TATAKI en el Catálogo de Empresas y Soluciones de Seguridad TIC de INTECO

7 07 2009

El Centro Demostrador de Tecnologías de Seguridad de INTECO publica su más reciente revisión del Catálogo de Empresas y Soluciones de Seguridad TIC del que TATAKI forma parte desde hace ya algún tiempo.

Catálogo de Empresas y Soluciones de Seguridad TIC

El Catálogo de Empresas y Soluciones de Seguridad TIC intenta recoger todas las empresas del ámbito de la Seguridad TIC, así como su oferta de Productos y Servicios. La actual edición incorpora un total de 553 empresas y 1.002 soluciones, de las cuales 396 son productos y 606 son servicios.

El catálogo representa un importante esfuerzo por reunir a todos los actores del mercado de la seguridad de la información, realizando un especial hincapié en las empresas con el objetivo de dar a conocer dicho mercado y acercarlo tanto al sector público y privado, así como a los ciudadanos. Es un instrumento fundamental para la dinamización e impulso de la industria de seguridad TIC, en el que se ofrece información pormenorizada del tipo de actividad de cada empresa, así como la oferta del mercado en forma de productos y servicios.

El catálogo incluye una taxonomía de los distintos productos y servicios de seguridad TIC, que facilita la búsqueda de productos y servicios, además de recomendaciones y buenas prácticas destinadas a la aplicación de las tecnologías de seguridad y de la implantación de servicios de seguridad para las empresas y usuarios.

La versión más actualizada del catalogo es su versión como aplicación web, que incorpora una herramienta de búsqueda on-line.


Comentarios : Deja un Comentario »
Etiquetas: , ,
Categorías : Seguridad de la información, TATAKI

2009 Data Breach Investigations Report (y II): sugerencias

8 05 2009

Hace unos días nos hacíamos eco de la publicación del “2009 Data Breach Investigations Report” a cargo del “Verizon Business RISK team”, y repasábamos algunos de los datos sobre el análisis de los incidentes de seguridad.

2009-dbir-cover_1

Pero el informe no sólo analiza la tipología y origen de los incidentes, si no que también ofrece pistas sobre cómo orientar los esfuerzos para mitigar los riesgos potenciales de sufrir uno de ellos. Las recomendaciones se resumen en cinco áreas:

  • Asegurarse de que se han implantado y se mantienen vigentes un conjunto esencial de controles de seguridad.
  • Encontrar, tracear y analizar los datos de que se dispone.
  • Recopilar y analizar logs de actividad de sistemas y aplicaciones de forma continua.
  • Auditar periódicamente las credenciales y privilegios de los usuarios.
  • Auditar (analizar vulnerabilidades, tests de penetración, etc.) en servicios y aplicaciones Web de forma periódica.

En teoría, la mejor defensa contra las violaciones de datos es bastante simple: no conservar los datos. Dado que esta aproximación al problema no es realista para muchas organizaciones, lo mejor que puede hacerse es mantener sólo aquellos datos estrictamente necesarios para el negocio, requeridos por motivos legales o de compliance; y saber con precisión dónde se almacenan y cómo se mueven por la organización. Ahora bien, llevar esto a la práctica no es tarea trivial. He aquí algunos enlaces al respecto: Data Loss Prevention Best Practices, Understanding and Selecting a Data Loss Prevention Solution, etc.

La mayoría de los incidentes siguen produciéndose debido a que no se habían implantado ni siquiera los controles básicos de seguridad (e.g. parches de seguridad en sistemas operativos y servidores), y los que estaban implantados no lo estaban globalmente. Así pues, quedan expuestas algunas vulnerabilidades bien conocidas, es muy probable que un atacante las encuentre y las explote. Sin embargo, es mucho menos probable que un atacante gaste su tiempo en detectar vulnerabilidades no evidentes.

En este sentido el informe mantiene su recomendación de 2008 al respecto de la eliminación de credenciales por defecto y de compartir credenciales, de la revisión de cuentas en busca de signos de abuso o anomalías, etc. También se mantiene de incorporar la seguridad desde el propio ciclo de desarrollo de las aplicaciones, incluyendo auditorías de código, para evitar vulnerabilidades habituales como la inyección de SQL, el Cross Site Scripting (XSS), etc.


Comentarios : Deja un Comentario »
Etiquetas: , ,
Categorías : Noticias, Seguridad de la información

2009 Data Breach Investigations Report (I): datos

4 05 2009

Hace unos días se publicó el “2009 Data Breach Investigations Report” a cargo del “Verizon Business RISK team”. Según este informe, 2008 será recordado probablemente como un año turbulento para las empresas y los consumidores desde el punto de vista de la seguridad de la información, ya que, a las noticias relativas a los problemas económicos globales, se le suman algunas de las mayores violaciones de datos de la historia.

2009-dbir-cover_1

A continuación se presentan algunos de los aspectos que destaca el informe.

¿Quién está detrás de los incidentes de seguridad?

