Analytics

miércoles, 30 de marzo de 2016

Vicente Aguilera participará en el ciberdebate del canal Palabra de Hacker hablando de OSINT, hacking en buscadores y el poder de la información

La periodista Yolanda Corral es la creadora del canal de ciberseguridad Palabra de Hacker, donde entrevista y genera debates junto a otros profesionales de nuestro sector ().

Para el próximo ciberdebate en directo, que tendrá lugar el próximo martes 5 de Abril en horario de 22:00h a 23:00h, Yolanda ha invitado a participar a Vicente Aguilera para participar en la tertulia sobre "OSINT, hacking en buscadores y el poder de la información".

En esta tertulia, Vicente compartirá espacio junto con Enrique Rando, Rafael Otal y Jhohn Jairo Hernández.

La videoconferencia se realizará en directo a través de la aplicación Hangouts de Google. Los hangouts se retransmiten en directo a través de YouTube y una vez concluida la charla quedan disponibles en el canal de YouTube y también en podcast en Ivoox para facilitar que llegue a más gente.

Se trata de generar una tertulia entre los asistentes al hangout y atender a las preguntas que puedan llegan a través de las redes sociales del público que asiste en directo a la videoconferencia (en Twitter el hashtag es #Palabradehacker para monitorizar la conversación para un Storify resumen posterior).

martes, 22 de marzo de 2016

Primer borrador de Privacy Shield

Primer borrador de Privacy Shield
Después de que a principios de año la Comisión Europea anunciara la definición de un nuevo marco de privacidad, llamado “Privacy Shield”, que va a regular las transferencias internacionales de datos de carácter personal de ciudadanos Europeos a los Estados Unidos, y que va a substituir a la hasta hace poco vigente “Safe Harbour”, el pasado 29 de Febrero salió a la luz un borrador de dicho marco.

Este borrador va a ser revisado en las próximas semanas de manera conjunta por la Comisión Europea y el Departamento de Comercio de los Estados Unidos, para ajustar algunos detalles de su contenido, pero con él, ya podemos hacernos una idea de los requerimientos de seguridad que exige a las entidades de Estados Unidos que traten datos personales de ciudadanos europeos.

En esta entrada, analizaremos los aspectos más destacables de dicho borrador, haciendo énfasis en aquellos puntos que puedan resultar de especial interés.

