Portal de Seguridad

Archive for Octubre, 2009

Las compañías de seguridad alertan: como otras grandes fechas, el número de malware específico para la festividad de los muertos.

En Navidades, en Carnaval, en verano… Los cibercriminales no descansan. Las grandes fechas y las vacaciones son una oportunidad de oro para enviar mensajes gancho que redireccionen a los internautas hacia una infección garantizada.

Las grandes empresas de seguridad han lanzado ya una alerta a los ciudadanos: mucho cuidado con los mensajes que se abren y con los links que se visitan porque detrás de ellos puede haber mucho más que truco y trato. Puede haber un susto de muerte para la seguridad del equipo.

De hecho, Panda Security, a través de su The Cloud Security Company, ya he descubierto como los cibercriminales se han aprovechado de la palabra Halloween y de las crecientes búsquedas relacionadas con esta temática para posicionar mejor en los motores de búsqueda páginas que direccionan a contenidos maliciosos.

Entre los primeros resultados de búsqueda, alertan, se encuentran portales que recomiendan la instalación de antivirus que, en realidad, no son tal. Los antivirus de pega son la última moda en la industria del mal.

“Ahora que las noches empiezan a ser más largas y frías, muchos individuos pasarán el próximo fin de semana en casa, y la noche de Halloween es una ocasión perfecta para ‘asustar’ a los hackers que pudiesen tener tomado su equipo, a través de un escaneo del sistema en busca de amenazas”, explica el  Consultor de Tecnología de Sophos, Graham Cluley.

Sophos ha aprovechado la festividad para convocar el que ha bautizado como Kill Zombie-A-Day: una campaña que arrancará el próximo 31 y que quiere empujar a los usuarios a plantar cara a los cibercriminales. ¿Cómo? Limpiando el equipo de amenazas y eliminando cualquier posibilidad de devenir un equipo zombie.

El cibermalo tendrá que elegir… ¿Truco o trato?

Fuente: Siliconnews.es

www.segu-info.com.ar

En Moviéndonos hemos hablado de multiples formas de mejorar nuestra productividad, casi todas relacionadas con nuestra forma de trabajar, ya sea como, cuando o con que lo hagamos. Un tema del que no hemos hablado demasiado es de como hacer productivo el trabajo cuando no depende de nosotros. Este tipo de trabajo esta más relacionado con una persona en un puesto con algún tipo de responsabilidad como un jefe de algún tipo de departamento (por grande o pequeño que este sea).

Del mismo modo todos aunque no tengamos personas a nuestro cargo, tenemos tareas que no pueden desempeñarse sin la ayuda de terceros. En estos casos algo muy útil y en ocasiones imprescindible es el “delegar”. Muchas veces tendemos a tratar de abarcar todo el trabajo por nuestra cuenta. No nos damos cuenta que en ocasiones lo mejor es dejar la parte del trabajo que a nosotros nos cuesta más a otros y nosotros hacer aquello en lo que estamos más especializados, de esta forma estamos “productivizando” el tiempo global de todos.

Os pongo un ejemplo muy sencillo que se todo mucho más claro así: supongamos que somos traductores de una empresa dedicada a esto mismo. Tenemos que realizar un trabajo que consiste en la traducción de un manual de instrucciones y este material publicarlo en una página web. Supongamos que nunca hemos hecho la tarea de subir algo a una web y es una tarea que no vamos a volver a realizar y además requiere que consigamos una serie de usuarios y contraseñas, así como pedir al departamento de informática que nos proporcionen e instalen el software necesario para ello. Esto hace que el proceso que normalmente se tardaría minutos se realice en días. Si esta tarea vas a realizarla a posteriore infinidad de veces más esa semana “perdida” esta justificada, pero si no, ¿no sería mucho más fácil mandar un mail con la traducción al departamente de informático y que lo suban ellos?

