemente buena o aceptable (no había tantos falsos negativos).

A día de hoy ese modelo hace aguas debido al volumen de nuevos especímenes que se genera a diario (en VirusTotal recibimos más de 15.000 especímenes al día). Hay que ingeniárselas para ser proactivos en la detección y poder considerarse medianamente útiles. De paso evitar que el fichero de firmas de detección del antivirus engorde tanto que se convierta en “fatware” y consuma tantos recursos que de más problemas al usuario que los propios “bichos”.

Read the full story

Posted in EducacionComments (0)

Revista (In)secure Magazine, número 16

Ya está accesible el número 16 de la revista (In)secure Magazine. Los contenidos de este ejemplar son:
– Security policy considerations for virtual worlds
– US political elections and cybercrime
– Using packet analysis for network troubleshooting
– The effectiveness of industry certifications
– Building a secure future: lessons learned from 2007’s highest-
profile security events
– Advanced social engineering and human exploitation, part 2
– Interview with Nitesh Dhanjani, Senior Manager at Ernst & Young
– Is your data safe? Secure your web apps
– RSA Conference 2008
– Producing secure software with security enhanced software
development processes
– Network event analysis with Net/FSE
– Security risks for mobile computing on public WLANs: hotspot
registration
– Black Hat Europe 2008 Briefings & Training
– A Japanese perspective on Software Configuration Management
– Windows log forensics: did you cover your tracks?
– Traditional vs. non-tranditional database auditing
– Payment card data: know your defense options
El documento está accesible en Numero 16 (In)secure Magazine.

Fuente: http://seguridad-de-la-informacion.blogspot.com/2008/04/revista-insecure-magazine-nmero-16.html

Posted in Libros/DocumentosComments (0)

La seguridad perfecta es inalcanzable

Admitámoslo: por muy seguro que consideremos que es un sistema software o hardware, siempre habrá alguna forma de reventarlo. Una investigación de BusinessWeek llega a esa misma conclusión. De nada te valdrá tu antivirus, firewall, y otros mecanismos de seguridad. Con suficientes conocimientos, dedicación y paciencia, cualquiera puede superar esos obstáculos.

El mundo del ciber espionaje está a la orden del día, tal y como ponen de manifiesto la serie de artículos geniales que están publicando en Business Week. Las guerras tradicionales están dejando paso a unas mucho más peligrosas: aquellas que pueden dejar las infraestructuras informáticas de una nación totalmente inutilizadas.

Puede que sea una situación utópica para muchos, pero lo cierto es que tales amenazas existen. El mismísimo gobierno de los EE.UU. se está protegiendo como puede de tales amenazas y por ejemplo sólo dispone de 100 de los 4000 puertos de comunicaciones tradicionalmente utilizados para distintos protocolos. No es histeria: puede que estar desconectados de Internet sea la medida más eficiente para evitar estas amenazas, y puede que sea el único modo de evitar la catástrofe total. Pero antes de eso hay que tratar de evitar esas intrusiones, y cerrar puertos a mansalva es una de las medidas clave.

Lo malo de la tecnología es que proporciona tantas ventajas que es difícil desembarazarse de ella de buenas a primeras, pero el estudio desarrollado por BusinessWeek lo deja claro: la seguridad absoluta es inalcanzable.

Fuente: http://www.theinquirer.es/2008/04/17/la_seguridad_perfecta_es_inalcanzable.html

Posted in Consejos de Seguridad, EducacionComments (0)

Nuevo curso sobre Seguridad en las Transacciones Comerciales en Línea

ESET acompaña el material con su renovada Plataforma Educativa presentando un nuevo diseño y nuevas funcionalidades de navegación internas.

Buenos Aires, 15 de Abril del 2008 – ESET, proveedor global de soluciones antimalware de última generación, anuncia el lanzamiento de un completo curso para la capacitación del usuario en el correcto uso de las transacciones comerciales vía Internet.

La renovada Plataforma de Educación en línea de ESET Latinoamérica incorpora un nuevo curso centrado en los servicios de comercio electrónico, cuyo objetivo final apunta a que el usuario conozca su manejo, las posibles vías de ataque que apuntan a su dinero y los procedimientos correctos que garantizan un uso seguro del comercio en línea para evitar estafas y otro tipos de ataques.

Este completo curso ofrece definiciones para comprender el funcionamiento del comercio electrónico y las transacciones que ofrecen estos servicios. Además, se hace un repaso por las técnicas y herramientas que utilizan los delincuentes para intentar estafar a los usuarios y se estudian los conceptos necesarios para asegurar el uso correcto de estos servicios, que tantos beneficios acarrean cuando se realizan en forma segura y libre de riesgos.

“Decidimos lanzar un curso sobre transacciones en línea, ya que la percepción de los usuarios es que este tipo de herramientas y tecnología es insegura, pero si se la usa adecuadamente, puede ser tan segura como cualquier otro tipo de transacción comercial. Esto mismo es lo que intentamos mostrar y contar con este nuevo curso”, explicó Ignacio M. Sbampato, Vicepresidente de ESET para Latinoamérica.

Read the full story

Posted in Cursos, Educacion, EventosComments (2)


Patrocinadores