Estrenamos nuevas oficinas en Madrid

Desde el pasado día 29 de Agosto, Internet Security Auditors estrena nuevas oficinas en Madrid. Nuestros nuevos datos de contacto son:

Calle Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96

Con estas nuevas oficinas, Internet Security Auditors se adapta al crecimiento que está experimentando y espera poder seguir satisfaciendo las necesidades de sus clientes como ha venido haciendo en los últimos tiempos.

Participarémos en el congreso No cON Name 2011

Internet Security Auditors estará presente en el congreso No cON Name 2011 que se celebrará los próximos 16 y 17 de Septiembre en el CosmoCaixa de Barcelona.

No cON Name (NcN), asociación sin ánimo de lucro, organiza cada año este congreso que se ha convertido en cita obligada para muchos investigadores y responsables en el ámbito de la seguridad informática. La asociación persigue la construcción de un foro abierto y libre donde converjan los conocimientos técnicos, el debate y la libre opinión.

Dentro de las ponencias seleccionadas por la organización, un miembro del equipo comercial de Internet Security Auditors presentará una conferencia que lleva por título: "Retorno de Inversión en la adecuación a la normativa PCI DSS".

El resto de ponencias así como una descripción de todos los detalles del congreso está disponible en el website de la NcN.

Descubrimos nueva vulnerabilidad en Facebook

Dando continuidad al estudio de la seguridad de las redes sociales que venimos realizando en los últimos meses, Vicente Aguilera, Director de Auditoría de Internet Security Auditors, ha descubierto una grave vulnerabilidad de seguridad que afecta a la red social Facebook.

La vulnerabilidad es un caso de phishing que permite a un usuario de Facebook compartir un enlace malicioso. Este enlace parece ser una URL perteneciente al dominio facebook.com pero sin embargo redirige a la víctima a un website externo a la red social sin previo aviso. Este website externo puede introducir virus en el PC de la víctima o robar datos privados (como contraseñas) aprovechándose del abuso de la confianza conseguida al utilizar el dominio facebook.com.

La descripción detallada de la vulnerabilidad se encuentra en nuestra sección de advisories.
El periódico El País se hizo eco del descubrimiento de la vulnerabilidad y publicó un artículo al respecto. El artículo puede ser descargado, en formato pdf, en nuestra sección de Prensa.

Presentes en el evento: "Seguridad de Aplicaciones Web, donde se cruzan los caminos"

Los pasados días 21 y 22 de Junio, en Barcelona y Madrid respectivamente, Internet Security Auditors participó como experto en el evento Respuestas SIC. En esta ocasión el título del evento "Seguridad en Aplicaciones Web: donde se cruzan los caminos" traía a colación unos de los puntos más críticos en la seguridad TIC hoy en día: la seguridad de los aplicativos.

Nuestra participación incidió en el desarrollo de aplicaciones siguiendo el concepto de hack-resilient. Se destacó la importancia de conocer las amenazas existentes así como de adoptar una iniciativa de seguridad durante todo el ciclo de vida del software. Finalmente se introdujo el marco OWASP ASVS (Application Security Verification Standard) así como las áreas claves en la seguridad de las aplicaciones.

Publicamos nuestro calendario de formación para segundo semestre

Como venimos haciendo los últimos años el pasado mes de Junio publicamos el calendario de formación para el segundo semestre del año. Una vez más los acuerdos alcanzados con las más importantes instituciones internacionales nos permiten ofrecer una gran variedad de cursos relativos a Seguridad TI. Programas de formación de ISC2, Ec-Council y BSI que permiten a nuestros alumnos alcanzar las certificaciones más en auge en el siempre cambiante sector de la seguridad de la información.

Este año además hemos previsto realizar, tanto en Madrid como en Barcelona, varias sesiones formativas relativas las normas de seguridad en tarjetas de pago: PCI DSS y PA DSS. El gran acogimiento con el que los alumnos han recibido en el pasado estos cursos nos han impulsado a aumentar la oferta de sesiones disponibles.

Toda la información sobre los cursos (temario, horarios, fechas, costes, etc...) está accesible en nuestra sección de formación.

Publicado el artículo "Retorno de Inversión de PCI DSS"

En el último número de la revista SIC (nº 95), correspondiente al mes de Junio de 2011, se publicó un artículo elaborado por miembros del equipo comercial de Internet Security Auditors. El artículo lleva por título "Retorno de Inversión de PCI DSS".

