/*codigo slider*\

martes, 21 de enero de 2014

Ingenieros Alemanes crean malware que se comunica a través del sonido

malwareTP 680x400 Ingenieros Alemanes crean malware que se comunica a través del sonido
Ingenieros alemanes crearon un malware capaz de transmitirse a través del sonido, incluso si los equipos no están conectados a internet.
La manera en que estos científicos consiguen transmitir su virus cibernético es a través de micrófonos y altavoces. El virus fue diseñado por investigadores del Fraunhofer Institute (FKIE) como parte de una prueba de la idea, pero han demostrado que funciona.
El malware es capaz de extraer datos confidenciales desde un equipo infectado y mandarlas a otro a través de ondas de sonido inaudibles, utilizando los micrófonos y altavoces integrados en cualquier computadora estándar. Por el momento el rango de alcance de transmisión de datos por sonido de este virus es de 19 metros de distancia. No obstante que la distancia sea relativamente pequeña, el virus puede crear una red de computadoras infectadas entre los que puede transmitir datos por sonido, alcanzando así distancias mucho mayores.
virus+ Ingenieros Alemanes crean malware que se comunica a través del sonido
Lo conseguido por la gente del FKIE es el resultado de un experimento que no prosperó, pues originalmente formaba parte de un proyecto para transmitir datos acústicamente bajo el agua. Sin embargo, no consiguieron la velocidad suficiente para que fuera exitoso, ya que sólo pudieron conseguir transferencias de datos a una velocidad de 20 bits por segundo, una velocidad lenta pero suficiente para enviar contraseñas personales, por ello decidieron darle un giro a la investigación.

lunes, 20 de enero de 2014

ISO 22301:2012 el estándar de la continuidad del negocio

ISO 22301:2012 el estándar de la continuidad del negocio



Como parte de la gestión de la seguridad de la información es muy importante tener un plan de contingencia para garantizar la continuidad del negocio. El estándar certificable y auditable ISO 22301:2012, puede utilizarse como guía para establecer un modelo que garantice la seguridad de la información en caso de una emergencia.

En el 2007 se publicaba la norma BS 25999, el primer estándar certificable que definía los requisitos y buenas prácticas que debería seguir una empresa, independiente de su tamaño, para implementar un sistema para la gestión de la continuidad del negocio. Después de una serie de revisiones, fue publicado el estándar ISO 22301:2012 que basado en el ciclo de mejora continua, plantea los pasos para planear, implementar, operar, revisar y mejorar la gestión de la continuidad del negocio.

Como parte de los requerimientos que se deben tener en cuenta dentro de la implementación de este estándar es la definición de las necesidades de la organización, lo cual se logra estableciendo un alcance determinado. Debe quedar muy claro cuáles son los procesos que quedan cubiertos por los planes de continuidad.
La selección de los procesos incluidos en el alcance del sistema, debe estar basado en la definición del apetito al riesgo, el cual debe ser aprobado por la dirección de la organización, para garantizar que esté conforme con la definición estratégica de la organización.

Para una organización iniciar con la implementación de este modelo de continuidad, lo más recomendable es empezar por lo más general e ir particularizando de acuerdo a las características de cada proceso.

Siguiendo este orden de ideas debería iniciarse con el Análisis de Impacto en el Negocio, respetando el nivel de apetito al riesgo. De esta forma se pueden definir los requerimientos de recursos y la estructura de para responder a incidentes.

El resultado de estos análisis deben quedar plasmados en el Plan de Continuidad del Negocio (BCP, Business Continuty Planning), uno de los requisitos documentales fundamentales de la ISO 22301:2012, debe contemplar las acciones que la organización debe seguir para recuperar y restaurar las actividades críticas del negocio en un tiempo prudencial y de manera progresiva regresar a la normalidad; garantizando en todo momento la integridad, confidencialidad y disponibilidadde la información.

Lo más importante dentro de la gestión de la continuidad del negocio es que los planes de continuidad sean probados. De nada sirve tener todo documentado, definidos los responsables, contar con la tecnología de respaldo si no se hacen pruebas para determinar que las actividades definidas para responder ante una emergencia son las adecuadas para la organización. Si bien el estándar es único, la forma en que se desarrolla y se aplica es único y debe estar en concordancia con los procesos más críticos del negocio.

Como se puede observar los requerimientos que exigen esta normatividad, están en concordancia con la serie de normas ISO 27000 para la gestión de la seguridad de la información. La continuidad del negocio es fundamental para garantizar que las operaciones más críticas del negocio sigan funcionando de tal forma que los clientes no se vean afectados, pero siempre garantizando la seguridad de la información. Y recuerden hay que planear para lo peor, esperando siempre lo mejor.

Fuente: ESET Latianomérica

Leer más: Segu-Info: ISO 22301:2012 el estándar de la continuidad del negocio http://blog.segu-info.com.ar/2014/01/iso-223012012-el-estandar-de-la.html#ixzz2qwrkBAbA 
Under Creative Commons License: Attribution Non-Commercial Share Alike 
Mucho más de Seguridad Informática Segu-Info

viernes, 3 de enero de 2014

La seguridad de la nube es un problema terrenal

La seguridad de la nube es un problema terrenal

La capacidad de las organizaciones de controlar y personalizar las funciones de seguridad de los servicios basados en la nube, tales como correo electrónico, calendarios, gestión de contenidos, colaboración y comunicaciones unificadas, se está convirtiendo en un requisito imprescindible hoy en día.

