La NASA vendió ordenadores sin borrar los datos almacenados

Increíble pero cierto, después de todo el histórico revuelo mediático alrededor de las filtraciones de WikiLeaks, resulta que la NASA, ha revelado que, dentro de su programa de reciclaje de equipos informáticos, vendió diez ordenadores sin haber eliminado previamente los datos que éstos almacenaban, que por cierto, estaban catalogados como información sensible; y a punto estuvo de salir un ordenador más con información relativa a los transbordadores espaciales, si no llegan a inspeccionar el contenido de éste. Este caso, que bien podría parecer sacado de una película de espionaje de serie B, es totalmente verídica y supone un espectacular fallo de seguridad.

Al parecer, la NASA estaba dando salida al material informático del centro espacial Kennedy como paso previo al cierre del programa del transbordador espacial, fechado en junio del año próximo. Sin embargo, no tuvieron la precaución de revisar el contenido de éstos, que andaba repleto de información relativa a los transbordadores espaciales y a las aplicaciones y controles internos de la red de la propia NASA, todo un premio para alguien que quiera realizar un ataque o para algún gobierno sin mucha simpatía por los Estados Unidos.

Según la propia NASA, el fallo de seguridad se debe a una cadena de errores humanos y la descoordinación de un organismo con un tamaño tan grande. Existían centros que antes de vender un ordenador, retiraban los discos duros, que eran inutilizados por separado. Sin embargo, otros centros utilizaban un software para limpiar los discos, que ni siquiera contaba con la autorización de la NASA, pero lo más grave era que tras aplicar este software, algunos de estos centros no tenían ningún procedimiento que validase que los datos, efectivamente, habían sido borrados.

Un grave fallo de seguridad este de la NASA, sin embargo, es algo que por desgracia ocurre en muchas empresas y organizaciones. Un buen control de la red, una revisión periódica de los permisos o un buen antivirus de poco nos sirven, si al retirar un PC del servicio no verificamos si existe o no información sensible almacenada en éstos.

Según un estudio, las pérdidas de información pueden suponerle un daño a las empresas cifrado entre cinco y quince mil milllones de dólares. Y claro, un simple formateo del disco o un borrado desde el sistema operativo no es suficiente.

Este tipo de noticias no son nuevas, no hace mucho un grupo de alumnos del MIT (Instituto de Tecnología de Massachusetts), adquirieron 158 discos duros a través de eBay. La información, supuestamente, había sido eliminada, sin embargo, utilizando distintos programas de recuperación, reconstruyeron la información de 68 de estos discos, obteniendo información altamente sensible: números de tarjetas de crédito, contraseñas, correos electrónicos, información médica o archivos de índole personal.

Por tanto, la no eliminación de datos en los equipos que se retiran en las empresas es un alto riesgo para la seguridad de éstas, como hemos podido ver en el caso de la NASA. Todos los sistemas de gestión de la seguridad de la información deben procedimentar la retirada de equipos así como el envío de éstos a un servicio técnico (otra fuentede riesgo).

Como ya comentamos, no hace mucho, cifrar los datos puede ser una solución, sin embargo, tampoco es algo que esté, desgraciadamente, muy extendido en las empresas.

Vía: Networkworld

Sistema de Gestión de la Continuidad del Negocio (SGCN)

Capacitate con profesionales certificados

ISM Global te presenta a el Ing. Julio Cesar Balderrama, Auditor Líder de la Gestión de la Continuidad del Negocio BS 25999 acreditado IRCA y Certificado por BSI Management Systems America (certificado número 78818 2009)

Conoce a nuestro intructor:

http://www.linkedin.com/in/juliocesarbalderrama

Fecha: Jueves 16 de Diciembre de 2010


Objetivo:

Instruir a los participantes en una serie de conocimientos y herramientas necesarios para desarrollar un programa de Continuidad de Negocio orientado a proteger los recursos de las Organizaciones.

Inducir a los participantes en los conceptos básicos relacionados con la Continuidad de Negocios, así como, definir los elementos necesarios para gerenciar un programa de Continuidad de Negocio.

Preparar a los participantes para efectuar una adecuada evaluación de riesgo que permita identificar las amenazas de la organización.