Como esta situación se os ocurrirán miles de situaciones en vuestro trabajo en las cuales la vida de todos sería mucho más fácil delegando. Sin embargo hay que seguir un criterior a la hora de delegar y como hacerlo, bajo mi punto de vista estos son los puntos que deberíais tener en cuenta:

• Delegar no es tirar balones fuera. Es decir si nos llega un marrón que no sabemos o no nos apetece hacerlo, el pasarle la patata caliente a otro no es delegar ni mucho menos. Así que antes de delegar cualquier cosa preguntaos sinceramente si estáis tirando balones fuera, si dudais es que seguramente lo estéis haciendo.
• Elegir correctamente a quien delegar. Cuando decidimos que no somos los más indicados para realizar una tarea debemos pensar cuidadosamente en quien es la persona o el equipo que si lo es. De nada sirve si ese grupo según lo reciba vea que no es algo que dependa de ellos y también lo deleguen, esta tarea tendría todas las papeletas de acabar perdida en el limbo de las tareas olvidadas.
• Elige bien como delegarla. Con esto me refiero a que medio hacerlo, ¿a través del teléfono? ¿del email? ¿esperamos a encontrarnos con esa persona? Para responder a esto no existe una fórmula concreta si no que tenemos que pensar la forma más adecuada. Por ejemplo si es algo urgente probablemente el teléfono sea mejor que el email, aunque si requiere que adjuntemos información quizá lo mejor sea mandar un email y si vamos a ver a esa persona en 10 minutos durante la comida lo mismo es mejor esperar y comentárselo cuando le veamos. De cualquier modo piensa lo que tienes que delegar y a quien y seguramente ya tengas en mente la mejor forma de delegarselo.
• La forma de como hacerlo también es importante. Al delegar una tarea la persona que lo recibe puede percibirlo positivamente o negativamente. Una percepción negativa sería por ejemplo que tu le estas cargando con una tarea que no quieres hacer y una positiva es que el trabajo le llega por el flujo adecuado. Para ello es importante hacer ver que crees que esa tarea es mejor que la desempeñé él y que en caso de que no lo crea así o que haya otro grupo mejor para hacerlo que se la pase a ellos directamente o si no que te mande la tarea de vuelta a ti.

Os habréis dado cuenta de que en muchos de estos casos hablo de “la tarea” como si se tratase de algo físico, una especia de testigo que se pudiera pasar de uno a otro y es que en cierta forma es así. No obstante es complicado seguirle la pista al testigo, sobre todo porque seguramente cada uno tengamos un montón de testigos que controlar (es decir un montón de tareas). Para nuestra gestión de tareas ya hemos hablado de los métodos GTD o ZTD, pero para trabajar en grupo prácticamente todas las empresas actuales trabajan con el sistema de tickets.

El sistema de tickets se basa en la idea de que cualquier tarea que se necesite realizar generará un ticket, este ticket se le envía a la persona encargada de realizar esa tarea. Si esa persona puede realizarla la realiza. En caso de no poder hacerla se la envia a quien la pueda hacer o genera uno o más tickets con nuevas tareas y una vez estas se realizan la primera habrá quedado terminada. No obstante el tema da para un artículo en si que podréis leer mañana, la intención es que hoy nos haya quedado clara la importancia de delegar y como hacerlo correctamente.

Imágen | DeaPeaJay

Visto en :http://www.moviendonos.com/2009/10/30-mejorar-nuestra-productividad-delegando-tareas

Imaginemos esta situación, estás viajando en el AVE y recibes un correo en el que te dicen que hay que cambiar los datos de una presentación que se va a hacer antes de que llegues a tu destino. Únicamente tú puedes cambiarla porque tienes los datos, no dispones de tu ordenador portátil ¿qué hacer? Pues antes de perder la calma y comenzar a tirarnos de los pelos, lo mejor es sacar el teléfono del bolsillo y dar las gracias por la existencia de Documents to Go.

¿Qué es Documents To Go? Pues ni más ni menos que la aplicación móvil más útil para los que trabajamos con formatos de ofimática habitualmente. Es una aplicación que es capaz de abrir todo tipo de ficheros de ofimática. Con él podemos ser capaces de leer y editar documentos de word, tablas de Excel, presentaciones de Powerpoint y también, archivos PDF.