A lo largo del artículo se describe como calcular el Retorno de Inversión de una implantación de la normativa PCI DSS utilizando para ello el concepto de ROSI (return on security investment). El cálculo de este indicador puede servir de argumentario a la hora de defender la implantación de esta normativa de seguridad en tarjetas de pago. Se realiza un análisis económico de cómo la disminución del riesgo que aporta la adecuación a la normativa PCI DSS supera ampliamente, en términos económicos, a los costes asociados a un potencial incidente relacionado con tarjetas de pago.

El artículo está disponible en nuestra de Prensa.

Primera aplicación certificada como PA DSS

A mediados de Mayo, Indra Sistemas, de la mano de Internet Security Auditors, superó el proceso de certificación de una plataforma de expedición de billetes de transporte público bajo el nuevo estándar PCI PA-DSS v2.0, convirtiéndose en la primera aplicación de un fabricante español en superar los estrictos requerimientos de calidad que marca el PCI SSC.

Internet Security Auditors se convierte de este modo en la primera empresa española en certificar una aplicación como PA DSS compliance.

PA DSS (Payment Application Data Security Standard) es un estándar de seguridad que define el conjunto de requerimientos que deben cumplir las aplicaciones o productos de pago electrónico vendidas a terceros. Su finalidad es la reducción del fraude relacionado con las tarjetas de pago originado por posibles deficiencias en las aplicaciones que usen comercios, proveedores de servicio y entidades adquirientes incrementando la seguridad de estos datos.

Internet Security Auditors fue la primera empresa española en obtener la certificación PA QSA lo que le permite realizar consultorías de implantación de PA DSS así como Auditorías de Certificación.

Participamos en el VII OWASP Spain Chapter Meeting

El pasado 15 de Abril se celebró en Barcelona el VII OWASP Spain Chapter Meeting. Internet Security Auditors estuvo presente en dicho evento por partida doble. Vicente Aguilera, director de Auditoría de Internet Security Auditors, realizó la apertura y el cierre de la sesión en su papel de Presidente del capítulo español de la OWASP.

Entre los ponentes en el evento se encontraba Marc Segarra, miembro del equipo de consultoría de Internet Security Auditors, que realizó una ponencia para demostrar como la adopción de metodologías como la OWASP facilitan gran parte del cumplimiento requerido por la norma PA DSS. Adicionalmente, Marc explicó el proceso de certificación en PA DSS. Esta certificación garantiza los mecanismos de seguridad en las aplicaciones que gestionan los datos de titulares de tarjetas de pago, en los que el riesgo de fraude es muy alto y para los que existen numerosas redes ilegales que aprovechan estos datos para un uso y beneficio ilegítimo.

La presentación está disponible en nuestra zona de Presentaciones.

Internet Security Auditors galardonado en los VIII premios SIC

En el contexto de la ya tradicional cena del sector de la seguridad TI que la revista SIC viene organizando anualmente, el pasado 13 de Abril la publicación hizo entrega de los octavos premios de la Seguridad de la Información (premios SIC).

Internet Security Auditors resultó galardonado con el premio SIC "a la excelencia en la prestación de servicios de auditoría, consultoría, seguridad gestionada y formación, con especial mención a la especialización en los ámbitos de PCI/PA DSS."

Daniel Fernández, Director Comercial de Internet Security Auditors recogió el premio en nombre de la empresa. En su discurso agradeció el premio a la revista SIC y felicitó a sus editores en su XX aniversario. Daniel también dió las gracias a los clientes que han confiado en Internet Security Auditors a la hora de colaborar en los proyectos de seguridad más exigentes. Por último, Daniel destacó la importancia del equipo humano que forma Internet Security Auditors y extendió el premio a todo el personal de la empresa.

Artículo sobre Protección de Aplicaciones Web en la Revista SIC

En el último número de la revista SIC (n° 94) se publicó un artículo que describía los principales controles técnicos de seguridad para la protección de aplicaciones web.

El artículo fue elaborado de forma conjunta entre Vicente Aguilera, OWASP Spain Chapter Leader, y Daniel Fernández, Director Comercial de Internet Security Auditors.

El artículo desgrana varios proyectos de seguridad en desarrollo de aplicaciones web elaborados por OWASP como son el proyecto ASVS (Application Security Verificatin Standard), la OWASP Development Guide y el OWASP Enterprise Security API. Internet Security Auditors utiliza estos y otros proyectos de OWASP en todos sus servicios relacionados con la Seguridad de Aplicaciones.