Presentar los estándares utilizados para desarrollar un adecuado Análisis de Impacto al Negocio, que permita identificar la criticidad de los procesos del negocio.

A quien va dirigido?:

El curso está dirigido a:

• Directores de Tecnología de la Información
• Gerentes de Tecnología de la Información
• Profesionales en roles de seguridad de la información
• Responsables Infraestructura tecnológica
• Responsables de Bases de datos y comunicaciones,
• Directores de área y/o funcionarios con personal a cargo dentro de las organizaciones.
• Y en general a personas interesadas en profundizar sus conocimientos en seguridad de la información

Temario:

Planificación del Proyecto de implementación de Continuidad de Negocio
• Desarrollo del Programa de BCM
• Términos y definiciones
• Roles y Responsabilidades
• Presentación a la Alta Gerencia

Evaluación y análisis de Riesgos (AR)
• Propósito de la Evaluación de Riesgos
• Metodología y Enfoque de la Evaluación de Riesgos
• Identificación y Evaluación de controles

Análisis de Impacto al Negocio (BIA)
• Propósito del Análisis de Impacto al Negocio
• Definición del Tiempo Objetivo de Recuperación (RTO –Recovery Time Objective)
• Definición y diferencias entre Interrupción y Desastre
• Fases del Análisis de Impacto al Negocio
• Resultados del Análisis de Impacto al Negocio

Desarrollo de Estrategias de Continuidad de Negocios
• Entender y analizar las estrategias de recuperación disponibles.
• Identificar las estrategias viables para los servicios de soporte y áreas funcionales.
• Consolidación de Estrategias

Desarrollo e Implementación de Planes de Continuidad de Negocios
• Metodología para el desarrollo del Plan.
• Organización de la Planificación.
• Documentación del Plan.
• Implementación del Plan.

Programas de Prueba y Ejercicios de los Planes
• Elementos de un programa de Pruebas y Ejercicios
• Tipos de Pruebas y Ejercicios
• Mantenimiento del Programa de BCM

Programas de Concientización y Capacitación
• Importancia del Programa de Concientización y Capacitación.
• Descripción de los Elementos del Programa
• Tipos de actividades de Concientización y Capacitación.
• Evaluación y medición de Logros.

Inscripción:
info@ism-global.com
www.ism-global.com/university.php

skype: ism-global

Tel: +54 11 6091-9600

Fuente: canal-ar.com.ar

Solo un 21% de las pymes cuenta con un plan en protección de datos

T. G. - Barcelona - 01/12/2010

Más del 70% de las compañías españolas reconoce la importancia de tener una estrategia corporativa en protección de datos, pero en la práctica solamente un 21% de las pequeñas y medianas empresas cuenta con un plan formado en esta materia. De hecho, el 26% de las sociedades considera no estar afectada por la legislación existente en seguridad e incluso un 13,7% la desconoce.

Estos datos y porcentajes se desprenden de un reciente estudio realizado por ISMS Forum Spain, una asociación sin ánimo de lucro cuyo principal objetivo es fomentar la seguridad de la información.

La escasa atención a los sistemas de seguridad contrasta con la utilización de servicios de la sociedad de la información, especialmente en banca electrónica y gestiones con la Administración pública.

Asimismo, España es el tercer país en el ranking mundial en porcentaje de usuarios activos. A pesar de este nivel de utilización, el 28,4% de los encuestados no confía en el comercio electrónico, perdiéndose un total de 4.300 millones de euros en transacciones en la red.

Para mejorar el nivel de formación de empresas y usuarios, ISMS Forum presentó ayer el portal protegetuinformación.com en el transcurso de una jornada que contó con la colaboración de CincoDías.

El presidente de McAfee, Jim David Dewalt; el vicepresidente europeo de Symantec, John Bridgen, y el director para el sur de Europa de Checkpoint, Paolo Ardemagni, participaron durante esta jornada celebrada en Barcelona, en la Torre de Agbar.