Así pues, vemos algunos de los puntos más destacados de este nuevo marco:
  • Las entidades estadounidenses que realicen tratamientos de información de carácter personal de ciudadanos europeos, deberán cumplir con los siguientes principios:
    • Principio de Notificación: Las entidades estarán obligadas a informar a los ciudadanos sobre los aspectos clave en el procesamiento de sus datos de carácter personal (tipos de datos recopilados, propósito del procesamiento de los datos, derechos de acceso a la información y condiciones de transmisión/cesión de dichos datos a un tercero).
    • Principio de Elección: Las entidades deberán obtener el consentimiento formal por parte de los ciudadanos antes de ceder sus datos personales sensibles a entidades terceras.
    • Principio de Seguridad: Las entidades deberán evaluar los riesgos de seguridad en el tratamiento de la información de carácter personal, y deberán implementar medidas de seguridad que mitiguen al máximo dichos riesgos. En el caso de que la entidad subcontrate a un tercero de un servicio determinado, se le deberá exigir un nivel de seguridad equivalente al requerido por la entidad, para la protección de la información de carácter personal tratada.
    • Principio de Integridad y Limitación de Propósito: Las entidades deberán garantizar la integridad de los datos personales obtenidos, y el procesado de dicha información solo deberá ser llevado a cabo en los casos en que esto sea imprescindible.
    • Principio de Acceso: Las entidades deberán informar a los ciudadanos sobre el contenido de sus datos personales, y deberá facilitarles el accso a dichos datos en un plazo de tiempo razonable. Las peticiones de acceso a su información personal podrán ser realizadas por los ciudadanos en cualquier momento y sin justificación previa.
    • Principio de Responsabilidad para Transmisiones Lícitas: Las transmisiones de información personal a controladores o procesadores (organismos oficiales) de manera lícita solo deberá ser realizada bajo justificación expresa. Además, en caso de realizarse, dichas transmisiones deberán ser notificadas a los ciudadanos originales, bajo el Principio de Notificación, comentado anteriormente.
    • Principio de Responsabilidad, Aplicación y Cumplimiento: Las entidades deberán adecuarse a las premisas del marco Privacy Shield, y deberán reportar su cumplimiento de manera anual a través de un informe de certificación realizado por una entidad tercera o bien a través de un informe de auto-certificación. Los reportes de certificación deberán ser reportados al Departamento de Comercio de los Estados Unidos, que mantendrá un listado público de todas las entidades adheridas a este programa. En el caso que las empresas afectadas no demuestren el cumplimiento de dichos requerimientos, estarán sujetas a sanciones económicas.
  • Se establece un período máximo de 45 días para que las entidades den respuesta a aquellas reclamaciones realizadas por los ciudadanos en base a un mal manejo de sus datos personales por parte de las mismas. Además, en estos casos, los ciudadanos también podrán realizar una reclamación a las autoridades locales de protección de datos (en el caso de España la AEPD), para que dichas reclamaciones se canalicen a través de dichos organismos. En estos casos, el periodo definido para dar respuesta a este tipo de reclamaciones será de 90 días.
  • Se crea la figura del Defensor del Pueblo en el Gobierno de los Estados Unidos, que trabajará de manera conjunta a otros departamentos oficiales, para velar por los derechos de los ciudadanos Europeos en el tratamiento de  sus datos personales por parte de entidades de los EEUU.
  • Los Estados Unidos se guardan el derecho de realizar monitorizaciones y análisis de datos personales en ocasiones especiales, con el objetivo de detectar y frenar amenazas terroristas, armas de destrucción masiva o amenazas a las fuerzas armadas.
  • De manera anual, se realizará una revisión conjunta del marco Privacy Shield por parte de la Comisión Europea y el Departamento de Comercio de los Estados Unidos, para garantizar el buen funcionamiento del mismo, y actualizarlo, en caso de que ésto se considere necesario.
Referencias
http://europa.eu/rapid/press-release_IP-16-433_en.htm

Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.
 

lunes, 21 de marzo de 2016

Para qué quiero la ISO20000 si estoy implantando la ISO27001? (Y viceversa) o la naturaleza poliédrica tridimensional de los incidentes de un sistema

Un pilar fundamental de la normalización en las metodologías de gestión es la trazabilidad de sus acciones, tanto documentales como las derivadas de la aplicación de sus políticas y procedimientos. Un punto clave en el caso de la ISO 27001 es la correcta gestión de los Incidentes de Seguridad, la cual permite:
  • Mejora en la gestión de las infraestructuras
    • El diseño de una estructura de supervisión de incidentes implica una mejora en la madurez del proceso de gestión de las infraestructuras.
    • El establecimiento de los mecanismos de detección de incidentes y la monitorización subyacente ayudan a identificar vulnerabilidades que el análisis de riesgos haya obviado.
  • Control de los Activos
    • Los incidentes de seguridad permiten la actualización de la criticidad de los activos así como identificar puntos únicos de fallo.
  • Constatación que el organismo de control del SGI está en funcionamiento y actúa de forma diligente
    • Los incidentes de seguridad deben ser comunicados al responsable de seguridad y tratados en el SGI.
    • Frente a un incidente de seguridad debiera poder realizarse la trazabilidad: incidente – acción correctiva – revisión SGSI – identificación del riesgo – gestión del mismo. Por lo que se demostraría la correcta gestión del mismo por parte del organismo competente.
  • Obligatoriedad en el análisis y actualización de los riesgos de forma continua
    • Como se mencionaba anteriormente, la aparición de un incidente de seguridad obliga a una revisión de la amenaza explotada para su ataque y a una revisión del riesgo asociado a la misma, si bien se recomienda una gestión proactiva de los riesgos, en el caso que ocurra un incidente obliga a su revisión de oficio.
  • Necesidad de mantener actualizada la base de datos de activos
    • A menudo los incidentes se producen por contener la CMDB información obsoleta o bien que el propio activo se halle desactualizado frente a definiciones de seguridad.
    • La orientación a mejora continua que el sistema de control de los incidentes de seguridad requiere de una CMDB actualizada de forma regular.
El quid de la cuestión es la pregunta que a menudo un responsable de seguridad se formula: ¿Qué significa esa “correcta gestión”? ¿Cómo sé si mi gestión es correcta?

