"Hago lo que sé de la mejor manera de la que soy capaz y pretendo continuar haciéndolo así hasta el final"

[ Abraham Lincoln - Político y Presidente de EE.UU. - 1809-1865 ]


Boletín 112 - Segu-Info cumple 6 años - 17/05/2008



1. Segu-Info cumple 6 años
2. XSS en medios de comunicación
3. Programa de Auditoria de IDS
4. Implementación práctica de Seguridad en PYMES
5. Noticias de esta semana
6. Desafío de la semana



1. Segu-Info cumple 6 años


En estos 6 años, mucho a sucedido y todo tiene que ver con el empuje, las ganas y el orgullo de desarrollar un proyecto desde la nada, para que el mismo se vea reflejado en la sociedad y la comunidad.

La misma comunidad que a través del sitio, del Boletín, de los Foros y del Blog hoy suman más de 7000 miembros desde usuarios finales hasta CIOs de importantes organizaciones internaciones, todos con el mismo interés de hacer de la Seguridad de la Información un trabajo en serio.

La fecha de este cumpleaños también es importante porque hoy se celebra el Día de Internet en distintos lugares del mundo y esta fecha que "debería" representar el acortamiento de la brecha digital y no un negocio de unos pocos que olvidan a los usuarios, es la bandera que enarbolamos desde Segu-Info.

¡FELIZ CUMPLEAÑOS a Uds también porque esta fiesta es de todos!

Significado del Color Naranja, el nuestro:

  1. El naranja combina la energía del rojo con la felicidad del amarillo. Se le asocia a la alegría, el sol brillante y el trópico
  2. Representa el entusiasmo, la felicidad, la atracción, la creatividad, la determinación, el éxito, el ánimo y el estímulo
  3. Es un color muy caliente, por lo que produce sensación de calor Sin embargo, el naranja no es un color agresivo como el rojo
  4. La visión del color naranja produce la sensación de mayor aporte de oxígeno al cerebro, produciendo un efecto vigorizante y de estimulación de la actividad mental
  5. Es un color que encaja muy bien con la gente joven, por lo que es muy recomendable para comunicar con ellos
    Es el color de la caída de la hoja y de la cosecha
  6. En heráldica el naranja representa la fortaleza y la resistencia
  7. El color naranja tiene una visibilidad muy alta, por lo que es muy útil para captar atención y subrayar los aspectos más destacables de una página web
  8. Color cítrico, se asocia a la alimentación sana y al estímulo del apetito.
  9. Es muy adecuado para promocionar productos alimenticios y juguetes
  10. El naranja rojizo evoca deseo, pasión sexual, placer, dominio, deseo de acción y agresividad

Sí, nosotros los cumplimos a todos... bueno, quizás el 9 y 10 un poco menos que el resto.



2.XSS en medios de comunicación


El presente artículo ha sido desarrollado por Daniel Medianero, Consultor de seguridad informática y aficionado a los sistemas operativos en general y a Slackware Linux en particular.

Daniel puede ser encontrado en su sitio web.

Las vulnerabilidades por Cross Site Scripting (XSS) son importantes. Sucede sin embargo que en muchos foros estos fallos son menospreciados e infravalorados. Hay muchas maneras de aprovecharse de este tipo de vulnerabilidades:
deface, robo de cookies, ejecución de código, etc.

En este documento vamos a centrarnos en una nueva posibilidad a explotar que apenas ha sido comentada hasta la fecha. Se trata de aprovechar este tipo de vulnerabilidades en medios informativos y montar una infraestructura necesaria para publicar noticias falsas aparentemente ciertas y difundirlas con velocidad para sacar partido de las mismas obteniendo un beneficio económico a través de la venta de acciones en bolsa.

El documento puede descargarse desde aquí.


Gracias Daniel !



3. Programa de Auditoria de IDS


El presente programa ha sido desarrollado por una entidad privada y entregada a Segu-Info en forma exclusiva para su publicación.

Este programa analiza cada uno de los puntos a considerar a la hora de desarrollar una auditoria sobre la detección de intrusos.

Es una recopilación de varias practicas recomendadas como OSSTMM, COBIT e ISACA y además de lo específico de su desarrollo, también recopila un completo Glosario al final del mismo.

El documento puede ser descargado de nuestra sección de Terceros:
http://www.segu-info.com.ar/terceros/?titulo=auditoria

Este documento es una complemento perfecto al artículo publicado en nuestro Boletín 105, sobre detección de intrusos.


Gracias S. por este completo Programa !



4.Implementación práctica de Seguridad en PYMES

Este artículo ha sido desarrollado por Mauro Graziosi, Director de KOLOSSUS [1] y trata de la experiencia en la implementación de seguridad informática en PYMES, con foco en IS2ME [2].