Las áreas de TI se encuentran con el desafío de dar acceso a la información desde dispositivos no provistos por la compañía, algo que se conoce como BYOD (Bring Your Own Device), lo que representa un problema si no se cuenta con una solución que permita hacer una buena gestión de esos dispositivos, que al final del día pueden ser un peligro inminente para el manejo de información confidencial.

Esta más que claro que la movilidad hace a la productividad del empleado al fin del día y es por eso que las organizaciones requieren un servicio de nube que tenga características de seguridad robusta incorporadas y una amplia variedad de funciones personalizables que permitan satisfacer necesidades individuales.

La seguridad de Office 365 consta de tres partes fundamentales:

1. Es un servicio que tiene funciones de seguridad incorporadas al servicio por defecto. Estas funciones permiten identificar proactivamente y mitigar las amenazas de seguridad antes de que se convierten en riesgos para los clientes.

2. Ofrece controles de seguridad que permiten a los clientes personalizar su configuración de seguridad, esto aplica a clientes de todos los tamaños a través de prácticamente todas las industrias, incluyendo industrias altamente reguladas tales como salud, finanzas, educación y gobierno.

3. Cuenta con procesos de seguridad escalables que permiten la verificación independiente y cumplimiento de estándares de la industria.

Los datos en Office 365 se almacenan en datacenters ubicados estratégicamente alrededor del mundo. Estos centros de datos se construyen especialmente para para proteger datos y servicios ante daños por desastres naturales o acceso no autorizado. Están replicados en varias partes del mundo para garantizar la redundancia y la alta disponibilidad de la información alojada en ellos.

El acceso al centro de datos está restringido para que sólo el personal autorizado tenga acceso a servicios y aplicaciones del cliente. El acceso físico utiliza múltiples procesos de autenticación y seguridad, incluyendo insignias y tarjetas inteligentes, escáneres biométricos, agentes de seguridad local, video vigilancia continua y autenticación de dos factores.

Los centros de datos son monitoreados mediante sensores de movimiento, video vigilancia y alarmas de seguridad de incumplimiento.

Una de las razones por las cuales Office 365 es escalable y de bajo costo es que es un servicio de multi-tenant (es decir, datos de diversos clientes los mismos recursos de hardware). Es un servicio que está diseñado para manejar información de múltiples clientes en una forma altamente segura mediante aislamiento de datos.

El almacenamiento y procesamiento de los datos está regulado por las capacidades y la estructura de Active Directory, lo que permite proteger los datos de un cliente para que no puedan ser accedidos ni comprometidos por otra persona. Por un costo adicional, está disponible una versión de Office 365 que almacena datos en hardware dedicado.

Las redes dentro de los centros de datos de Office 365 están segmentadas para proporcionar la separación física de servidores críticos y dispositivos de almacenamiento de las interfaces públicas. La seguridad perimetral permite la capacidad de detectar intrusiones y signos de vulnerabilidad.

Las conexiones de cliente de Office 365 utilizan SSL para asegurar el tráfico de datos desde y hacia Outlook, Outlook Web App, Exchange ActiveSync, POP3 e IMAP. Estas conexiones se encriptan con seguridad del tipo TLS y SSL. Los clientes pueden configurar TLS entre Office 365 y servidores externos para el correo electrónico tanto entrante como saliente. Esta característica está habilitada de forma predeterminada. Todos los contenidos enviados mediante el correo electrónico están cifrado en disco utilizando encriptación AES de 256 bits. Office 365 también transporta y almacena mensajes del tipo S/MIME.

Mencionamos la cuestión de las normas y office 365 se ajusta perfectamente a aquellos clientes que están siendo auditados o tienen que cumplir con ciertas normativas internacionales. Alineado con esta cuestión Office 365 está basado en los estándares definidos por la ISO 27001 y opera bajo FISMA.

Por último y no menos importante ciertos planes de Office 365 incluyen DLP (Data Lost Prevention) lo que permite a los clientes a partir de reglas evitar la pérdida o fuga de información.

Las empresas de hoy necesitan servicios de productividad que ayudan a los usuarios a hacer más cosas desde prácticamente cualquier lugar, sin descuidar la seguridad frente a las amenazas en constante evolución.

Office 365 es compatible con ambas necesidades a la vez con una plataforma de productividad basada en la nube de alta seguridad. Desde un centro de confianza incluido en la consola web de administración del servicio se pueden gestionar la seguridad, la privacidad, el cumplimiento, la transparencia y la continuidad del servicio. Hoy en día, cada vez son menos las organizaciones que tienen la capacidad de mantener el nivel de seguridad requerido a un costo razonable.

Fuente: CIOAL

Leer más: Segu-Info: La seguridad de la nube es un problema terrenal http://blog.segu-info.com.ar/2014/01/la-seguridad-de-la-nube-es-un-problema.html#ixzz2pKxFwAxQ 
Under Creative Commons License: Attribution Non-Commercial Share Alike 
Mucho más de Seguridad Informática Segu-Info

Related Posts Plugin for WordPress, Blogger...