Ahí es donde ISO 20000 establece los principios de una gestión de incidentes –de cualquier índole- de forma normalizada. En dicha norma se establece que, para cada incidente se debe definir:
  • Registro
  • Asignación de prioridad
  • Clasificación
  • Actualización de registros
  • Escalado
  • Resolución
  • Cierre
Asimismo establece que los incidentes deben poder relacionarse con los activos a los que afectan –establecer la infraestructura en forma de CMDB- de forma que los mismos formen parte de una estructura superior –alineada con negocio- que es el servicio, el conjunto de servicios constituyen el Catálogo de Servicios.

Por tanto, un Catálogo de Servicios, alineado con negocio, es aquél en donde:
  • Todo activo presente en la CMDB y por tanto mantenible, gestionable y unívocamente identificable contribuye al resultado de la compañía, aquellos que no cumplen éste criterio deben ser discontinuados (criterio BSM, Business Service Management)
  • Cada evento debe poder asociarse al activo correspondiente, si no es así el evento es descartado.
Para ilustrar esto, en el siguiente gráfico, se observa un Activo o Elemento de Configuración (CI en inglés) el cual está relacionado con los Cambios, Incidentes, Incidentes de Seguridad formando –para simplificar- un tetraedro en donde cada arista puede constituir nuevos tetraedros (a escala tridimensional).
Elemento de Configuración

La relación entre todos ellos se puede describir mediante el siguiente grafo en el que por debajo se hallaría la estructura antes mencionada:
En 3D el grafo anterior podría adoptar una figura como el dicosahedron truncado:
Fuente: https://commons.wikimedia.org/wiki/File:Truncatedicosahedron.jpg
Desde el punto de vista planar un incidente (de seguridad o no) afecta a un conjunto de activos, los cuales forman parte de los servicios, pudiendo un activo contribuir a más de un servicio (caso de electrónica de red, cabinas de discos,…):

Además estipula que durante el ciclo de vida de la incidencia se debe mantener informado al cliente así como guardar la misma relacionada con el Activo/s en que ha sucedido con el fin de poder diagnosticar rápidamente si vuelve a suceder en el mismo Activo, esto amplía la dimensión del tratamiento del incidente dado que lo convierte en un ente propio relacionable con otros (como hemos visto anteriormente) y por tanto trazable y sobre todo registrable y consultable en el futuro constituyendo la simiente de la Base de Datos del Conocimiento.

Pues bien, volviendo a la pregunta inicial: Para qué quiero la ISO 20000 si estoy implantando la ISO 27001?
La respuesta es clara, el concepto abstracto de “Incidente” con las relaciones multinivel difícilmente imaginables se explica perfectamente mediante la ISO 20000, además de permitir su implementación y seguimiento traspasándolas a un esquema planar que sí es entendible y mantenible.
ISO 200000 dota a los sistemas de gestión (OSHAS, 14001, 9001, 22301, 27001….) de conceptos claros con los que gestionar sus activos enlazándose (gracias a la unificación del anexo SL) entre sí de forma directa y más fácilmente de lo que podría pensarse.

Si desea saber cómo Internet Security Auditors puede ayudarle a implantar ISO 20000 en su empresa no dude en contactarnos.



Autor: Carlos Ortiz de Zevallos - BSI L.A., Scrum Manager, MCP, ITILF, ITIL Service Management
Departamento Consultoría

miércoles, 16 de marzo de 2016

Tribunal Supremo anula las resoluciones de la AEPD sobre el Derecho al Olvido para Google España.

