Archivo del sitio

CISA

CISAr.2c

La certificación CISA (Certified Information Systems Auditor – Auditor Certificado en Sistemas de Información) es una certificación reconocida a nivel mundial para los profesionales en Auditoría, Control y seguridad de los Sistemas de Información. El mostrar un Certificado CISA es un aval a la experiencia, habilidades y conocimientos, y demuestra que se es capaz de evaluar vulnerabilidades, reportar y establecer medidas de control y cumplimiento en los sistemas examinados. Es otorgada por ISACA a aquellos individuos que manifiesten interés en dichas áreas de conocimiento, y que cumplan los siguientes requisitos:

  1. Aprobación del Examen CISA

El examen está abierto para todos los individuos que tengan interés en las áreas de Auditoría, Control y Seguridad en los Sistemas de Información. Los candidatos que aprueben el examen recibirán los requisitos para continuar con la certificación. Están disponibles asesorías y ayudas para preparar al candidato para el examen.

  1. Solicitar la Certificación CISA

Una vez aprobado el examen, y si se cumple con el requisito de haber laborado un mínimo de 5 años en Auditoría, Control o Seguridad de Sistemas de Información, se puede solicitar a ISACA la certificación. Existen maneras de convalidar los años de experiencia en el área particular, mediante experiencias en Auditorías en General, mediante equivalencias de estudios académicos, o mediante comprobación de años en la docencia a tiempo completo en el área. Los candidatos aprobados tienen hasta 5 años para solicitar la certificación.

  1. Adherirse al Código de Ética Profesional

Los miembros de ISACA y a quienes se les otorgue la Certificación CISA acuerdan cumplir el Código de Ética Profesional, el cual deberá guiar su conducta personal y profesional.

  1. Adherirse al Programa de Educación Continua

Los objetivos del Programa de Educación Continua son:

  • Mantener la competencia individual al actualizar sus conocimientos y habilidades en las áreas de Auditoría, Control o Seguridad de Sistemas de Información.
  • Otorgar un factor de diferenciación entre las personas certificadas CISA y los que no han sido certificadas.
  • Proveer un mecanismo para monitorear la competencia de los profesionales certificados en las áreas correspondientes.
  • Proveer criterios objetivos a las empresas para la selección adecuada de su personal y para su posterior desarrollo profesional.
  1. Cumplir los estándares de Auditoría de Sistemas de Información

A quienes se les otorgue la Certificación CISA acuerdan cumplir los estándares de Auditoría de Sistemas de Información establecidos por ISACA.

cisa banner


Referencias

Consultadas en la WWW el 25 /03/2016:

Tarjeta Castellanos

Banner De todo un Poco (1) 600 px

Anuncios

Haxposure: una amenaza emergente con consecuencias importantes

Banner Seguridad

Una tendencia de ciberamenazas en el 2015 ocurrió con los ataques a las páginas de “Hacking Team” y “Ashley Madison”. En ambos casos, los perpetradores no sólo robaron información confidencial, sino que la hicieron pública. Esta combinación de robo criminal de datos a través del “hackeo” y la exposición pública de secretos internos representa una amenaza emergente, que ha sido denominada “Haxposure”. En ambos casos, pareciera que los perpetradores no les gustaba mucho los modelos de negocio de las compañías atacadas. Y si se mete en el mismo saco al “hackeo” que se hizo a la Sony Pictures en el 2014, da la impresión que en los tres casos hay motivos políticos y/o morales para los ataques. La estrategia del “haxposure” representa una amenaza potencial más dañina para una organización, que el hecho aislado de robo de datos y entrega de los mismos a personas que puedan sacarle provecho. Este daño potencial viene en función de la sensibilidad de los datos que se están tratando de asegurar, donde asegurar equivale a mantenerlos en secreto. Considérese un escenario donde a una compañía de alimentos le roban la receta secreta de los frijoles ahumados. Si se lo venden a la competencia o lo publican en internet, serían malas noticias, pero probablemente no hundiría las finanzas de la compañía. A menos que la receta secreta contenga un elemento secreto dañino. Supóngase que uno de los ingredientes secretos sea un carcinógeno identificado. El exponer ese tipo de secreto puede dañar la reputación, los ingresos y las valoraciones correspondientes.

seguridad informatica


Referencias

http://www.welivesecurity.com/wp-content/uploads/2016/01/eset-trends-2016-insecurity-everywhere.pdf

Tarjeta Castellanos

Banner De todo un Poco (1) 600 px

Tendencias en Seguridad Informática para el 2016

Banner Seguridad

De acuerdo con el equipo de Investigación y Análisis de Kaspersky Lab para América Latina, las empresas y usuarios finales tendrán que poner especial énfasis en temas de seguridad por el incremento de ataques que ahora no sólo serán de malware, sino híbridos (malware y humanos) en donde “la participación de empleados deshonestos serán parte para ayudar a evadir los sistemas de seguridad de las empresas”.