La aplicación está muy bien hecha, siendo intuitiva y sencilla de utilizar a la vez que potente. Actualmente está disponible para muchos teléfonos móviles, ya que lo podemos encontrar para el iPhone, BlackBerry, Palm y también para sistemas Android como la HTC Magic.

Documents to Go es de pago, pero actualmente tenemos dos formas de probar la aplicación sin tener que pasar por caja. Una es utilizando la versión de prueba de 30 días que nos proporcionan en su página web, y la otra es descargarse la versión ligera del programa, la cual es gratuita pero tiene un hándicap importante, solo nos permite leer los documentos y no incluye la lectura de PDF. Aún así, Documents to Go es tan indispensable si trabajas con documentos, que vale la pena pagar los 30 dólares que vale.

Más información | Dataviz

Visto en :http://www.moviendonos.com/2009/10/31-documents-to-go-ofimatica-en-tu-telefono

El cada vez más popular uso de las redes sociales en Internet está dejando a muchos equipos abiertos a los peligros de la Red sin que sus usuarios se den cuenta. Los ladrones están al acecho del robo de identidades.

Es lo que ha advertido el responsable de seguridad de People Security, Hugh Thompson durante la conferencia RSA Europe. Este especialista ha declarado que la gente no es consciente de cuántas pistas dejan a su paso por la Red que pueden ser utilizadas por los delincuentes. En su opinión, este tipo de comportamiento está impulsando el crecimiento del cibercrimen. En su conferencia, explicó cómo consiguió acceder a la cuenta bancaria de un amigo de su mujer en sólo un par de horas y utilizando datos disponibles públicamente. De este modo, quiso ilustrar cómo es fácil acceder a las cuentas privadas de la mayor parte de la gente.

Así, identificó tres modos en los que se pueden malversar datos públicos. Esto es, a través del uso directo, donde los datos públicos son transformados; y lo que él llama “pasaje de amplificación de datos”, donde la información pública se convierte en datos privados utilizando datos adicionales. “Por ejemplo, los estafadores utilizan los cuatro primeros números de una tarjeta de crédito para extraer el resto de números”. La tercera técnica utiliza la inteligencia colectiva y la correlaciona con información disponible públicamente.

Así las cosas, Thompson exhortó a los delegados a que lleven a cabo sus propias pruebas de higiene. “Dedique una hora en buscar su propio nombre en Google y compruebe qué información está disponible”. Además, explicó que la posibilidad de cambiar de contraseña en las cuentas de correo fue utilizada el año pasado por los ciberdelincuentes para acceder al correo electrónico Web de Sarah Palin, algo que consiguieron utilizando información disponible públicamente.

Por todo ello, explicó que los usuarios deberían ampliar sus medidas de seguridad y ampliar su responsabilidad para ayudar a reducir el cibercrimen. Por eso, cree que los consumidores deberían ir más allá a la hora de tomar medidas de seguridad y tener en cuenta la cantidad de información que sobre ellos van dejando por el ciberespacio.

Autor: Paula Bardera
Fuente: PC World.es

www.segu-info.com.ar

Se ha publicado la última encuesta a empresas sobre Threat Assessment de Novell. La verdad es que los resultados pueden ser peores,… pero poco más.

Fundamentalmente, los mayores riesgos se han identificado en el sector de la protección de la información en dispositivos fijos y móviles (siendo estos los que mayor exposición tienen).

• El 71% de las empresas no cifra los datos en los portátiles. En SbD hemos hablado largo y tendido de lo importante que es tener este tipo de medidas con los dispositivos móviles.

• El 73% no cifra unidades extraibles: discos USB y pendrives. Siempre me ha impresionado cuando he estado en algún cliente que he necesitado un pendrive para transferir en mano algún fichero. Aunque no quieras mirar lo que hay dentro, al insertarlo en un PC con windows, la configuración por defecto es que se muestre el contenido del “directorio raíz”. Una persona no honrada, podría copiarse montones de ficheros (posiblemente con alto porcentaje de documentos clasificados como confidenciales). Con lo sencillo que es llevar un contenedor cifrado y Truecrypt por ejemplo en el mismo dispositivo (sin cifrar) para poderlo montar en cualquier ordenador mediante acceso con contraseña.