El derecho al olvido es un derecho relacionado con la protección de datos personales . Se puede definir como: “el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal que se considera obsoleta o no relevante por el transcurso del tiempo o que de alguna manera afecta el libre desarrollo de alguno de sus derechos fundamentales”.

Con la llegada de Internet, el derecho al olvido se complica ya que aumenta la capacidad de almacenaje, y los motores de búsqueda permiten encontrar cualquier dato en cuestión de segundos, lo que conlleva a nuevos desafíos.

En Europa, desde 2014 los buscadores como Google tienen la obligación de eliminar de sus listas de resultados aquellos enlaces que violen ciertos derechos de un ciudadano, a petición de éste, debido a una sentencia del Tribunal de Justicia de la Unión Europea, en la que se posicionaba a favor de la AEPD poniendo fin, después de casi 11 años al conflicto entre Google y la AEPD. O, al menos, eso creíamos.

Ayer el Tribunal Supremo de España aprobó un recurso enviado por Google España, donde se exime a la empresa de eliminar resultados de búsqueda tal y como quería la AEPD por considerar que es Google Inc. (la compañía central de Google en EE.UU) la que tiene responsabilidad sobre esos datos y no la filial española.

Así mismo, la AEPD enfatiza que el fallo no modifica los criterios establecidos por el Tribunal de la UE para solicitar la retirada de determinados enlaces sino que aclara que el destinatario es Google Inc. En el caso de la compañía denegará las peticiones de los usuarios o estos no estuvieran conformes con su decisión, podrá seguir solicitando la tutela de la agencia.

Referencias
http://www.poderjudicial.es
http://www.genbeta.com

¡Internet Security Auditors Official Training Providers de (ISC)² en Colombia!

Con el objetivo de ofrecer nuestros cursos de formación basados en las certificaciones del (ISC)² en Colombia, Internet Security Auditors se ha convertido en Official Training Provider Colombia.

También ampliamos nuestro catálogo de formación con el nuevo curso sobre seguridad en la nube: Certified Cloud Security Professional (CCSP).

La credencial CCSP refleja un conocimiento profundo derivado de la experiencia práctica en computación en la nube y en la seguridad de la información. Valida los conocimientos prácticos aplicables a aquellos profesionales cuyas responsabilidades diarias incluyen la arquitectura de seguridad en la nube, diseño, operaciones y coordinación del servicio. Esta nueva certificación va dirigida a:
  • Aquellas personas cuyas responsabilidades diarias comprenden la adquisición, la seguridad y la gestión de entornos en la nube o servicios adquiridos en la nube.
  • Arquitecto Corporativo o Administrador de Seguridad o Ingeniero de Sistemas.
  • Arquitecto de Seguridad.
  • Consultor de Seguridad o Ingeniero de Seguridad.
  • Director de Seguridad de la Información o Sistemas de Información.

Para más información o consultar fechas puede visitar nuestra web:
https://www.isecauditors.com/formacion-en-seguridad

miércoles, 9 de marzo de 2016

VPN, (Virtual Private Network) otra forma de uso

Hasta no hace mucho el uso de una VPN (Virtual Private Network) era patrimonio de organizaciones y empresas cuyos usuarios precisaban un acceso seguro a sus redes corporativas desde el exterior de la compañía, dado que este tipo de conexiones dificulta la interceptación de  la información que viaja por la red.

Las virtudes de esta navegación se están utilizando para fines diferentes, ya que su uso permite eliminar determinados impedimentos de accesos a páginas.

Diferentes empresas han visto negocio en el ofrecimiento a usuarios domésticos de estas redes privadas y cada vez, podemos encontrar más programas que lo facilitan.

Valiéndose de los mismos, se establece una conexión que impide que el servidor reconozca el destino real de la misma, permitiendo un acceso a un contenido, que de otra forma no se podría visualizar.