Fuente: 5dias.com

Tenga cuidado con las estafas de “Viernes Negro” y el “Ciber Lunes”

Aunque históricamente es conocido como el día en que todo el mundo se precipita a las tiendas, el "Viernes Negro" también tiene una fuerte presencia en Internet con muchas tiendas en línea que ofrece descuentos igualmente grandes.

Esto también es válido para el lunes siguiente, comúnmente conocido como “Ciber Lunes”, cuando todas las personas que no terminaron sus compras en las tiendas locales el “Viernes Negro”, visiten el sitio en busca de ofertas.

Y donde hay gran cantidad de usuarios de Internet, también hay una gran cantidad de delitos cibernéticos. "Es más importante que nunca que los compradores sigan las mejores prácticas para evitar infectar sus computadoras o poner su información privada en manos peligrosas", dice Sean-Paul Correll, investigador de amenazas de Panda Security.

El proveedor de antivirus recomienda a los usuarios evitar el uso de motores de búsqueda para localizar ofertas, porque los criminales cibernéticos tienen el hábito de realizar poisoning en los resultados de la búsqueda por palabras clave populares colocando enlaces maliciosos.

De hecho, los términos de búsqueda relacionados con el “Viernes Negro” ya han sido blanco de ataques desde el comienzo de esta semana. Ir directamente a tiendas en línea bien conocidas y de confianza es siempre la mejor opción.

También se recomienda a los usuarios evitar hacer clic en enlaces de correos electrónicos de publicidad, incluso si parece que vienen de proveedores legítimos. Las mismas ofertas están probablemente disponibles accediendo directamente a sus sitios web.

Las personas que deciden comprar algo siempre deben comprobar que el sitio use SSL durante la transacción. Además, no deben ingresar sus cuentas en redes inalámbricas abiertas/inseguras.

Mantener el sistema operativo y todas las aplicaciones actualizadas es fundamental, debido a los ataques que explotan las vulnerabilidades del software obsoleto que pueden ser lanzados desde sitios web legítimos comprometidos.

Por último, navegar con un antivirus actualizado es siempre una necesidad. Se recomienda a los usuarios no tomar estos consejos de seguridad a la ligera.

Fuente: threat post

El 70% de las PyMEs argentinas sufrió algún virus

Según una encuesta realizada por la consultora, el 60% de las empresas cree que los ciberataques son consecuencia del software ilegal. El país se encuentra entre los tres primeros de Latinoamérica que más información perdió.

Un estudio que hizo la consultora Prince & Cooke reveló que el 60,4% de las PyMEs argentinas reconoce que la exposición a virus y el cibercrimen están asociados al uso de software sin licencia. Sin embargo, solo el 32,1% lo relaciona con un impacto en su productividad. La encuesta se realizó entre 3.650 pequeñas y medianas compañías de toda América Latina.

[ 1 ] La PyMEs argentinas entre las que más virus sufre por software ilegal.

En la región el 68,6% de este tipo de firmas sufrió ataques informáticos, entre las cuales el 13,6% perdió información sensible o valiosa, y el 17,4% experimentaron fallos críticos, los que cuales obligaron a la suspensión de actividades.

Argentina es uno de los países con mayor cantidad de casos. El 70,8% de las empresas experimentaron ataques de virus informáticos, siendo uno de los cinco principales lugares de Latinoamérica que más problemas de este tipo tuvo. Además, está entre las tres naciones que más sufrió la pérdida de información a raíz del uso de software ilegal en el mundo corporativo.

El estudio Riesgos y costos del uso del software ilegal en las PyMes de Argentina, desarrollado por Prince & Cooke para Business Software Alliance (BSA) yMicrosoft, concluyó que “las empresas subestiman el CTP (Costo total de propiedad) del software sin licencia porque, según su percepción, los programas piratas cuesta menos que los originales”. Y agregó que “productos irregulares puede ser una propuesta significativamente más costosa que tomar el camino legal”. Un 39,3% de los encuestados estimó entre medio y muy alto el costo de solución de los problemas informáticos derivados del uso de piratería.

Por otro lado, este tipo de organizaciones tiene una percepción exagerada de las aplicaciones originales: de los 12 países relevados, sólo el 15% de los que tuvieron algún tipo de inconveniente precisaron un valor aproximado de las pérdidas.