Según un informe de Kaspersky Lab, divulgado por Fayerwayer.com, durante el 2016 las tendencias en temas de seguridad incluyen lo siguiente:

Se prevé un incremento y diversificación en los ataques de malware a los móviles, gracias a que éstos se han convertido en la principal herramienta para conectarse a Internet, además del aumento de su uso para pagar en línea. Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina, comentó:

“… Los dispositivos móviles casi nadie los protege con una solución de seguridad lo que hace que este campo sea bastante fértil para los atacantes.”

También cobrarán relevancia las infecciones de ransomware de forma localizada y regional, así como los ataques dirigidos. Pero uno de los peligros que ha empezado a sobresalir ha sido los ataques de malware a puntos de venta y a cajeros automáticos (ATM). Esto, gracias a los que los criminales han adquirido el malware y la tecnología de los cibercriminales de Europa Oriental.

Con estas predicciones, lo más importante es estar preparados con las actualizaciones de software más reciente, sistemas de seguridad actualizados y medidas de precaución que toquen también a las personas.

tendencias 2016


Referencias

Consultado el día 20 de diciembre de 2015 de la WWW:

Tarjeta Castellanos

Banner De todo un Poco (1) 600 px

SSL

Banner Seguridad

La Capa de Conexiones Seguras (Secure Sockets Layer – SSL) y la Capa de Seguridad en el Transporte (Transport Layer Security – TLS) son los protocolos de seguridad más usados hoy en día. Es esencialmente un protocolo que provee un canal seguro entre dos máquinas que operan sobre la Internet o en una Red interna. En el mundo de hoy enfocado hacia el Internet, el protocolo SSL es usado típicamente cuando un navegador web necesita conectarse de manera segura a un servidor web sobre la casi siempre insegura Internet común y corriente.

Técnicamente, SSL es un protocolo transparente que requiere poca interacción con el usuario final cuando se establezca una sesión segura. En el caso de un navegador, por ejemplo, los usuarios son alertados acerca de la presencia del SSL, cuando el navegador muestra una figura de un candado, o en el caso de la Validación Extendida SSL, cuando en la barra se muestra un candado y la barra de color verde.

Y esa es la clave del éxito del SSL. Es una experiencia increíblemente simple para los usuarios finales.

Los certificados SSL son archivos de datos pequeños que se enlazan digitalmente una clave criptográfica con los datos de la organización. Cuando se instala en un servidor web, activa el candado y el protocolo https (sobre el puerto 443) y permite una conexión segura del servidor web al navegador. Típicamente, el SSL se usa para transacciones seguras de tarjetas de crédito, transferencias de datos y logins, y más frecuentemente se ha convertido en la norma al navegar de manera segura en las redes sociales.

ssl


Referencias

Consultado el día 20 de noviembre de 2015 de la WWW:

Tarjeta Castellanos

Banner De todo un Poco (1) 600 px

Seguridad Informática: Ataque de Fuerza Bruta

Ataques de Fuerza Bruta

ataque fuerza brutaUn ataque de fuerza bruta es un método de ensayo y error usado para obtener información, tal como una clave de acceso o el PIN (Personal Identification Number – Número de Identificación Personal). En un ataque de fuerza bruta, se emplea software automatizado para generar una lista larga de posibles contraseñas de acceso, para ingresarlas en la cuenta de un usuario objetivo. Los ataques de fuerza bruta pueden ser usados por los criminales para “crackear” o descubrir datos encriptados, o por analistas de seguridad para probar la seguridad de la red de una organización.

Un ataque de fuerza bruta también puede ser conocido como “crackeo de fuerza bruta”.

Por ejemplo, una forma de ataque de Fuerza Bruta es con “el método del Diccionario”, donde en el ataque se pueden usar todas las palabras que están en un diccionario. Otra manera de configurar un ataque puede ser usando claves de accesos comúnmente usadas o combinaciones de letras y números.

Un ataque de esa naturaleza puede consumir tiempo y recursos. De allí el nombre de “Fuerza Bruta”, ya que su éxito depende del poder computacional y del número de combinaciones, en vez de depender de un algoritmo ingenioso.