Así se obtiene por ejemplo acceso a páginas que bloqueadas  por el “Gran Cortafuegos[1]  en países con censura, la emisión de partidos o visualización de programas como el reciente documental emitido por la televisión francesa, "Juan Carlos, Le crépuscule d'un roi",  que de momento no se emite en nuestro país.

La duda que nos puede surgir, es saber hasta qué punto es legal el uso de este tipo de programas, ya que es de sobra conocido que los programas de intercambio de música o vídeos se encuentran en el ojo del huracán,  por la infracción que puede implicar sobre los derechos de autor de los creadores de ese contenido.

Si tan solo accedemos como usuarios a través de VPN, y esa web se sitúa en el extranjero, dicho acceso no está considerado delito en España.

Pero tendremos que tener en cuenta que un streaming se considera una descarga de información (distribución de multimedia a través de una red de computadoras de manera que el usuario consume el producto al mismo tiempo que se descarga) y por tanto valorar si la legislación del país donde nos encontremos lo considera que es punible.

Sin embargo no se debe confundir streaming con el P2P donde al mismo tiempo que descargas algo envías parte de ese fichero a otros usuarios y eso es lo que se considera ilegal como infracción al derecho de autor.

¿Qué otro aspecto debemos valorar en estos servicios? Veamos el “coste oculto” de muchos de estos programas.

Como siempre en la red tenemos programas que se pueden disfrutar mediante algún tipo pago o cuota y programas gratuitos.

¿Que puede suponer el uso de programas “gratuitos”? La respuesta la encontramos en las cláusulas de algunas condiciones de uso, las cuales generalmente aceptamos sin leer, o si queremos disponer del programa.

En algunas de ellas se contempla que con la instalación del software podemos arriesgarnos a entrar a formar parte de una botnet, cediendo nuestro ancho de banda, para que otros se  aprovechen de este para fines inciertos.

Y…nos hemos parado a pensar, ¿qué uso se está haciendo, por esos usuarios?,  ¿es legal o ilegal? Si miramos en prensa tenemos noticias de ataques de denegación de servicio a webs,  aprovechando estos medios.

Y ¿cómo se compensa la gratuidad del uso que nos ofrecen?, sencillo con la aparición de publicidad en nuestras sesiones de navegación, que generalmente las hace inestables.
Además hay plataformas como, Netflix que han comenzado a realizar una ofensiva agresiva contra las personas que utilizan diferentes tecnologías (VPN, proxy, 'unblockers') para acceder a contenidos exclusivos de otros países [2].

Si como usuario, no dispones de conocimientos que permitan una adecuada protección de tu ordenador, estos servicios pueden ser el gancho que utilizan los ciberdelicuentes, para acceder a nuestra información, permitiéndoles la obteniendo datos sensibles como documentos privados, correos electrónicos o datos de nuestra tarjeta de crédito.

[1] El Gran Cortafuegos (Great Firewall, juego de palabras en inglés que literalmente se podrían traducir como "Gran Muralla de Fuego", en referencia a la Gran Muralla china o Great Wall), llamado oficialmente Proyecto Escudo Dorado, supone la censura y la vigilancia de Internet por el Ministerio de Seguridad Pública (MPS) de la R.P. China. El proyecto se inició en 1998 y comenzó sus operaciones en noviembre de 2003. (Fuente Wikipedia).

[2] http://www.eltiempo.com/tecnosfera/novedades-tecnologia/netflix-comenzo-bloqueo-de-vpn/16524964

Autor: Carmen Areces
Departamento Comercial.

jueves, 3 de marzo de 2016

El PCI SSC publica el Checklist de Revisión de entregables para Entidades Adquirientes

El PCI SSC cuenta con un grupo de trabajo o foro que tiene como objetivo dar soporte a las entidades Adquirientes y Procesadores: el PCI Security Standards Council's Acquirer Forum, para poder mejorar en la responsabilidad ante los comercios a los que gestionan su adquirencia y de los que reciben sus informes de cumplimiento.