• Un 72% no controlan las copias de datos a dispositivos extraibles y un 78% no hacen accounting de qué se copia a los pendrives. ¿Problemas de DLP?

• El 90 % de las empresas encuestadas reconocen que sus empleados acceden a redes wireless inseguras, de forma consciente, cuando están en hoteles, aeropuertos, bares o donde encuentran una red wireless. Aquí podemos ver dos problemas bastante importantes: Por un lado, el exponer de forma directa un PC a una red no conocida, no siempre correctamente bastionados, no siempre correctamente protegidos por cortafuegos de host, etc… (un 76% de la empresas no pueden asegurar la salud de los dispositivos móviles fuera de la empresa). El otro problema es el protocolo utilizado para intercambiar tráfico sensible a través de un canal inseguro. Por ejemplo, servidores de correo configurados para permitir recoger el correo por POP3 y envío por SMTP (sin VPNs como medida de protección). Sé positivamente de gente que provee hotspots para que la gente acceda de forma gratuita, pero tiene herramientas de sniffing para recoger contraseñas varias y sobre todo trastear con lo que la gente hace a través de su red sin cifrar. A día de hoy, con la competencia que hay entre operadores, el disponer de un dispositivo USB 3G (o a través de un enlace con el teléfono móvil) es una propuesta muy barata que proporciona un nivel de seguridad mayor que usar de forma gratuita la inocente red de un vecino….

• Entre un 65% y un 73% de las compañías no disponen de tecnologías NAC que puedan permitir detectar y/o prevenir el acceso a la red de dispositivos que no cumplan con una política de protección del puesto del usuario definidas por la organización: Antivirus, niveles de parches, IDS/IPS de host, etc,….

Autor: Lorenzo Martinez
Fuente: Security by Default

Visto en :http://blog.segu-info.com.ar/2009/10/analisis-de-los-resultados-de-la.html

A solo dos semanas de anunciar la compra de Starent Networks, parece que Cisco Systems todavía no ha terminado sus compras por lo que ha confirmado que adquirirá la totalidad de los activos de ScanSafe, una compañía privada de seguridad online.

Según lo informado, Cisco pagará cerca de 183 millones de dólares en efectivo e incentivos por la compañía, que esta localizada en Londres y San Francisco y se destaca por atender corporaciones globales y pequeños negocios.

Por el momento faltan confirmar algunos detalles, por lo que se espera que la compra sea completada en el segundo trimestre del año fiscal 2010 de Cisco.

Al confirmar la compra, Tom Gillis, VP de Cisco, dijo que con la adquisición de ScanSafe, Cisco da un nuevo paso en su misión de construir una arquitectura de seguridad que combina redes y servicios basados en clouds para mejorar la seguridad de sus clientes.

Con esta compra Cisco tendrá la posibilidad de ofrecerle a sus clientes la flexibilidad de elegir el modelo que mejor se adapte a su organización y ofrecer protección contra amenazas virtuales en cualquier lugar y en cualquier momento.

Esta compra no es una sorpresa, considerando que la seguridad online se ha convertido en un mercado muy interesante y lucrativo, que Cisco espera que crezca hasta los 2.3 mil millones de dólares en solo dos o tres años.

La unión de esta dos compañías permitirá fusionar la aplicación de seguridad IronPort de Cisco con el servicio de seguridad SaaS de ScanSafe, formando una combinación que incrementará el porfolio de seguridad de Cisco.

Sin dudas, Cisco ha sabido aprovechar la crisis económica, que redujo considerablemente los precios de las pequeñas compañías, y considerando el dinero que Cisco tiene en sus cuentas una inversión de este tipo por 183 millones es un gran negocio.

