Anonymous ataca la web de Rubalcaba
Según ha recogido Europa Press, Anonymous ha hackeado la web de Rubalcaba, candidato socialista a la presidencia del Gobierno.
Mediante una foto de varias personas ataviadas con la máscara de la película ‘V de Vendetta’, que se ha convertido una enseña de este grupo de hackers, y en la que podía leerse “Felices filtraciones. Somos Anonymous, somos legión”, se han atribuido la autoría de la intervención al sitio de web del exvicepresidente del Gobierno.
“Rubalcaba, la sombra del 11-M te persigue muy cerca: ‘La forense del 11-M declara ante la juez que en los cadáveres no había metralla’. En breve se desvelara asignación de chalets de Viviendas con Protección Pública (VPP) concedidos a la mano derecha de Cayo Lara (Izquierda Unida)” es el mensaje que los hackers han colgado, en el que también advierte al Partido Popular de que son los siguientes.
Además, Anonymous ha ilustrado la web con una foto de Rubalcaba manipulada en la que aparece con un parche de pirata y colmillos de vampiro.
Áudea Seguridad de la Información
Departamento de Marketing y Comunicación
Fuente: Europa Press
CONTINGENCIA TIC vs CONTINUIDAD DE NEGOCIO
Si bien es cierto que se van viendo avances significativos en la comprensión del, a veces, confuso mundo de la Continuidad de Negocio, todavía en ocasiones nos encontramos con que no se distinguen del todo algunos conceptos básicos. Es el caso de los Planes de Contingencia en relación con los Planes de Continuidad de Negocio.
Aquí podemos entrar en discusiones del tipo: “un Plan de Contingencia no es exactamente lo mismo que un Plan de Continuidad de Negocio” o “en realidad es un Plan de Continuidad de Negocio pero sólo para Sistemas”.
La forma más acertada de abordar el asunto, y en nuestra opinión la única que garantiza una comprensión definitiva del mismo, es considerar al Plan de Continuidad de Negocio como un Plan de Planes. Efectivamente, un buen Plan de Continuidad contendrá a su vez un cierto número de planes diferentes, como puede ser el Plan Evacuación, el Plan de Emergencia, el Plan de Gestión de Incidentes y, cómo no, un buen Plan de Contingencia de Sistemas.
En aras de una mayor claridad, podemos decir que un Plan de Contingencia de las TIC (Tecnologías de la Información y las Comunicaciones) consiste en una estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos en el PCN de la compañía.
Por su parte, el Plan de Continuidad de Negocio puede ser definido como un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía.
A grandes rasgos, tres son los elementos característicos de un Plan de Continuidad de Negocio:
- · Garantiza la continuidad de los procesos ante desastres y eventualidades.
- · Es un elemento estratégico global, que se sustancia de n planes de contingencia de áreas de negocio y n planes de contingencia de las infraestructuras en las que se soporta el negocio, entre ellas los sistemas de información y las comunicaciones.
- · Tiene como objetivo dar respuesta a las situaciones que no han podido ser evitadas por las medidas de seguridad implantadas por la organización.
Por tanto, no debemos tener dudas al afirmar que el Plan de Contingencia es uno de los elementos más relevantes de un Plan de Continuidad de Negocio, y que si tenemos en cuenta la dependencia casi absoluta que las organizaciones y empresas de cualquier tipo tienen de los Sistemas de Información y de las Comunicaciones, nos daremos cuenta rápidamente de que a día de hoy es difícil dar Continuidad sin tener Contingencia de las TIC. Y decimos “difícil” y no “imposible”, pues en ocasiones podremos buscar alternativas “manuales” para aquellas actividades que en condiciones normales realizamos apoyándonos en las tecnologías de la información y las comunicaciones (TIC).