Fuente: Canal-ar

Curso: Auditoria en Sistemas de Información

Curso: Auditoria en Sistemas de Información
Fecha: 2 y 3 de Diciembre 2010
País: Uruguay

Objetivo:
Este curso provee los aspectos fundamentales de la auditoría de sistemas de la información, procedimientos y metodologías, el riesgo y los controles necesarios para ser llevados a la practica en un proyecto de acuerdo con las normas y directrices de Auditoría de Sistemas de Información generalmente aceptadas para asegurar que la tecnología de información de la organización y los sistemas empresariales son adecuadamente controlados, vigilados y evaluados.

El participante al finalizar al curso:
• Conocerá las mejores prácticas para auditar Sistemas de Seguridad de la Información.
• Gestionar el ciclo de vida de los sistemas y de las infraestructuras.
• Entender cómo podemos mejorar la entrega de servicios TI y el soporte a usuarios.
• Definir sistemas para la protección de la información empresarial.


A quien va dirigido?:

El curso está dirigido a:

• Directores de Tecnología de la Información
• Gerentes de Tecnología de la Información
• Auditores internos y externos
• Profesionales en roles de seguridad de la información
• Responsables de la administración de Riesgos de TI
• Responsables Infraestructura tecnológica
• Responsables de Bases de datos y comunicaciones,
• Directores de área y/o funcionarios con personal a cargo dentro de las organizaciones.
• Profesionales de diferentes aéreas o unidades que estén interesadas en profundizar sus conocimientos en Auditorías en sistemas de información.

Temario:

• Estándares de Auditoría de Sistemas.
• Prácticas y Técnicas de Auditoría de Sistemas.
• Técnicas para recopilar la información y para preservar la evidencia.
• Ciclo de vida de la evidencia.
• Objetivos de control y controles relacionados a los Sistemas de Información.
• Técnicas de planeamiento y gestión de Auditoría.
• Técnicas de informes y comunicación.
• Técnicas de Auditoría continúa.
• Estándares y lineamientos de Tecnología de Información generalmente aceptados.
• Prácticas, estrategias y procesos para la contratación.
• Gestión de recursos humanos de Tecnología de Información.
• Técnicas para el diseño, la implantación y el monitoreo de la seguridad.
• Arquitecturas de Seguridad del Acceso lógico.
• Métodos y técnicas de ataque.
• Procesos de monitoreo y de respuesta a incidentes de seguridad.
• Técnicas y herramientas de detección y control de virus.
• Pruebas de seguridad y herramientas de evaluación.
• Prácticas y dispositivos de protección ambiental.
• Sistemas y prácticas de seguridad física.
• Procesos y procedimientos para almacenar, recuperar, transportar, y disponer de activos de información confidencial.
• Controles y riesgos asociados al uso de los dispositivos portátiles e inalámbricos.
• Metodología de una Auditoría
• Elaboración de un informe final
• Casos prácticos

Mas Información: http://www.zonamerica.org/cursos/diciembre2010/prop5.htm


ISS Uruguay: info@iss-uruguay.com
http://www.iss-uruguay.com/


ISM Global: info@ism-global.com
http://www.ism-global.com/


Docente:
Ing. Julio Cesar Balderrama

• Ingeniero con más de 15 años de experiencia en el área de Tecnologías y Seguridad de la Información.
• Auditor Líder de la Gestión de la Continuidad del Negocio BS 25999 acreditado IRCA Certificado por BSI Management Systems America (certificado número 78818 2009)
• Auditor Líder ISO/IEC 27001:2005 acreditado IRCA y Certificado por TÜV Akademie Rheinland (Certificado número IT007-2008)
• Certificado como Ethical Hacking and Countermeasures (CEH)
• Instructor Internacional de "Seguridad de la Información y Auditoría en Sistemas" experto en las metodologías: COBIT, OSSTMM, ISSAF, OWASP.
• Instructor Internacional de "Sistema de Gestión de la Seguridad de la Información basado en las normas ISO/IEC 27001 - ISO/IEC 27002"
• Director de ISM Global

Más información en http://ar.linkedin.com/in/juliocesarbalderrama

Nuevo Curso Ethical Hacking 4 y 5 Noviembre

Encuesta revela que el robo de información es un problema mayor que el robo de bienes

Cualquier persona que ha recibido alguna "notificación" sobre extrañas actividades en su tarjeta de crédito, o una petición urgente por correo electrónico de la viuda de Mobutu Sese Seko, no se sorprenderá al saber que el robo de información es un gran problema. Pero una nueva encuesta de la Consultoría Kroll considera que también es una situación que enfrentan las empresas y que supera incluso al robo de bienes físicos.