Este post ha sido publicado originalmente en TechTear.com- Blog Magazine de Tecnología, Internet y Negocios

Compártelo

Visto en :http://www.techtear.com/2009/10/28/cisco-systems-adquiere-scansafe/

Aquí, en Moviéndonos, somos unos obsesos de la seguridad. En multitud de ocasiones os hemos hablado de como proteger nuestros archivos de multitud de maneras para que no caigan en malas manos. Ahora, nuestros archivos están increíblemente asegurados gracias a nuestras precauciones pero ¿cómo están nuestras comunicaciones? ¿Puede cualquiera leer nuestros emails por ejemplo? Pues, aunque cueste creerlo, si ponen un poco de empeño sí, cualquiera con unos pocos conocimientos técnicos puede interceptar nuestros emails.

Pero no nos echemos las manos a la cabeza, internet y el software está lleno de recursos y para todo hay solución, y la que nos ocupa hoy es PGP. PGP significa Pretty Good Privacy (bonita y buena privacidad, traduciendo literalmente) y es un sistema de seguridad orientado hacia los correos electrónicos que nos permite una completa privacidad en los emails que enviamos y nos envían.

Pero sumerjámonos en el PGP ¿qué es y cómo funciona?
PGP en realidad no es un sistema de envío seguro de emails, sino un sistema de encriptación que lo que hace es codificar el contenido de nuestro email parta que nadie pueda leerlo excepto quien nosotros queramos. Se basa en un sistema de llaves muy lógico y sencillo; digamos que yo tengo un baúl con dos cerraduras donde llegan todos los emails codificados mediante PGP. Yo tengo una llave para una cerradura y la otra llave está copiada infinitamente la cual comparto públicamente con quien quiera. El baúl se puede cerrar con cualquiera de las dos llaves, pero únicamente se puede abrir con mi llave ¿el resultado? Que todos los emails dirigidos a mí y cerrados con la llave que he compartido con todo el mundo, únicamente se pueden ver abriendo el baúl con la llave que tengo yo y que es solo para mí.

Volviendo al tema técnico, una persona que me quiera enviar un email de forma segura tiene que codificar el email con el código público (llave PGP pública) que doy yo, y cuando lo reciba, únicamente se podrá decodificar con la llave privada que tengo en mi poder. Y cuando se dice únicamente, es únicamente, ya que pese a que los ordenadores son cada vez más potentes, romper una seguridad con llave PGP puede llevar años.

¿Y cómo crear una llave PGP y utilizarla en nuestros email? Eso es algo que veremos en la siguiente y última entrega de esta pequeña introducción a la seguridad con PGP.

Visto en : http://www.moviendonos.com/2009/10/26-presentando-el-pgp-para-enviar-emails-seguros

No es un secreto para nadie que una parte importante de los problemas de seguridad de los sistemas de información tiene su origen en defectos de las aplicaciones que éstos ejecutan. Tampoco lo es que estos defectos, que se manifiestan en forma de vulnerabilidades, se introducen en el software durante su proceso de desarrollo. Lo que a día de hoy no es algo aún suficientemente conocido, es la solución a este problema.

Históricamente, la industria del software ha funcionado usando una dinámica de liberar al mercado productos con un escaso nivel de madurez y se ha ocupado sobre la marcha de corregir los defectos que fueran apareciendo (véase el enfoque de Berkeley frente al del MIT en la entrada de Javier Vela al respecto, ¿Peor es mejor?). La situación actual es algo distinta ya que la capacidad del entorno de encontrar y explotar vulnerabilidades es muy elevada. Por tanto, liberar una aplicación al mercado, especialmente si está destinada a ofrecer servicios al público a través de Internet, sin haber tomado un mínimo de medidas para evitar la aparición de vulnerabilidades, es sin lugar a dudas una invitación al desastre.