En el ámbito de las normativas internacionales existentes en la actualidad, vemos también esta diferenciación entre Continuidad y Contingencia. Así, ahora mismo contamos con un estándar británico como es BS 25999, cuya parte 2 nos permite certificar todo un Sistema de Gestión de Continuidad de Negocio, y estamos a punto de que la futura norma ISO basada en el estándar británico vea la luz. Será la esperada ISO 22301 cuyo título en español todavía es difícil de traducir, pero que en inglés es Societal security – Preparedness and continuity management systems – Requirements.
En el campo de la contingencia de las TIC, el pasado mes de Abril se publicó el estándar internacional ISO 27031 con el título Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity, es decir, una guía de buenas prácticas sobre la disponibilidad de las TIC para la Continuidad de Negocio.
Como vemos, Contingencia TIC y Continuidad de Negocio son elementos muy vinculados y que casi siempre irán de la mano, pero resulta conveniente no perder de vista el dicho popular de “juntos, pero no revueltos…”.
Áudea, Seguridad de la Información
Manuel Díaz Sampedro
Departamento de Gestión de la Seguridad
El caso Diginotar compromete a miles de Iraníes
El SSL (Secure Sockets Layer) es un protocolo que autentica que el usuario pueda confiar en que está visitando un sitio que pertenece a quien dice que pertenece. (más…)
Publicado standard para la Gestión de Incidentes de Seguridad de la Información – ISO/IEC 27035:2011
ISO / IEC 27035:2011 Tecnología de la información – Técnicas de seguridad – gestión de incidentes de seguridad de la información es el nuevo estándar publicado por ISO para ayudar a las organizaciones a mejorar la gestión de los incidentes relativos a la seguridad de la información.
Los controles de seguridad existentes pueden fallar, no se han aplicado bien o simplemente no son perfectos.
Una gestión de incidencias eficaz implica aplicar controles detectivos y correctivos dirigidos a minimizar los impactos adversos, reunir pruebas forenses (si aplica) y “aprender las lecciones” en términos de la mejora de la gestión de la seguridad o de un SGSI.
ISO/IEC 27035 establece un enfoque estructurado y planificado para:
- detectar, informar y evaluar los incidentes de seguridad de información;
- responder a incidentes y gestionar incidentes de seguridad de la información;
- detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información,
- mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de la gestión de incidentes de seguridad de la información y las vulnerabilidades.
Un aspecto importante es que la norma incluye la gestión de vulnerabilidad, así como la gestión de incidentes
Departamento Gestión de la Seguridad
Áudea, Seguridad de la Información, S.L.
Denuncia al Ayuntamiento de la Algaba por divulgación de datos personales
El Grupo de Izquierda Unida en el Ayuntamiento de La Algaba (Sevilla), por medio de su concejal Manuel Gutiérrez, “ha denunciado ante el Juzgado de Instrucción número 10 de Sevilla la presunta vulneración de la Ley de Protección de Datos por parte del gobierno municipal algabeño, liderado por el socialista Diego Agüera”, tras que varios de los afectados se hubieran puesto en contacto con la organización para “denunciar tales hechos y entregar los documentos originales”.
El origen de la denuncia fue la celebración del Campus educativo-deportivo puesto en marcha por el Consistorio, en el cual el Ayuntamiento empleó documentos personales y oficiales para que, en su parte trasera, los niños pudieran hacer dibujos.
En la denuncia se relata que se “facilitó papel reciclado para hacer dichos dibujos, apareciendo en el reverso solicitudes, reclamaciones y denuncias presentadas por los algabeños en el Registro General, con sus datos personales”.
La noticia pone de manifiesto el desconocimiento que aún existe en esta materia, el cual también alcanza a los poderes públicos, los cuales debieran velar precisamente por la protección de los derechos de sus administrados.
A buen seguro no es el primer caso (ni será el último) en que este tipo de actuaciones se producen, pero gracias a ese desconocimiento generalizado no se producen más denuncias en este sentido, a pesar del carácter tan flagrante de la infracción.
Áudea Seguridad de la Información
Departamento Legal
Fuente: giraldainformación
