Hackean Facebook
Los muros de algunos usuarios se han llenado en las últimas 48 horas de enlaces y fotografías pornográficas de personajes famosos e imágenes violentas. Podríamos decir que los usuarios de Facebook están sufriendo un ataque de ‘spam’ masivo. (más…)
Mi escritorio en la nube
Almacenamiento en la nube. Google, Apple y ahora Microsoft. Ya hace tiempo que el concepto de almacenamiento en la nube nos es familiar, es algo con lo que llevamos conviviendo mucho tiempo con el correo electrónico pero en los últimos tiempos esta cobrando una importancia cada vez más grande y es que ahora no hablamos de almacenar en un servidor nuestro correo sino toda la información que podamos tener en nuestro equipo.
Llevamos un tiempo escuchando las bondades y peligros de estas tecnologías. Lo bueno que es poder acceder a nuestra información desde cualquier lugar del mundo y los peligros en materia de privacidad que esto conlleva. Pero el avance de esta idea parece imparable, y el público general parece aceptarla de buen grado. Ejemplo claro es Facebook, no hay nada que más preocupación nos de que la confidencialidad de nuestra vida privada, sin embargo los usuarios de la red social por excelencia no paran de crecer y a pesar de los problemas sonados de falta de seguridad que ha tenido la compañía su trafico no ha parado de crecer.
Pues bien, ahora es Microsoft la que recurre a la nube como propuesta de servicio a sus clientes. El nuevo sistema operativo de la compañía que tiene previsto ver la luz en 2012, Windows 8, ofrecerá la posibilidad de guardar nuestro escritorio en la nube, pudiendo acceder a el desde cualquier ordenador o tableta con conexión a Internet. En principio parece algo interesante y que ofrece beneficios a sus usuarios en tanto en cuanto podremos acceder a nuestra información cuando y donde queramos, pero la pregunta que nos suscita es el cómo y que garantías de confidencialidad nos ofrece, y es que aspectos como la foto de fondo de escritorio no puede parecer de importancia pero cuando hablamos del historial de navegación, carpetas personales o contraseñas grabadas en el sistema la cosa cambia.
Microsoft ha publicado un documento donde resalta las ventajas del servicio e incide en que se trata de algo opcional, explicando las medidas de seguridad con las que contará el servicio, cifrado de datos, contraseñas y transmisiones, envío de código de verificación al móvil del usuario la primera vez que utilice el servicio y el compromiso de no compartir los datos con terceras partes. Pero parece no haber sido suficiente ya que ya se han alzado las primeras voces alertando de posibles fallos de seguridad en el sistema, y es que para algunos expertos de seguridad califican las garantías que ofrece Microsoft de estándar, unas garantías mínimas que no ofrecen la seguridad necesaria para la importancia de los datos en juego.
Una cosa esta clara, estos servicios de acceso a nuestra información y de sincronización automática entre diferentes dispositivos ya no es algo que se nos ofrece como un añadido de valor a un producto, sino que es algo que el usuario requiere y reclama. Es una necesidad. No es por lo tanto cuestión de hacer o no hacer, sino de cómo hacerlo. Es en este punto en el que estamos y como para cualquier nueva tecnología en la que nos encontramos dudas razonables sobre la seguridad de nuestra información, el mejor consejo es la prudencia y aplicar las buenas practicas que ya todos conocemos, como por ejemplo evitar conectarse a través de wifi abiertas, tener contraseñas robustas, conocer las condiciones de seguridad y privacidad del servicio y sobre todo no hacer nada de lo que luego nos podamos arrepentir.
Áudea, Seguridad de la Información.
Álvaro Aritio
Departamento de Gestión
Nuevo Virus. Infección de la red de aviones no tripulados de EEUU
El mundo del malware no deja de sorprendernos. En este ocasión, nos hemos encontrado con un virus informático que controla los drones (aviones no tripulados).
Se trata de un virus que registra las pulsaciones de teclado, y que infectó la red de ordenadores que controla estos aviones, cuya principal misión es la de sobrevolar áreas de conflicto, con el objetivo de obtener información.
Las comunicados hechos hasta el momento, han revelado que no ha habido difusión de información confidencial del os datos recogidos por los aviones, los que han seguido realizando sus tareas con total normalidad.
Por otro lado, aún no se sabe con certeza, si el virus forma parte de un ataque organizado o la infección se produjo de forma accidental.
Aunque parece que el virus no ha generado grandes repercusiones, se ha introducido en las Bases de Datos, y está resultando complicado llevar a cabo su eliminación.
En las últimas noticias publicadas sobre el tema, se denomina al virus de los drones como “una molestia”, ya que no causó problema alguno en las misiones de control remoto de estos aparatos.
El mecanismo de infección fue a través de los discos utilizados para la actualización de mapas topográficos, y ya se está trabajando en las medidas de seguridad oportunas para evitar que vuelva a ocurrir un problema similar.
Áudea Seguridad de la Información S.L.
Departamento Seguridad TIC
Fuente: www.elmundo.es
Novedades en ITIL 2011
El pasado 29 de Julio veía la luz la –por muchos- esperada actualización de ITIL v3. La denominación de la “nueva” versión es “ITIL 2011”, es decir, no estamos ante ITIL v3.1 ni v4 ni nada parecido, aunque en nuestra opinión si se hubiera seguido versionando como hasta ahora, estaríamos ante una versión 3.1 ya que los cambios introducidos no nos parecen de suficiente entidad como para plantearse hablar de una versión 4. (más…)
Publicado standard para la Gestión de Incidentes de Seguridad de la Información – ISO/IEC 27035:2011
ISO / IEC 27035:2011 Tecnología de la información – Técnicas de seguridad – gestión de incidentes de seguridad de la información es el nuevo estándar publicado por ISO para ayudar a las organizaciones a mejorar la gestión de los incidentes relativos a la seguridad de la información.
Los controles de seguridad existentes pueden fallar, no se han aplicado bien o simplemente no son perfectos.
Una gestión de incidencias eficaz implica aplicar controles detectivos y correctivos dirigidos a minimizar los impactos adversos, reunir pruebas forenses (si aplica) y “aprender las lecciones” en términos de la mejora de la gestión de la seguridad o de un SGSI.
ISO/IEC 27035 establece un enfoque estructurado y planificado para:
- detectar, informar y evaluar los incidentes de seguridad de información;
- responder a incidentes y gestionar incidentes de seguridad de la información;
- detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
- mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.
Un aspecto importante es que la norma incluye la gestión de vulnerabilidad, así como la gestión de incidentes
Departamento Gestión de la Seguridad
Áudea, Seguridad de la Información, S.L.