Se pueden usar algunas de las siguientes medidas para evitar ser víctima de un ataque de este tipo:

  • Usar claves de acceso complejas
  • Limitar el número de veces en que un usuario puede intentar entrar
  • Bloquear temporalmente a los usuarios que excedan el número especificado de atentos de ingreso permitidos

Referencias

Techopedia

Tarjeta Castellanos

Banner De todo un Poco (1) 600 px

Seguridad Web en la nube

La virtualización de servicios de cómputo ofrece al gerente una nueva perspectiva para organizar y explotar los recursos de procesamiento de datos (PD) como herramientas para mejorar la competitividad de su empresa. El reto es como convertir esta posibilidad tecnológica en un concepto de PD que permita captar y mantener clientes, agilizar su respuesta ante los cambios en su entorno, reducir costos operativos y obtener el máximo provecho de la productividad de su gente. El análisis de oportunidades pasa por comprender el impacto en la empresa y su desempeño.

¿Qué genera, crea o posibilita esta tecnología?

cloud computingEl modelo de McLuhan es un marco por demás adecuado para desentrañar el significado práctico de esta tecnología para cualquier gerente; sin embargo debe acotarse que la respuesta depende del negocio, de su cultura decisional, de su posición en su mercado, de cómo se compara con sus competidores y de cuánto se apoya en las TI.

La virtualización de los espacios de negocios, apunta hacia la reducción de costos por inversiones de capital y costos operativos, derivados directamente de poder agenciar recursos de terceros y aprovechar la consecuente capacidad ociosa en el recurso propio. La reducción de necesidades de espacios físicos para hacer negocios, la disminución del esfuerzo humano para contactar clientes potenciales y el ofrecimiento de una forma de comunicación ágil y prácticamente ubicua a clientes potenciales y la comunicación permanente con los clientes actuales permite mejores y menos costosas posibilidades de captura y mantenimiento de la clientela

La virtualización de procesos básicos de TI, tiene impacto directo en la productividad de las personas y en la capacidad de reacción de la organización ante cambios en su entorno. La accesibilidad permanente a la información y la posibilidad de compartir el momento permite decisiones mejor informadas y oportunas a los cuerpos gerenciales. La potenciación del trabajo en grupo y la facilidad que brindan los espacios virtuales de trabajo permiten agilidad en el desempeño del cuerpo laboral, así como la reducción de tiempos de respuesta ante requerimientos de los clientes. La colaboración es palanca principal en la sinergia de los grupos de trabajo con el consecuente impacto en la productividad. Finalmente, en esta breve relación, está el mejor aprovechamiento de los recursos de TI propios de la empresa, al especializarlos en aspectos que no se desee o no convenga manejarlos a través de la nube.

¿Qué obsolesce?

herramientas nubeEl tema que más preocupa es la obsolescencia de los sistemas de seguridad, al menos de la concepción que la empresa tiene de la salvaguarda de la información antes de la implantación de estas tecnologías.

En primer lugar, y por más que los proveedores pontifiquen sobre la seguridad del espacio virtual, el gerente debe considerar dos aspectos; el primero es que está entregando su información a un tercero y como consecuencia de ello pierde o cede control sobre la salvaguarda de confidencialidad de la misma; lleva inmediatamente a preguntarse sobre cuán segura puede estar la información vital para el desempeño y supervivencia del negocio de intrusiones indeseables. Las medidas tradicionales como las claves de acceso deben ser reevaluadas, deben incorporarse tanto de parte de los usuarios como de los proveedores del servicio mecanismos de segregación por características de usuario y permisología asociada, que actualmente o no existen o son precarios. Debe ofrecerse las facilidades de encriptación de la data alojada en los recursos compartidos y deben incorporarse mecanismos de auditoría de tráfico, de accesos y de uso de la data para detectar y prevenir acciones no autorizadas o fraudulentas.

En segundo lugar debe considerarse un mecanismo de evaluación de riesgos que incorpore por una parte, el uso de estos recursos para tareas de salvamento y recuperación (lo obvio) y por otro lado las consecuencias principalmente legales derivadas del uso no autorizado de la información almacenada en el recurso virtual. Este último asunto es crítico, puesto que la empresa dueña de la información es responsable de su custodia, uso y acceso, y la legislación actual no comprende aún este tipo de circunstancias tecnológicas. Los acuerdos de niveles y condiciones de servicio son aspectos que deben ser bien evaluados por la empresa antes de entregar información crítica bajo esta modalidad de servicio virtual.