En su Informe sobre Fraudes a Nivel Mundial, Kroll dijo que en una encuesta realizada a 800 ejecutivos reveló que el robo de información era la forma más denunciada de fraude, con un total de 27.3% de los encuestados que reportaron algún incidente de robo de información en los últimos 12 meses, frente a 18% que reportó el robo de información en los últimos 12 meses en 2009. En comparación, los informes sobre el robo de activos físicos fueron menores, con tan solo 27.2% en los últimos 12 meses.

Kroll aplico la encuesta a 800 ejecutivos de alto nivel en empresas con presencia mundial a través de la Economist Intelligence Unit en julio y agosto de 2010. La encuesta abarcó a ejecutivos en una amplia gama de mercados verticales, incluidos los servicios financieros, comercio minorista, servicios profesionales, tecnología, medios de comunicación y así sucesivamente. Alrededor del 47% eran ejecutivos de nivel C, y la mayoría de los encuestados trabajaban en empresas con ingresos anuales de más de 500 millones de dólares. Alrededor del 30% provino de América del Norte, una cuarta parte provino de Europa y la región de Asia y el Pacífico, y 11% de América Latina, África y Oriente Medio.

El robo de información fue dirigida especialmente a empresas verticales centradas en la información, incluidos los servicios financieros, tecnología, servicios profesionales, así como los medios de comunicación y telecomunicaciones, según el sondeo. Cuarenta y dos por ciento de las empresas de servicios financieros encuestados por Kroll informaron de robo de información, pérdida o ataques en los últimos 12 meses, comparado con sólo el 24% en 2009. El número fue de 40% para las empresas de servicios profesionales, 27% más que el año pasado.

Los activos de tecnología pobremente protegidos son señalados como un factor que contribuye al crecimiento del problema de robo de información.

"La tecnología pobremente defendida es cada vez más fácil de explotar por parte de los defraudadores con cada vez más herramientas avanzadas de origen propio, que van desde la sofisticada piratería informática hasta una simple unidad de memoria", concluyó el informe.

Los ataques de robo de identidad fueron una importante fuente de preocupación, con un 20 por ciento de los encuestados que la menciona, así como "un incremento en el uso de la tecnología" o el llamado 'consumidor de las TI como los dos elementos más comunes de fraude que llevaron al robo de información.

Los temores entre las empresas sobre el robo de información tiene sus bases en el incremento de las inversiones en tecnología de la información de este año, con el 48% de los encuestados que mencionó que aumentará su inversión en tecnologías de seguridad y de lucha contra el fraude.

Un punto más para preocuparse, especialmente para los países en desarrollo, sin embargo es lo que las empresas no van a hacer, por ejemplo: ampliar las operaciones en los países donde existen altos riesgos a la corrupción, el robo de información o el robo de propiedad intelectual. Según la encuesta de Kroll, el 33% de los encuestados citaron los temores de robo de información como un factor para disuadirlos de hacer negocios en China. La preocupación por el robo de propiedad intelectual impidió que el 23% de los encuestados realizara negocio en ese país.

El informe puede ser consultado en Kroll.com

Fuente: Threatpost

Bienvenidos

Cibernautas, Bienvenidos a nuestro Blog.
En este espacio, recibiran todo tipo de información referidas a la seguridad de la informacion , la proteccion de datos, riesgos asociados a la tecnologia y los datos, etc.

Sean libres de compartir sus experiencias!

Nos cruzamos el charco nuevamente y vamos a dar clases con nuestros hermanos Uruguayos de ISS Uruguay, aquí les dejo el detalle del curso

Fuente: ism-global.com / www.iss-uruguay.com