‘ Documentos ’ category archive

ISO 27001: "los controles" (parte II)

Febrero 07, 07 by admin

Alejandro Corletti nos envió hace semanas (y pido mil perdones por no poder ponerlo antes) la segunda parte de la documentación que está elaborando sobre ISO 27001, concretamente titulado ISO 27001: los controles (parte II)

Durante este texto se tratarán de resumir los aspectos fundamentales que cubren el resto de los controles, para poder obtener como resultado una visión completa de lo que debe ser considerado en cualquier organización que desee preparar e implementar un verdadero Sistema de Gestión de la Seguridad de la Información (SGSI), y de esta forma preparar el camino para una certificación en el estándar ISO 27001, que como ya se mencionó en los artículos anteriores, se aprecia, será uno de los pilares fundamentales para definir la “Calidad” con que se adoptan y gestionan acciones y medidas de seguridad sobre los recursos de una empresa.

Si aún no habeis leido la primera parte, os recomendamos empezar por ella. Agradecemos enormemente a Alejandro por su colaboración.

ISO 27001: "los controles" (parte I)

Octubre 30, 06 by admin

Alejandro Corletti Estrada nos envía un nuevo documento titulado ISO 27001: “los controles” (parte I), sobre ISO 27001. En un artículo anterior a este, denominado “Análisis de la ISO 27001:2005″, se desarrollaron los conceptos generales de este nuevo estándar de seguridad de la información. Se describió su origen y posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. Este nuevo documento es la continuación del análisis de la norma ISO-27001. Para facilitar su lectura y que no sea tan extenso, se presentará en dos partes. En la presente (Parte I), se desarrollarán los primeros cinco grupos de controles, dejando los seis restantes para la parte II del mismo.

Agradecemos a Alejandro la realización de este documento y la disponibilidad para todos nuestros usuarios.

Jornada de Seguridad de Sistemas de Información según ISO 27001 celebrada en Málaga

Julio 04, 06 by admin

El pasado jueves se celebró en el Palacio de Ferias y Congresos de Málaga, la Primera Jornada de Seguridad de la Información. El evento estuvo enfocado a la implantación de Sistemas de Gestión de Seguridad de la Información según la Norma Internacional ISO 27001 estando compuesta la agenda por cinco ponencias que trataron variedad de temas relacionados con la implantación de este tipo de sistemas, las cuales pueden encontrarse para su descarga en formato PDF.

Es interesante la conclusión fundamental del foro celebrado que fue que las empresas necesitan organizar sus prácticas actuales relativas a la Seguridad de la Información para intentar mejorar las mismas de forma continua conforme evoluciona el complicado entorno que las rodea. Los activos de información son factor vital para la continuidad de los negocios, y éstos deben ser debidamente protegidos según unos criterios adecuados. Los presupuestos actuales asignados a la Seguridad, deben gestionarse mejor y alinearse con la importancia de los riesgos a los que se ven sometidos dichos activos. Todo ello por la perdurabilidad de nuestras empresas en términos de competitividad y existencia.

Agradecemos a José M. Fernández la información enviada, siendo sin duda de gran utilidad cualquier información aportada sobre esta normativa de seguridad que se encuentra en constante crecimiento.

(In)secure Magazine 1.6

Abril 04, 06 by admin

Recientemente ha sido publicado un nuevo número de la reviste (In)secure. Este número (tipificado como 1.6, correspondiente a Marzo de 2.006) trata diversos temas sobre seguridad, entre los que destacamos:

Buenas prácticas en la protección de bases de datos empresariales.
Seguridad para websites - rompiendo sesiones para acceder a un servidor
Seguridad en Apache - denegaciones de servicio
Seguridad en PHP + SQL a día de hoy
War-driving en Alemania

La revista la podéis descargar gratuitamente en el sitio oficial. La única “pega” es encontrarse en inglés, especialmente para los que no sean muy familiares con la lengua de Shakespeare. Sería muy interesante poder encontrar esta revista traducida al castellano.