Siguiendo con la tendencia del 2008, la mayor parte (74%) tienen su origen en fuentes externas, mientras que el 20% provienen exclusivamente del personal interno de la organización. En el 32% de los casos, los propios partners de negocio estaban implicados en los incidentes. Y en el 91% de los casos, detrás del incidente se hallaba alguna organización con fines delictivos.

¿Cómo ocurren los incidentes?

En los casos más graves el atacante aprovechó un error de la víctima (67% de los casos), se introdujo en su red (64% de los casos) e instaló malware para recoger datos (38% de los casos). Algunas de las vulnerabilidades más relevantes a que hace referencia el estudio incluyen: SQL injection a través de las aplicaciones Web, acceso no autorizado mediante credenciales por defecto usadas para el acceso remoto de terceros, privilegios de usuario mal utilizados, etc.

¿Qué tienen en común?

Sólo el 17% de los ataques se consideran de un nivel de dificultad alto, si bien corresponden al 95% del volumen de información comprometida. Esto parece indicar que, aunque los atacantes prefieren los objetivos fáciles, una buena motivación les permite atacar con éxito objetivos difíciles. Por otra parte, casi todos los incidentes tuvieron lugar en el entorno on-line (servicios y aplicaciones Web, servidores, redes, …). El 69% de los ataques fueron descubiertos por terceras partes, lo que seguramente conllevó perjuicios de imagen. Y el 87% de los ataques podrían haberse evitado con sencillos controles.


Comentarios : Deja un Comentario »
Etiquetas:
Categorías : Noticias, Seguridad de la información

Memoria 2008 de la AEPD

27 04 2009

El pasado 15 de abril se presentó la Memoria 2008 de la Agencia Española de Protección de Datos (AEPD).

aepd

El documento está estructurado en tres partes. En primer lugar reflexiona en profundidad sobre la situación actual y futura de la protección de datos de carácter personal en diversos aspectos, como el grado de conocimiento de los ciudadanos al respecto de sus derechos y la normativa, las garantías de cumplimiento de la misma, el contexto internacional, etc.

Seguidamente ofrece algunas breves recomendaciones tanto normativas como ejecutivas, basadas en la experiencia acumulada por la Agencia. La recomendaciones se dirigen a los poderes públicos y a los agentes económicos y sociales, al objeto de que se promuevan iniciativas que fomenten la efectiva garantía del derecho a la protección de datos en ámbitos concretos.

Finalmente, el documento dedica más de la mitad de sus páginas a ofrecer un resumen de datos estadísticos sobre el funcionamiento de la Agencia (inspecciones, consultas, registro de ficheros, etc.) durante el año pasado.

Aquí van pues algunas de dichas cifras:

  • Las reclamaciones ante la AEPD se incrementaron en más del 45% en 2008.
  • Las denuncias ante la AEPD (junto con las investigaciones iniciadas de oficio) alcanzaron la cifra de 2.362.
  • La AEPD resolvió en 2008 un total de 630 procedimientos sancionadores, casi un 58% más que en 2007, de los cuales 535 culminaron con una sanción.
  • El importe de las sanciones impuestas ascendió a 22,6 millones de euros, lo que supone un incremento del 15% respecto a 2007.
  • En 2008 se atendieron 1.229 tutelas de derechos, registrándose un incremento del 44% respecto a 2007.
  • El número de consultas planteadas al Servicio de Atención al Ciudadano experimentó un incremento del 52,17% respecto a 2007.

Finalmente cabe resaltar que Internet, con especial énfasis en la redes sociales, y la video-vigilancia aparecen como los principales retos para la defensa de la privacidad de los ciudadanos. En este sentido destaca que el número de ficheros de video-vigilancia inscritos en el RGPD en 2008 han duplicado a los de 2007, por ejemplo.

La memoria es prolija en cifras así que los interesados en los detalles tienen en qué invertir su tiempo. En todo caso en Derecho de las TICs podemos encontrar un buen resumen.


Comentarios : Deja un Comentario »
Etiquetas: ,
Categorías : Noticias, Protección de datos, Seguridad de la información

Fin de la transitoria 2ª del reglamento LOPD

20 04 2009

Ayer finalizaron algunos de los plazos establecidos en la Disposición Transitoria 2ª del Real Decreto 1720/2007 de 21 de diciembre para que las empresas, organismos públicos, etc. se adecuasen a las medidas de seguridad tanto en ficheros automatizados, como en otros soportes no automatizados.

Si bien los ficheros, tanto automatizados como no automatizados, creados con posterioridad a la fecha de entrada en vigor del RD 1720/2007 deben tener implantadas la totalidad de las medidas de seguridad que les correspondan, desde el momento de su creación, conviene recordar también para qué medidas de seguridad se ha agotado el plazo de implantación transitorio.
Los tipos de ficheros y las medidas de seguridad aplicables se encuentran perfectamente tipificados y documentados en el propio texto de la disposición transitoria (ver enlace).


Comentarios : 1 comentario
Etiquetas: ,
Categorías : Noticias, Protección de datos, Seguridad de la información

« Entradas anteriores Entradas siguientes »