SEINHE

Introducción a la tecnología "Data Loss Prevention" (DLP)

2011-03-10T20:24:58+01:00

Hace un tiempo sustraer un activo de una organización implicaba llevárselo materialmente. En la actualidad, los datos y la información que manejan las empresas son activos muy valiosos y no es necesario esconderlos en la chaqueta cuando el jefe no mira para robarlos. La información se puede enviar por correo electrónico, mensajería instantánea, subir a una página de Internet, imprimir o copiar en un dispositivo de almacenamiento USB o de multitud de otras maneras inventadas o por inventar.

El proceso disciplinario formal para seguridad de la información

2011-03-04T11:17:58+01:00

El proceso disciplinario formal en una organización debe definir lo que ésta considera una infracción de seguridad. Además, se debe indicar las directrices para clasificar dicha infracción según su gravedad y las medidas disciplinarias que la empresa puede aplicar en caso de ocurrencia.

Controles de la OWASP Testing Guide

2011-02-07T10:23:53+01:00

La OWASP Testing Guide versión 3 describe 66 controles de seguridad repartidos en 10 categorías. La versión 4 estaba planificada para mediados de enero pero ahora se plantea como fecha septiembre de 2011.

Técnicas de testeo de la OWASP Testing Guide

2011-02-07T10:21:46+01:00

Durante la auditoría de la seguridad de una aplicación web pueden emplearse distintas técnicas. Cada una de las técnicas expuestas se utiliza en un contexto determinado y con un objetivo. Es importante comprender las razones de su uso y utilizarlas eficientemente.

Los 12 principios del testeo de la OWASP Testing Guide

2011-02-07T10:16:40+01:00

La guía de testeo de OWASP define 12 principios básicos en los que basa su filosofía de trabajo.

Introducción a OWASP Testing Guide

2011-02-07T10:04:43+01:00

Determinadas aplicaciones web se están convirtiendo en un activo crítico en numerosas empresas por la información que procesan y almacenan. Ya no es raro encontrar soluciones ERP, CRM, bussiness inteligence, etc. vía web utilizadas por empresas de todos los tamaños. La seguridad de las mismas es un aspecto fundamental ya que la confianza de los clientes está en juego.

Definición del alcance del SGSI en la norma ISO 27001

2011-01-27T09:58:51+01:00

La definición y documentación (clausula 4.3.1 b)) del alcance del SGSI según la norma ISO 27001, es uno de los primeros pasos en un proceso de implantación. Cuando una empresa certifica su SGSI según esta norma, no se está certificando toda la empresa, sino un alcance determinado en la misma, que puede abarcar a toda la organización o no.

Subvención para la implantación y certificación de la norma ISO 27001 en pymes de la Comunidad Valenciana (Innoempresa 2011)

2011-01-09T16:09:27+01:00

Las empresas que este año deseen mejorar la gestión y seguridad de la información que manejan y la organización de sus sistemas informáticos, mediante la implantación de un sistema de gestión de seguridad de la información (SGSI) y la obtención de un sello de recocimiento internacional de conformidad con la norma ISO 27001, pueden optar a una subvención del 50% de los gastos de consultoría y certificación.

Auditoría de seguimiento de la ISO 27001

2010-12-30T10:53:01+01:00

¿Cómo tratará de evidenciar el auditor de certificación que hemos mantenido, trabajado y mejorado el sistema? Los registros serán documentos fundamentales en esta auditoría. Durante el tiempo que hemos mantenido la certificación debemos preocuparnos de invertir el tiempo necesario para generar las evidencias, generalmente en forma de registros, de que hemos estado realizando las actividades que afirmamos que realizamos y que pide la norma.

Criterios de aceptación del riesgo en la ISO 27001

2010-12-24T12:59:13+01:00

Para definir un criterio de aceptación del riesgo, la debe pensar qué riesgos de la información debe evitar para que su negocio perdure. No tiene valor un criterio de aceptación del riesgo que establezca simple y llanamente que "los riesgos por encima de 50 no serán aceptables".

El análisis de riesgos en la ISO 27001 y en el Esquema Nacional de Seguridad

2010-12-08T14:24:22+01:00

La ISO 27001 establece unos requisitos que debe cumplir el análisis de riesgos, sin embargo, deja total libertad para seleccionar la metodología de análisis o diseñar la nuestra propia. El Esquema Nacional de Seguridad (ENS), en cambio, establece en su artículo 13, "Análisis y gestión de los riesgos", que deberá emplearse una metodología reconocida internacionalmente (sin perjuicio de la establecido en el ANEXO II).

Encargados de tratamiento en la LOPD

2010-12-05T17:16:58+01:00

Si alguno de sus clientes le proporciona datos de carácter personal con el objetivo de realizar algún tratamiento de los mismos, usted se está convirtiendo en encargado de tratamiento de dichos datos. Usted no es el responsable de los datos, sin embargo, esta relación con su cliente implica que debe usted conocer y cumplir los requerimientos de la LOPD.

Gestión de incidencias de seguridad según la ISO 27001

2010-12-03T20:37:49+01:00

Un buen sistema de notificación de eventos de seguridad y debilidades, y gestión de incidencias permite a una empresa gestionar la seguridad de manera ordenada y eficiente, reducir el tiempo necesario de resolución de incidencias y mejorar de manera continua los sistemas de información.

Diferencias entre un análisis de vulnerabilidades y un test de intrusión

2010-12-02T13:34:26+01:00

Mientras que el análisis de vulnerabilidades tiene como objetivo identificar las vulnerabilidades de los sistemas, el test de intrusión va un paso más allá y tiene como objetivo demostrar como éstas vulnerabilidades pueden utilizarse por potenciales atacantes para hacer daño a la empresa.

Instalación de Snare Agent for Windows (Parte I)

2010-09-28T07:08:01+02:00

Snare Agent para Windows (GPL) es un software que nos permite gestionar los logs de Windows (el registro de eventos) filtrándo su contenido y enviándolo a una máquina remota, donde centralizaremos los resultados de varias máquinas. Este software también nos permite monitorizar ficheros concretos de manera que si alguien los modifica o simplemente los abre Snare lo registrará.

Secuestro de DLLs (DLL Hijacking)

2010-08-24T10:49:25+02:00

La empresa ACROS Security publicó el 18 de agosto un advisory que da lugar a un (aparentemente) nuevo tipo de vulnerabilidad que puede ser explotada remotamente y que existe debido a errores en las aplicaciones y a la manera que tiene Windows de cargar las DLL.

Introducción al Esquema Nacional de Seguridad

2010-08-23T16:11:21+02:00

El objetivo del Esquema Nacional de Seguridad (ENS) es establecer la política de seguridad que debe aplicarse en el ámbito de la administración electrónica. El ENS está constituido por principios básicos y requisitos mínimos que, a juicio del legislador, permiten una protección adecuada de la información.