Análisis de ISO-27001

Marzo 30, 06 by admin

Alejandro Corletti Estrada nos vuelve a enviar un nuevo documento. En esta ocasión, se trata de “Análisis de ISO-27001“, un interesante y necesario trabajo que puede ser considerado muy seriamente por el ámbito empresarial, pues es un estándar que se va a comenzar a imponer en un corto plazo de tiempo, siendo la continuidad natural del ISO-17799.

[…] “la sensación que deja el análisis de esta norma, es que se está gestando con toda rigurosidad este hecho, y que como cualquier otra certificación ISO, este estándar internacional ha sido desarrollado (por primera vez con relación a la seguridad, a juicio de este autor) con toda la fuerza y detalle que hacía falta para empezar a presionar al ámbito empresarial sobre su aplicación. Es decir, se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, lo cual es lógico, pues si se desea interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc. entre diferentes organizaciones, se deben exigir mutuamente niveles concretos y adecuados de seguridad informática, sino se abren brechas de seguridad entre sí…………este estándar apunta a poder exigir dichos niveles; y ya no puede caber duda que las empresas, para competir con sus productos (sean de la índole que fueren) en este mercado cibernético actual, tienen cada vez más necesidad de interrelacionar sus infraestructuras de información…..ISO-27001 en este sentido es una muy buena y sólida opción”  […]

El documento consta de 12 páginas y lo podéis encontrar como siempre en nuestra sección de Documentos de Seguridad. Agradecemos el envío a Alejandro.

Auditoría, evaluación, test de seguridad: metodología abierta ¿OSSTMM….?

Febrero 21, 06 by admin

Este es el título de un interesante documento sobre auditorías de seguridad que publicamos, escrito por Alejandro Corletti Estrada. El documento consta de 9 páginas, en las que desarrolla una temática bastante común para todas aquellas personas/empresas que precisan realizar una evaluación del nivel de seguridad de sus recursos, datos, accesos, etc…

auditoriaEn el documento, se tratan algunos aspectos dicha necesidad, con la propia auditoría:

- Lo que el cliente verdaderamente necesita.
- Cómo se puede clasificar lo que habitualmente se engloba bajo “Auditorías de seguridad”.
- Si es posible respetar algún método que permita repetir esta tarea y obtener índices de evolución.

El objetivo del documento no es crear un patrón a seguir, sino establecer unas ciertas pautas que se deben plantear a la hora de llevar a cabo una auditoría de seguridad. Como metodología, opta por OSSTMM (Open-Source Security Methodology Manual) a modo orientativo, siendo válida cualquier otra metodología.

Agradecemos a Alejandro Corletti este nuevo documento, y esperamos que resulte de interés y utilidad.

(IN)SECURE 1.4

Octubre 30, 05 by admin

Acaba de ser publicado el último número de la revista (IN)SECURE; magazine gratuito sobre seguridad informática disponible en pdf para poder imprimirlo y leerlo con más comodidad, entre los artículos de este número podemos encontrar:

  • Structured traffic analysis
  • Access Control Lists in Tiger and Tiger Server - true permission management
  • Automating I.T. security audits
  • Biometric security
  • PDA attacks, part 2: airborne viruses - evolution of the latest threats
  • Build a custom firewall computer
  • Lock down your kernel with grsecurity
  • Interview with Sergey Ryzhikov, director of Bitrix
  • Best practices for database encryption solutions

Bájatela

Cómo montar un completo sistema de monitorización remota con avisos por móvil

Octubre 28, 05 by admin

Laura Celdran nos envía otro artículo sobre la monitorización remota de servidores, usando Gnokii + Modem GSM (en el ejemplo, un Siemens mc35i) + Nagios. En muchas organizaciones se usa el proyecto Nagios como sistema de gestión de alarmas / envío de alertasde código abierto para Linux. Pues bien Nagios ademas de su propia monitorización web también admite ser configurado para enviar mensajes a correos electrónicos cuando se cae (o cualquier otro nivel de criticidad definido) un equipo o cualquier otro tipo de tarea que se nos ocurra siempre que sea definido en su archivo de configuración de comandos: misccommands.cfg. En nuestro caso cuando un equipo se cae nos llama al móvil (para que lo oigamos bien) y nos envía un sms con el equipo caído… para esto hemos conectado por serial al equipo un modem GSM.