El pasado 20 de enero se celebró un encuentro, dentro del Acquirer Forum, que ha dado lugar la publicación de la "Acquirer Review Checklist v1.0" que, dentro de los programas denominados Assessor Quality Management (AQM), pretende servir de guía para las entidades adquirientes en el momento de validar los ROC, AOC y otra documentación de reporte del cumplimiento de los comercios de los que realizan su adquirencia y a los que piden esta documentación como parte de la responsabilidad de su cumplimiento. Esta responsabilidad incluye, a parte del propio cumplimiento, velar y conocer el nivel de cumplimiento de los comercios (reportándolo posteriormente a las marcas de tarjetas de pago) y trabajar con proveedores de servicio que cumplan igualmente con PCI DSS.

Con la publicación de este documento se pretende:
  • Incrementar la efectividad del proceso de revisión de las entidades adquirientes sobre los entregables recibidos.
  • Fortalecer la efectividad de los entregables generados por los QSA y que acaban en manos de las entidades adquirientes.
  • Mejorar el nivel de consistencia y precisión de la documentación redactada por los asesores QSA.
  • Disponer de un modelo binario de revisión que reduce el tiempo de la validación de los ROC/AOC mediante una checklist.

El cheklist incluye secciones ("Acquirer Internal Reviewer Training") que resultan interesantes por el hecho de enfatizar la necesidad de personal responsable en las revisiones y, en general, trasladable a todo aquel con responsabilidades en entornos de cumplimiento de PCI DSS, debe contar con formación adecuada en la norma y ya no sólo esto sino también en seguridad TIC.

El documento consta de una sección "básica" para la revisión de los aspectos clave denominada "ROC Submission Checklist for Acquirer Reviews version 1.0 - Basic" con 20 puntos clave en la revisión de un ROC recibido por la entidad adquiriente, con puntos básicos como: si el resultado ha sido "Compliant", y en caso contrario si incluye un Plan de Remediación, si las fechas de ROC y AOC coinciden, si los escaneos ASV han sido satisfactorios o si se ha definido un plan de Mitigación del Riesgo para gestionar el uso de versiones SSL y TLS vulnerables. Incluso si el adquiriente ha tratado con el QSA aspectos para la reducción del entorno se incluyen en el checklist.

 La siguiente sección, para aquellos revisores que tengan mayor nivel de exigencia en la validación de los entregables remitidos por sus comercios, disponen de la versión detallada "ROC Submission Checklist for Acquirer Reviews version 1.0 - Detailed".

Ésta consta de unos 80 puntos de revisión y detalle de evidencias y permiten entrar en profundidad en aspectos relacionados con el uso de productos certificados PTS en los entornos de certificación del cumplimiento, actividades que se desarrollarán en un futuro para el cumplimiento, empresas que han llevado a cabo los escaneos ASV y resultado de estos, detalles sobre el uso de aplicaciones certificadas o no PA-DSS dentro del ámbito, uso de soluciones o aplicaciones P2PE, calidad de la información con la que QSA ha detallado el ámbito de cumplimiento, controles compensatorios, procesos de pago del comercio o proveedores de servicio participantes, etc. Con todos estos parámetros, el revisor de la entidad adquiriente podrá tener una herramienta de análisis exhaustiva para valorar la calidad y precisión de la información que le faciliten y poder identificar inconsistencias o información insuficiente.

Sin duda, para los QSA que dedicamos un esfuerzo ingente en los resultados de nuestros trabajos de Auditoría consideramos muy interesante que el PCI SSC dedique esfuerzos a este trabajo y que pueda ser revisado y valorado de forma objetiva y precisa. Esto enfatiza el hecho de que el trabajo de los QSA exigentes consigo mismos podrá ser puesto en valor de forma más sencilla y los comercios que entreguen estos informes a sus entidades adquirientes podrán tener la tranquilidad que estos informes pasarán las revisiones sin problemas.

Referencia:
https://info.pcisecuritystandards.org/acquirer_forum

Autor: Daniel Fernández Bleda - CISSP, CISM, CISA, ISO 27001 LA, CHFI, OPST/A
Global Sales Manager, Internet Security Auditors