El artículo está disponible en nuestra zona de Prensa.

Participaremos en Respuestas SIC: "Seguridad en Aplicaciones Web: donde se cruzan los caminos"

Los días 21 de junio en Barcelona y 22 de junio de Madrid, la revista SIC organiza la XVII edición de Respuestas SIC. En esta ocasión las sesiones abordarán las pruebas, controles y tecnologías actuales para la protección de Aplicaciones Web.

Internet Security Auditors ha sido invitado a estas sesiones como experto en el ámbito de la Seguridad de Aplicaciones Web. Nuestra experiencia en las Auditorías de Seguridad de Aplicaciones Web así como en la implantación de Ciclo de Vida de Desarrollo Seguro serán el marco sobre el que se desarrollará la presentación que ademas presentará un enfoque de consultoría y prescripción. El objetivo de la sesión será aportar las claves en lo relativo a controles y medidas para implementar con las mejores garantías la seguridad en aplicaciones web.

Participamos en el congreso ADWYS CON´11 (Asociación de Diseño Web y Seguridad)

Vicente Aguilera, socio y director de Auditoría en Internet Security Auditors, participó el pasado 24 de Febrero en el congreso ADWYS CON 2011. Este congreso, celebrado en la Universidad de Cádiz, tiene como objetivo difundir conocimientos relacionados con la Ingeniería Web y la Seguridad Informática.

ADWYS, Asociación de Diseño Web y Seguridad de la Universidad de Cádiz, da a conocer de una manera práctica las últimas tendencias y avances en las tecnologías pertenecientes a ambos campos.
La presentación que impartió Vicente Aguilera, en su papel de Presidente del Capítulo Español de OWASP, recorrió el TOP TEN de vulnerabilidades de aplicaciones web publicado por OWASP. Este TOP TEN incluye los 10 riesgos más críticos existentes hoy en día en Aplicaciones Web.

La presentación también incluyó una demostración de una evasión de controles de seguridad en un entorno real consiste en cierta vulnerabilidad existente en la auteticación de usarios de Gmail.

La presentación está disponible en nuestra zona de Presentaciones.

Patrocinamos el VII OWASP Spain Chapter Meeting

El capítulo español de OWASP prepara ya el VII Chapter Meeting. Este evento tendrá lugar en el emblemático Ateneu Barcelonès (donde el capítulo español de OWASP ya celebró uno de sus eventos). La fecha elegida es el próximo Viernes 15 de Abril.

Internet Security Auditors sigue manteniendo su patrocionio a OWASP Spain, desarrollando de este modo su apuesta por los proyectos abiertos de Seguridad de la Información y, en este caso concreto, de Seguidad en Aplicaciones Web.

En la página web de OWASP Spain se irán recogiendo las actualizaciones en la agenda de la jornada. La inscripción a esta jornada es abierta y gratuita.

Gran éxito del OWASP SUMMIT 2011

Del 8 al 11 de Febrero se celebró en Lisboa (Portugal) el OWASP SUMMIT 2011. Más de 180 expertos en seguridad de aplicaciones, venidos de 30 países unieron sus esfuerzos durante esos días para planificar, construir y ejecutar programas que mejoren la seguridad de las aplicaciones software.

El OWASP SUMMIT 2011 no tuvo el clásico enfoque de conferencias y/o congresos con presentaciones estáticas sino que por el contrario se eligió un formato más abierto y dinámico que permitió que los particpipantes, de un modo más informal, pudieran redactar documentos, preparar borradores de estándares, lanzar nuevos proyectos e incluso crear software.

En la página web de OWASP se puede encontrar las principales conclusiones del OWASP SUMMIT 2011 así como un resumen de todas las actividades que allí se realizaron.

ISECOM publica la versión 3 del OSSTMM (Open Source Security Methodology Manual)

En Diciembre de 2010 y después de bastantes años de espera, el ISECOM (Institute for Security and Open Metholodiges) publicó la versión 3 del OSSTMM (Open Source Security Testing Methodology).

El principal objetivo del OSSTMM es ofrecer una metodología científica para caracterizar la exactitud de la seguridad operacional a través de examinar y correlar los resultados de pruebas de forma consistente y confiable. Este manual se adapta a casi cualquier tipo de auditoría de seguridad de la información incluyendo Tests de Intrusión, Hacking Ético, evaluaciones de seguridad, evaluaciones de vulnerabilidades, etc.

Puedes descargar el manual de la v3 de la OSSTMM a través de este enlace.