En este caso se hubo de añadir las siguientes definiciones en el archivo:
define command{
command_name notificar-por-wavecon
command_line /opt/nagios-com/notificar.sh “Host ‘$HOSTALIAS$’ is $HOSTSTATE$
Info: $OUTPUT$
Time: $DATETIME$” XXXX
}

, donde XXXX es el número de teléfono de guardias y el script notificar.sh es solo una llamada a gnokii para que ejecute las tareas definidas:

#!/usr/bin/ksh
TEXTO=$1
if [ $# -lt 2 ] ; then
TELEFONO=”XXXX”
else
TELEFONO=$2
fi
echo notificar por SMS el texto $TEXTO al telefono $TELEFONO
/usr/bin/gnokii –sendsms $TELEFONO <$TEXTO
END
/usr/bin/gnokii –dialvoice $TELEFONO

Además, para que se ejecute este comando definido, hay que indicar en el contacto guardias que este contacto será notificado además por este método

define contact{
contact_name guardias
alias Nagios Admin
service_notification_period 24×7
host_notification_period 24×7
service_notification_options w,u,c,r
host_notification_options d,u,r
service_notification_commands notify-by-epager,notificar-por-wavecon
host_notification_commands host-notify-by-epager,notificar-por-wavecon
email yy@listas.yyy.es,yy@movistar.com
pager pagenagios-admin@localhost.localdomain
}

Y al grupo de contactos guardias le asignamos el contacto guardias.

define contactgroup{
contactgroup_name guardias
alias administradores de la RCC
members guardias
}

Finalmente, se indica en los grupos de hosts que van a utilizar esta vía de notificación que van a utilizar el grupo de contactos guardias para su notificación, por ejemplo:

define hostgroup{
hostgroup_name ASA
alias ASA
contact_groups gecom,guardias
members “los que sean”
}

Nota: para que Gnokii se entendiera con el model hubo de especificar en el archivo de configuración (/etc/gnokiirc): model=AT, puesto que es un modelo que soporta comandos AT.

Hacking Network Printers

Septiembre 15, 05 by admin

Hoy nos han enviado un curioso documento sobre cómo “hackear” (tomándolo en el sentido de “aprender por curiosidad”) impresoras en red, desde entrar en su pagina web de configuracion usando los passwords por defecto, hasta cambiar el texto que aparece en el LED de la impresora, o cómo usar un sniffer para capturas los trabajos que se envían por la red e imprimirlos nosotros.

Al menos el documento les puede servir a muchos para conocer técnicas para monitorización en red o trastear un rato con su impresora.

Nota: el texto está en la lengua de Shakespeare, y como siempre digo, si alguien se anima a traducir algo y enviárnoslo lo publicaremos.

Curso de seguridad TCP/IP

Agosto 25, 05 by admin

Xavier Vila, colaborador de Shell Security, ha tenido la amabilidad de enviarnos un curso de seguridad en TCP/IP usando un formato esquemático (una presentación en Powerpoint) que consta de cuatro volúmenes, desde la iniciación al protocolo TCP, su funcionamiento, estructura … hasta concluir abarcando los problemas y deficiencias de seguridad más comunes en este protocolo

Los cuatro volúmenes los podeis encontrar en nuestra sección de documentos:

  1. Curso TCP/IP Vol 1: Tecnologías de redes LAN
  2. Curso TCP/IP Vol 2: El entorno TCP/IP
  3. Curso TCP/IP Vol 3: Redes IP
  4. Curso TCP/IP Vol 4: Deficiencias de seguridad en las tecnologías de comunicaciones

Este curso puede ser usado para una exposición en grupo, ya que el formato permite usarlo junto con un proyector.

Agradecemos a Xavier su colaboración