Hace un tiempo sustraer un activo de una organización implicaba llevárselo materialmente. En la actualidad, los datos y la información que manejan las empresas son activos muy valiosos y no es necesario esconderlos en la chaqueta cuando el jefe no mira para robarlos. La información se puede enviar por correo electrónico, mensajería instantánea, subir a una página de Internet, imprimir o copiar en un dispositivo de almacenamiento USB o de multitud de otras maneras inventadas o por inventar.

El proceso disciplinario formal en una organización debe definir lo que ésta considera una infracción de seguridad. Además, se debe indicar las directrices para clasificar dicha infracción según su gravedad y las medidas disciplinarias que la empresa puede aplicar en caso de ocurrencia.

La OWASP Testing Guide versión 3 describe 66 controles de seguridad repartidos en 10 categorías. La versión 4 estaba planificada para mediados de enero pero ahora se plantea como fecha septiembre de 2011.

Durante la auditoría de la seguridad de una aplicación web pueden emplearse distintas técnicas. Cada una de las técnicas expuestas se utiliza en un contexto determinado y con un objetivo. Es importante comprender las razones de su uso y utilizarlas eficientemente.

La guía de testeo de OWASP define 12 principios básicos en los que basa su filosofía de trabajo.

Determinadas aplicaciones web se están convirtiendo en un activo crítico en numerosas empresas por la información que procesan y almacenan. Ya no es raro encontrar soluciones ERP, CRM, bussiness inteligence, etc. vía web utilizadas por empresas de todos los tamaños. La seguridad de las mismas es un aspecto fundamental ya que la confianza de los clientes está en juego.

La definición y documentación (clausula 4.3.1 b)) del alcance del SGSI según la norma ISO 27001, es uno de los primeros pasos en un proceso de implantación. Cuando una empresa certifica su SGSI según esta norma, no se está certificando toda la empresa, sino un alcance determinado en la misma, que puede abarcar a toda la organización o no.

Las empresas que este año deseen mejorar la gestión y seguridad de la información que manejan y la organización de sus sistemas informáticos, mediante la implantación de un sistema de gestión de seguridad de la información (SGSI) y la obtención de un sello de recocimiento internacional de conformidad con la norma ISO 27001, pueden optar a una subvención del 50% de los gastos de consultoría y certificación.

¿Cómo tratará de evidenciar el auditor de certificación que hemos mantenido, trabajado y mejorado el sistema? Los registros serán documentos fundamentales en esta auditoría. Durante el tiempo que hemos mantenido la certificación debemos preocuparnos de invertir el tiempo necesario para generar las evidencias, generalmente en forma de registros, de que hemos estado realizando las actividades que afirmamos que realizamos y que pide la norma.

Para definir un criterio de aceptación del riesgo, la debe pensar qué riesgos de la información debe evitar para que su negocio perdure. No tiene valor un criterio de aceptación del riesgo que establezca simple y llanamente que “los riesgos por encima de 50 no serán aceptables”.

La ISO 27001 establece unos requisitos que debe cumplir el análisis de riesgos, sin embargo, deja total libertad para seleccionar la metodología de análisis o diseñar la nuestra propia. El Esquema Nacional de Seguridad (ENS), en cambio, establece en su artículo 13, “Análisis y gestión de los riesgos”, que deberá emplearse una metodología reconocida internacionalmente (sin perjuicio de la establecido en el ANEXO II).

Si alguno de sus clientes le proporciona datos de carácter personal con el objetivo de realizar algún tratamiento de los mismos, usted se está convirtiendo en encargado de tratamiento de dichos datos. Usted no es el responsable de los datos, sin embargo, esta relación con su cliente implica que debe usted conocer y cumplir los requerimientos de la LOPD.

Un buen sistema de notificación de eventos de seguridad y debilidades, y gestión de incidencias permite a una empresa gestionar la seguridad de manera ordenada y eficiente, reducir el tiempo necesario de resolución de incidencias y mejorar de manera continua los sistemas de información.

Mientras que el análisis de vulnerabilidades tiene como objetivo identificar las vulnerabilidades de los sistemas, el test de intrusión va un paso más allá y tiene como objetivo demostrar como éstas vulnerabilidades pueden utilizarse por potenciales atacantes para hacer daño a la empresa.

Snare Agent para Windows (GPL) es un software que nos permite gestionar los logs de Windows (el registro de eventos) filtrándo su contenido y enviándolo a una máquina remota, donde centralizaremos los resultados de varias máquinas. Este software también nos permite monitorizar ficheros concretos de manera que si alguien los modifica o simplemente los abre Snare lo registrará.

La empresa ACROS Security publicó el 18 de agosto un advisory que da lugar a un (aparentemente) nuevo tipo de vulnerabilidad que puede ser explotada remotamente y que existe debido a errores en las aplicaciones y a la manera que tiene Windows de cargar las DLL.

El objetivo del Esquema Nacional de Seguridad (ENS) es establecer la política de seguridad que debe aplicarse en el ámbito de la administración electrónica. El ENS está constituido por principios básicos y requisitos mínimos que, a juicio del legislador, permiten una protección adecuada de la información.