Disponible COBIT 5 Para Riesgos

Desarrollado por la ISACA, COBIT 5 For Risk está disponible desde ayer para guiar el gobierno y la gestión de los riesgos en entornos de TI empresariales de frente a las amenazas cibernéticas. COBIT 5 For Risk sustituye al anterior marco de referencia Riesgos de TI e incluye una guía sobre cómo COBIT 5 es compatible con el gobierno y la gestión de riesgos, y cómo establecer y mantener una función de riesgos eficaz y eficiente, basada en los siete facilitadores de COBIT: Principios, políticas y marcos de referencia. Procesos. Estructuras organizacionales. Cultura, ética y conducta. Información. Servicios, infraestructuras y Leer más…

Disponible herramienta para evaluar riesgos SSH

SSH Communications Security, inventor de los protocolos Secure Shell (SSH) y Secure File Transfer Protocol (SFTP), ha puesto disponible la herramienta SSH Risk Assessor (SRA) a quien lo desee. La herramienta permite el análisis y la generación de reportes sobre el cumplimiento y riesgo en entornos de Secure Shell. Puede ser utilizada por auditores y personal de seguridad para identificar y resolver temas de cumplimiento y de riesgos de seguridad de TI. Entre otras cosas, con SRA puede hacer: Reportar Riesgos de llaves y usuarios relacionados, sistemas operativos, versiones SSH, relaciones de confianza conocidas y desconocidas, autorizaciones root, llaves privadas sin protección, Leer más…

Nuevo toolkit para gestión de riesgos y ciberseguridad

Cyber Security Governance and Risk Management Toolkit es el nuevo conjunto de herramientas preparado por IT Governance para ayudar a la ciberseguridad de las organizaciones. Incluye: PAS 555:2013, el nuevo estándar para la gestión y gobierno de los riesgos de ciberseguridad. ISO/IEC 27032, el estándar internacional para la gestión de los riesgos en ciberseguridad. Matriz de Controles de la Nube, desarrollada por la Cloud Security Alliance para los proveedores de servicios de la nube. Diez Pasos para la Ciberseguridad, la metodología desarrollada por el Departamento de Negocios del Reino Unido para ayudar a las organizaciones de todos los tamaños a asegurar sus Leer más…

Los 10 Riesgos de Seguridad Más Críticos en Aplicaciones Web

La comunidad del Proyecto Libre sobre Seguridad en Aplicaciones Web (OWASP) ha publicado la edición 2013 de su reporte Los 10 Riesgos de Seguridad Más Críticos en Aplicaciones Web. Riesgos de seguridad hay muchos para las aplicaciones web, la comunidad OWASP se ha centrado en aquellos que prevalecen más: Inyección. Perdida de Autenticación y Gestión de Sesiones. Cross-Site Scripting (XSS). Referencias Inseguras a Objetos Directos. Configuración Errónea de Seguridad. Exposición de Datos Sensitivos. Falta de Función de Nivel de Control de Acceso. Falsificación de Requerimientos Cross-Site (CSRF). Utilizar Componentes Vulnerables Conocidos. Redirecciones y reenvíos No Validados. Iniciada en 2003, la Leer más…

Usa Internet con seguridad

Todos los días usamos Internet. En la casa, en el trabajo, en la calle. Y con él, todos los días estamos en riesgo por las amenazas de Internet. Nuestros datos personales y nuestra privacidad son amenazados por los ataques que los ciberdelincuentes hacen también todos los días por Internet. Piensa en los riesgos de lo que vas a hacer antes de entrar a Internet. Identifica cómo pueden afectar a tu información o privacidad en linea, inclusive a familiares, amigos o colegas. Determina qué puedes hacer para evitar o mitigar el riesgo. Aplica el sentido común. Si piensas que estás exagerando, el Leer más…

Libro: Penetration Testing: Protecting Networks and Systems.

IT Governance Publishing ha publicado el libro Penetration Testing: Protecting Networks and Systems, escrito por Kevin Henry, experto en auditoría y seguridad informática. Los ataques a las redes y a las aplicaciones son más frecuentes, el riesgo para los negocios se da cada día que pasa. La necesidad de probar la penetración a las redes y aplicaciones se hace patente cada día, de frente a los riesgos que los ciberataques representan actualmente para las organizaciones. La prueba de penetración es una simulación de un ataque cibernético a la organización para ver qué tan efectivas son las medidas de seguridad que tiene Leer más…

Cómo las aplicaciones móviles invaden tu privacidad.

Veracode ha publicado su infografía sobre cómo las aplicaciones móviles están invadiendo tu privacidad. Con billones de descargas, las aplicaciones móviles están más cerca de nosotros, en los smartphones principalmente. Sin embargo, los problemas de privacidad de dichas aplicaciones ponen en riesgo a sus usuarios, quienes deben estar concientes de los riesgos a los que se exponen cuando descargan y utilizan aplicaciones móviles. La infografía de Veracode utiliza casos reales para delinear la amenaza a la privacidad del usuario que plantean las aplicaciones móviles. Infographic by Veracode Application Security

Cambios en el CISSP CBK a partir del 1 de Enero de 2012.

El (ISC)2 ha publicado cambios en los dominios (CBK) para la certificación CISSP, vigentes desde el 1-Ene-2012 y que pueden consultarse en el Boletín de Información para el Candidato. En secureninja.com, Clement Depuis ha comentado acerca de estos cambios, y que me ha parecido interesante comentar, en castellano, aquí. Según (ISC)2®, un CISSP (Certified Information System Security Professional, que podemos traducir como Profesional Certificado en Seguridad de Sistemas de Información) es un profesional de seguridad de la información que define la arquitectura, el diseño, la gestión y/o los controles que refuerzan la seguridad de los ambientes de negocios. La gran amplitud de conocimientos y Leer más…