Conocí el método IS2ME y me fué muy útil al principio para una cátedra que dicté en la Universidad Tecnológica Nacional, Facultad Regional San Francisco llamada "Seguridad de la Información" [3], como empresa hemos tomado IS2ME también para aplicar en nuestros clientes y nos ha servido como referencia para hacer algunos subproductos de la misma que podrían servirle de complemento.

La mayor utilidad encontrada es la simplicidad y el enfoque de la misma, esto se debe principalmente a que en mi cuidad las empresas no son multinacionales, al contrario, son casi todas empresas medianas o chicas, por lo que IS2ME se adapta mucho mejor que la familia de la ISO/IEC 27000. No digo que la ISO/IEC 27000 no sirva, al contrario se complementan: IS2ME es para la seguridad informática como lo es "Higiene y Seguridad" en la empresa (de rápido impacto y efectos notables) mientras que la ISO/IEC 27000 es como el "programa de Calidad" (proyectos que duran entre 1 y 2 años basados en la norma ISO 9000).

Los autores [4] Samuel Linares e Ignacio Paredes nos han contactado para conocer nuestra opinión y también se encuentran abiertos a recibir propuestas de mejoras ya que la misma es libre y gratuita y eso habla mucho sobre la predisposición de los mismos.

Sobre el método en sí (tomado del sitio oficial):

"De forma general, IS2ME comienza evaluando la seguridad de la organización mediante la recolección de información a través de entrevistas con personal de la organización, realización de pruebas de campo y análisis técnicos, para a continuación, presentado un informe del estado de implantación de las distintas medidas de seguridad técnicas y organizativas, pasar a la elaboración y propuesta de un plan de acción que, tras ser aprobado por la alta dirección, se procederá a su desarrollo e implementación, sentando la base y comenzando el camino hacia el cumplimiento e implantación del Sistema de Gestión de la Seguridad de la Información seg 27001.

En la elaboración de IS2ME se ha pretendido seguir un enfoque holístico y extremadamente práctico que permita al usuario del mismo una aplicación sencilla e inmediata mediante el seguimiento de unas fases secuenciales bien diferenciadas que son mostradas en la siguiente figura y se describen en detalle a continuación."


Etapas del método

Adjunto aquí algunos de los comentarios sobre el método que he realizado. Es recomendable leer IS2ME para entender los siguientes puntos:


Observaciones generales


Al estar en el interior del país, más allá del tamaño de la empresa lo que cambia es la actitud que tienen hacia la tecnología en general, casi siempre se encuentran en estados de madurez bastante iniciales, por lo que muchas veces se apunta a mejorar la infraestructura básica (problemas con el cableado, con los puestos, con los recursos compartidos, etc.) y luego se puede pensar en aspectos más relacionados a la seguridad informática en sí.

Al método le faltan algunas plantillas para complementar, nosotros estamos desarrollando eso y los autores también, cuando eso esté listo entonces con eso va a ser una referencia completa.

El método IS2ME es, en la práctica, lo mismo que hacíamos nosotros antes de conocerlo ya que está basado totalmente en la experiencia práctica. Lo interesante es poder usar este método, poder hacer referencia al mismo y también es muy útil para organizarse.

[1] Kolossus
http://www.kolossus.com.ar/

[2] IS2ME
http://www.is2me.org/

[3] Cátedra "Seguridad de la Información"
http://msi.wikispaces.com

[4] Autores IS2ME
http://www.is2me.org/autores.html


Nota de Segu-Info: Los artículos reflejan la opinión del autor y Segu-Info es ajeno y puede o no coincidir con las mismas.


Gracias Mauro !



5. Noticias de esta semana


Estas noticias pueden ser consultadas directamente desde nuestro sitio web.

Además puede realizar comentarios a cada noticia.

También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en nuestro sitio en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)".

Ud. recibirá un resumen diario de todas las noticias publicadas por Segu-Info y que tienen importancia en Seguridad de la Información y temas relacionados.

Si desea enterarse de cada noticia publicada por Segu-Info también le recomendamos suscribirse a nuestro Feed.



6. Desafío de la semana

Solución al desafío del Boletín anterior:
No, no tarda 3 horas: si uno de los dos pintores trabajando solo tarda 2 horas, es imposible que los 2 tarden más tiempo.

Existen diversas maneras de calcular la solución pero sólo diré que por regla de 3 simple se llega a 1 hora 20 minutos (1,33 hs)

A en 4 horas pinta 1 hab. --> 1 hora pinta 0,25 hab.

B en 2 horas pinta 1 hab. --> 1 hora pinta 0,50 hab.

A + B en 1 hora pintan 0,75 hab. con lo cual pintan 1 hab. en:

1 hab. x 1 hora / 0,75 hab. = 1,33 (1 hora y 20 min.)


Respondieron correctamente:

[email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]


Desafío de esta semana:
¿Cuántos cumpleaños celebra, por término medio, una persona en su vida?



Actualidad

Virus-Antivirus