La presión por cumplir con el calendario y el presupuesto de proyecto y la exigencia de los usuarios por disponer de nuevas funcionalidades, provocan con frecuencia que la seguridad no esté precisamente en la parte alta de la lista de prioridades de los equipos de desarrollo. Además, la eliminación de vulnerabilidades se suele entender como una tarea de la que alguien se encarga en la fase de testeo al final del ciclo de desarrollo, cuando la fase de programación ha concluido.

Sin embargo, el énfasis que desde distintas organizaciones se está haciendo por incorporar la seguridad al ciclo de desarrollo de software, así como iniciativas en esta línea de grandes corporaciones productoras de software, parece indicar que las tendencias están cambiando. Muchos pensamos hoy que todas las fases del proceso de desarrollo deberían compartir un objetivo: garantizar la seguridad del software.

A pesar de todo, es bastante común que en organizaciones que producen software, no exista ninguna incorporación formal de medidas de seguridad al ciclo de desarrollo. Los motivos son diversos: falta de presupuesto, de concienciación, de conocimiento… La realidad es que en la mayoría de los casos el software se valora fundamentalmente por la funcionalidad que implementa y la calidad del código raramente se considera; hasta que ocurre lo que nadie tuvo en cuenta…

La existencia de defectos de seguridad es hoy por hoy algo inevitable, sin embargo, la incorporación de una serie de medidas al proceso de desarrollo de software, permite reducir el riesgo a unos niveles aceptables.

Con este objetivo se puede actuar en distintos puntos del proceso aplicando cada medida en el momento adecuado:

Análisis de requisitos
Resolver problemas de seguridad en un sistema en producción suele ser un proceso muy costoso y en ocasiones, con un alto impacto en el negocio e incluso en la imagen de la organización que ofrece el producto o servicio. Por este motivo, es importante tener en cuenta los controles necesarios para evitar su aparición desde fases tempranas del proceso, considerando los requisitos de seguridad como parte del análisis junto con los requisitos funcionales.

Es importante además no olvidar la consideración de aspectos de conformidad legal que incluyan en el catálogo de requisitos las obligaciones introducidas por regulaciones como la LOPD o la SOX entre otras.

Diseño
El diseño debe considerar aspectos como la reducción al mínimo de la interfaz atacable, así como su protección mediante la introducción de patrones y soluciones adecuadas para evitar la aparición de vulnerabilidades conocidas. En este punto es referencia obligada alguna de las guías existentes (las recomendaciones de OWASP por ejemplo) que recogen las vulnerabilidades más frecuentes junto con medidas técnicas para evitar su aparición.

Análisis de riegos (Casos de abuso y Modelado de amenazas)
Es frecuente que los analistas especifiquen los requisitos describiendo el comportamiento de un sistema “cuando todo va bien”. Esto suele llevar a una visión funcional del sistema basada en la asunción de que no va a ser objeto de abusos intencionados. Nada más lejos de la realidad, si el sistema va a ser usado, con toda seguridad se abusará de él (voluntaria a involuntariamente). El modelado de amenazas se realiza para determinar si el diseño propuesto mitiga los riesgos identificados y permite a los diseñadores ponerse en el papel del atacante:

• ¿Qué partes del sistema son más fáciles de comprometer?
• ¿Cuál es el impacto?

De esta forma las amenazas se identifican y se priorizan. A continuación se comprueba si la amenaza se mitiga mediante la implantación de un control. Si esto no es posible, se cambia el diseño o se asume el riesgo (idealmente, en función del risk appetite definido formalmente por la organización).

Análisis estático de código
En el pasado, el análisis de código se realizaba únicamente de forma manual. Era un proceso que daba buenos resultados cuando lo realizaba un experto, pero suponía un coste muy elevado. Hoy disponemos de herramientas de análisis estático que son capaces de identificar una buena parte de los errores de código por un coste mucho menor que el de un análisis manual.

El uso de estas herramientas es óptimo cuando todos los módulos que componen el software están completos e integrados. El análisis estático se debería realizar como mínimo en cada integración y siempre antes de liberar una nueva versión.