Finalmente (esta lista no es exhaustiva) debe evaluarse, desde el punto de vista de la seguridad (al igual que se haya hecho con el operativo) cuál información residirá en la nube, y cuál debe mantenerse bajo control de los medios propios de TI, cuáles procesos habrán de virtualizarse, y de ser procedente cuales irán a la nube privada o híbrida, si es el caso, y cuáles a la nube pública. Los criterios para esta discriminación serán siempre, criticidad de la información, vulnerabilidad ante las amenazas previsibles, impacto de la mitigación y remediación, facilidades de acceso deseables, requeridas y brindadas a los clientes, amén de cualesquiera otras que se deriven de la naturaleza del negocio y de los servicios que se usen.


 

Tarjeta Carneiro

Banner De todo un Poco (1) 600 px

Implementos de Seguridad

implementos seguridad

El computador ha venido sufriendo grandes cambios desde el equipo que ocupaba toda una habitación hasta llegar al que solo toma espacio en un escritorio, las computadoras son utilizadas no sólo en oficinas, sino también en los quirófanos de un hospital, en un café, en cualquier lugar; hoy día es muy común ver un computador.

A comienzos de los años 90, en EE.UU, el Media Laboratory del Instituto Tecnológico de Massachusetts, trabaja en lo que hoy en día se conoce como la tecnología vestible o wearable (término utilizado en el idioma inglés para referirse a esta tecnología), a diferencia de los equipos portátiles como por ejemplo una laptop, es que esta no se lleva guardada dentro de un maletín, saco o bolsillo, sino que es una microcomputadora que se lleva puesta y está encendida de manera permanente.

Siguiendo el mismo orden de ideas, la tecnología vestible se vuelve parte de uno, ya que se lleva puesta siempre, esta tecnología va a permitir ampliar los sentidos de las personas, porque van a permitir observar y escuchar de una mejor manera, permitirá ampliar también nuestra propia memoria, hasta dar la información exacta del lugar en donde estemos.

También a este tipo de tecnología son agregadas computadoras muy pequeñas, monitores para video, micrófonos, sensores y cámaras a los accesorios que comúnmente utilizamos el día a día como por ejemplo, un reloj, los lentes, la ropa, zapatos, entre otros. Hoy en día ya existen relojes con monitores médicos, lentes con pantallas de computadoras empotradas que sólo la persona que las usa puede ver, relojes con sistemas computacionales, chalecos, cinturones, hasta equipos de seguridad que resguardan a las personas que son expuestas a distintos riesgos en el trabajo del día a día.

Ahora bien, la seguridad de los trabajadores va a aumentar gracias a la tecnología vestible, en la actualidad existen cascos de bomberos que monitorean los niveles de oxígeno y la temperatura que puede soportar el bombero durante su trabajo extinguiendo incendios, estos cascos también llevan incorporados un localizador GPS el cual permite conocer en cualquier momento el punto exacto de donde está ubicado.

Es importante mencionar que las organizaciones de seguridad pública, incluyendo la policía y oficiales de seguridad, podrían también darse cuenta del tremendo valor de la tecnología vestible, de acuerdo a Gownder de Forrester. Recientemente, Google resaltó a un bombero de Nueva Jersey quien está desarrollando una app para permitirle a él y sus compañeros ver planos de un edificio en llamas antes de entrar.

Por otra parte Motorola Solutions, está ofreciendo un conjunto de gadgets como tecnología vestible, estos están diseñados para ser utilizados por los oficiales de seguridad pública. Hay gafas inteligentes que muestran notificaciones importantes y asegura que los oficiales las vean tan pronto como sea posible; las cámaras para vestir que pueden capturar todo lo que un oficial ve y oye mientras está en sus labores, incluyendo detalles que de otra manera se perderían en el rápido desarrollo de las situaciones; bandas biométricas para monitorear los signos vitales en ambientes de alta presión o peligro; y sensores de fundas de pistola que envían alertas a los centros de comando cuando la funda es desbloqueada.

Para finalizar, la tecnología avanza y este nuevo concepto de tecnología trae la ventaja de que los computadores nos puedan acompañar a todas partes, el futuro está cerca y se va a poder observar desde los teléfonos móviles implantados en las orejas de las personas, hasta un robot que facilite las labores que necesitaban de grandes esfuerzos, el cuerpo del ser humano tendrá sensores que permitirá verificar los datos sobre el estado físico y la salud, la tecnología vestible ha llegado y las personas harán uso de ella.


Referencias

Consultados el día 23 de octubre de 2014 de la WWW:

Rocha Roberto

Banner De todo un Poco (1) 600 px

A %d blogueros les gusta esto: