Security Art Work CRYPTEX - Seguridad de la Información | Apuntes de seguridad de la información Este post quiero dedicarlo a mi fuente de inspiración, la mesa redonda "Encuentro de blogueros de seguridad 2012" del evento ENISE de Inteco donde no he podido estar y donde estos cinco compañeros blogeros y "monstruos de la seguridad" a los que admiro han sabido transmitir con precisión cual es la sensación que tenemos los profesionales de la seguridad y sobre todo, nuestras inquietudes respecto a lo que habría que hacer y no estamos afrontando. Los figuras han sido Alonso Hurtado @ahurtadobueno, Samuel Linares @Infosecmanblog, Román Ramírez @patowc, Antonio Ramos García @antonio_ramosga y Pablo Teijeira @JpabloTG han expuesto desde diferentes puntos de vista (economista, abogado, informático, consultor, fabricante medidas de seguridad) qué cosas deberían empezar a preocuparnos. [Actualización] Inteco hoy ya permite el acceso a las diferentes charlas y mesas redondas en la dirección . "Diario de un consultor de seguridad de la información.
Leading Blog on ISO 27001 & ISO 22301 Noticias de Seguridad Informática - Segu-Info La gente está en vilo debido a Heartbleed, un error de programación que inadvertidamente arrasó con la seguridad de muchos servicios de Internet. La revelación de esta semana sorprendió al mundo. Y los nuevos informes que llegan sobre Heartbleed solo parecen inspirar más preocupaciones, no menos. ¿Quiere unirse conmigo en una pequeña sesión de descrédito? Mito 1: Heartbleed es un virus Esta falla de OpenSSLno es un virus. Cuando funciona como debería, OpenSSL ayuda a asegurar que las comunicaciones por red estén protegidas de ser espiadas. Mito 2: La falla solo afecta a sitios web Las potenciales brechas de seguridad para servidores y ruteadores son cuestiones masivas, ya que permiten la fuga de grandes volúmenes de información. "Por lo general en el cliente, la memoria se asigna sólo al proceso que se está ejecutando. La idea de acceso a cuentas no autorizadas y ajustes de sistema puede ser especialmente desconcertante para los usuarios domésticos inteligentes. Totalmente falso.
Xavier Ribas Home Red Seguridad. Revista especializada en Seguridad TIC El primer concepto que debemos tener claro para aclarar nuestras dudas es el de SGSI. Un Sistema de Gestión de la Seguridad de la Información (SGSI) consiste en un conjunto de políticas y procedimientos que normalizan la gestión de la seguridad de la información, bien de toda una organización o bien de uno o varios de sus procesos de negocio. Es importante tener siempre en mente que por Seguridad de la Información se entiende el triple vector de confidencialidad, integridad y disponibilidad de la misma. Un SGSI debe abordar de forma integral estas tres vertientes. La única norma a certificar es la ISO 27001, no así la ISO 27002, que sólo establece recomendaciones Existen diversos estándares, marcos de trabajo o metodologías para implantar y mantener un SGSI, pero sin duda, la más socorrida es la serie ISO 27000. Según mi experiencia, aquí es donde empieza el lío para aquellos que se enfrentan por primera vez a este estándar. Identificar riesgos Dominios de la ISO 27002
Descubre la iso 31000 para la gestion de riesgos Daboweb | Seguridad y ayuda informática | Daboweb | Seguridad y ayuda informática | » ISO/IEC 27002 Código de prácticas para la gestión de seguridad de la información El objetivo de la norma ISO 27002 antes ISO 17799:2005), es definir un marco para la gestión de la información de seguridad. Esta norma se centra principalmente en los pasos necesarios para establecer el funcionamiento del SGSI y aplicarlo en la organización. Las medidas de seguridad necesarias se describen brevemente en aproximadamente 100 páginas de la norma. Las recomendaciones están destinados principalmente a nivel de gestión por lo tanto no contienen mucha información técnica. La implementación de las recomendaciones de seguridad en la norma ISO 27002 es una de las muchas maneras para cumplir los requisitos de la norma ISO 27001. Contenido Control Es una medida de seguridad que utilizan las empresas para gestionar el riesgo, incluye políticas de seguridad, procedimientos, directrices, prácticas y estructuras organizativas, las que pueden ser administrativas, técnicas, de gestión, o de carácter legal. Cada control consiste en:
ISO 27001 e ISO 27002 1.4. Revisión de los derechos de acceso de los usuarios Se debe establecer un proceso formal de revisión mensual de los derechos de acceso de los usuarios, para mantener un control efectivo del acceso a datos y servicios de información de la organización. 2. Responsabilidades de los usuarios Los empleados de la Organización deben estar conscientes de las responsabilidades que tiene a cada uno con relación al mantenimiento de la eficacia de las medidas de control de acceso a los sistemas y servicios de información de la Organización. Cada usuario debe tener en cuenta las buenas prácticas de seguridad de selección y uso de sus contraseñas. Los usuarios y proveedores de servicio de la Organización deben garantizar que los equipos informáticos desatendidos estén debidamente protegidos. Se debe adoptar una política de escritorio despejado para reportes y medios de almacenamiento removibles y política de pantalla despejada para los servicios de procesamiento de información. 3. 4. 5. 6.