Testeo (o auditoria) de seguridad
Sería estupendo que el análisis estático fuese capaz de identificar todas las vulnerabilidades existentes en el software, pero desgraciadamente esto no es así. Por este motivo es necesaria la introducción de métodos dinámicos de testeo que interactúen con la aplicación como lo haría un atacante (Penetration Testing).

El testeo de seguridad es similar al testeo funcional del software con la diferencia de que en este caso se busca que la aplicación funcione de formas para las que no ha sido diseñada. El testeo funcional acaba (idealmente) cuando cada “feature” ha sido testeada, sin embargo, no es fácil identificar todas las cosas que una aplicación no debería hacer. Por este motivo es importante seguir una aproximación priorizada en la que se puede tomar como criterio la priorización realizada en el modelado de amenazas.

Existen varias herramientas que permiten la automatización del Penn Testing, pero de nuevo en este caso, será necesario contar con las manos de un experto para testear aquellos aspectos que no es posible automatizar.

¿Cómo empezar?
La incorporación de todas estas medidas, especialmente cuando se parte de una situación de poca cultura de seguridad, puede resultar algo abrumadora. Aunque el objetivo final debe ser que el proceso de desarrollo se enriquezca con todas las aportaciones descritas, no es imprescindible que se adopten todas desde el principio para obtener mejoras significativas en la seguridad del software producido.

La modificación del proceso se puede plantear como un proceso de mejora continua, empezando por aquellas medidas que requieren un esfuerzo y nivel de conocimiento y especialización moderado, para ir incorporando el resto según la experiencia y el know-how de la organización vaya creciendo.

Teniendo en cuenta que, especialmente en este caso, algo es mejor que nada, algunas de las medidas presentadas pueden ser adoptadas inicialmente asumiendo un coste reducido y con un retorno importante. El análisis de requisitos de seguridad puede ser la primera de ellas, garantizando así una toma de consciencia de los aspectos de seguridad a implementar. Por otro lado, la implantación de herramientas de análisis estático desde un principio, permite evitar un cantidad importante de errores y potenciales vulnerabilidades con una inversión muy contenida.

En este post se han presentado algunas medidas que tienen que ver directamente con el proceso de producción de software, pero existen algunas más que aplican al entorno de soporte del proceso (separación de entornos, seguridad de los repositorios de información, control de configuración, etc), pero eso da para otra entrada y lo trataremos en una próxima ocasión. Como siempre, pasen un buen fin de semana.

Autor: Daniel de los Reyes
Fuente: SecurityArtWork.es

Visto en :http://blog.segu-info.com.ar/2009/10/incorporando-la-seguridad-al-proceso-de.html

Se enfocan en los equipos de alta gama, como los dispositivos inteligentes, que tienen capacidades de trabajo similares a las de una PC, por el valor de la información que contienen. Cómo cuidar las BlackBerry ante estas amenazas.

Aunque aún no tienen ni el volumen ni la masividad de sus hermanos de las computadoras, los virus en los teléfonos móviles ya son reales y tangibles, y comienzan a ser cada vez más utilizados por los delincuentes que utilizan aplicaciones de las tecnologías de la información y la comunicación (TIC) para cometer delitos como robos de información, estafas y fraudes.

Los “hackers” se enfocan en especial en los equipos de alta gama, como los teléfonos inteligentes (“smartphones”, en inglés), que tienen capacidades de trabajo similares a las de una PC, por el valor de la información que contienen esos dispositivos, de alta penetración en el mercado de ejecutivos y profesionales.

“Las amenazas de malware (código malicioso) que son tan tradicionales en cualquier otro sistema operativo de escritorio, son reales y tangibles en los sistemas operativos para móviles, como Windows Mobile y Symbian, pero aún no se ha convertido en un problema masivo”, explicó a iProfesional.com Cristian Borghello, director de Segu-Info, un portal especializado en seguridad informática.

Esta situación puede deberse a diversos motivos, válidos en la Argentina y América latina, pero algunos de ellos ya no tanto en otros países más desarrollados como Japón, señaló el especialista.

Contenido completo en InfobaeProfesional

www.segu-info.com.ar