SEGURIDAD Y AUDITORIA DE SISTEMAS

La aparición de las redes definidas por software (SDN) ha suscitado discursos entre los profesionales de TI acerca de la necesidad de virtualizar la red. Sin embargo, en muchos sentidos, todavía no ha surgido una definición singular de virtualización de red. En una reciente entrevista con Martín Casado de VMware, aprendimos la diferencia entre SDN y virtualización de la red –Casado comparó a SDN a un mecanismo, mientras que la virtualización de la red es una aplicación. "SDN es relevante para los fabricantes de sistemas: Lo comparo con una manera de construir un motor", dijo Casado. "Alguien que construye un coche utilizaría una nueva forma de construir un motor para el coche, pero los clientes no compran los motores, compran los coches." Aquí hemos redondeado 10 definiciones clave para explicar mejor los conceptos básicos de la virtualización de la red. 1. Virtualización de red La virtualización de la red es un método para proporcionar instancias virtuales d

Hace tiempo que Facebook utiliza una suerte de cookies, código que instala en el ordenador de sus usuarios para recolectar información sobre las páginas que visitan y las aplicaciones que descargan. Hasta ahora, la compañía aseguraba que no pensaba trabajar con esta información, por motivos de seguridad, ni siquiera para usos publicitarios. Pero el equipo de la red social ha cambiado de opinión. Según publican medios como el Wall Street Journal , la red social fundada por Mark Zuckerberg anunció ayer que permitirá a partir de ahora a sus anunciantes segmentar sus campañas de acuerdo con los datos procedentes del historial de navegación de los usuarios de la plataforma. Es importante destacar que Facebook no compartirá el historial de navegación del usuario con sus anunciantes sino que actuará como intermediario entre los anunciante y el usuario. Hasta ahora, las marcas que se anuncian en Facebook podían determinar su target en función de los intereses manifestados por

Dentro del abanico de las auditorías técnicas de seguridad, vamos a explicar en que consiste la clasificación de éstas que hace la ISECOM OSSTMM (Open Source Security Testing Methodology Manual) . Para ello vamos a basarnos en el conocimiento previo que tienen tanto el auditor como el auditado. Blind: el auditor no tiene conocimiento previo de lo que va a auditar (controles existentes, arquitecturas de los sistemas, cómo acceder a la información…). Sin embargo el sistema es preparado por el auditado teniendo en cuenta que sabe qué tipo de pruebas va a realizar el auditor. El objetivo será conocer las capacidades del auditor y evaluar la robustez de las infraestructuras después de una implantación. Double Blind: es el correspondiente a la caja negra o “black box”. En este tipo de auditoría ni el auditor tiene conocimiento previo del sistema a auditar y el sistema de información auditano no está preparado especificamente para la auditoría. El objetivo de esta audito

Cuando hablamos de continuidad del negocio nos referimos a la capacidad de sobrevivir a las “cosas malas” que pueden tener un impacto negativo en la empresa: desde un brote de virus informático hasta un brote de virus biológico, y todos los demás peligros entre ambos, como incendios, inundaciones, tornados, huracanes, terremotos y tsunamis. El estándar internacional para la continuidad del negocio, ISO 22301 , la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”. La Gestión de la Continuidad del Negocio (también llamada BCM , por sus siglas en inglés) es el proceso de lograr esta capacidad y mantenerla, y conforma una parte vital de la gestión de seguridad de sistemas de información, que ahora se conoce más comúnmente como seguridad cibernética. Ahora bien, ¿cómo responder ante una contingencia? El presente artículo describe l

Seguramente jamás habrás oido hablar de estas empresas, pero es probable que sepan más sobre ti que compañías más conocidas como Google o Facebook. La gran mayoría de la población ni siquiera sabe que existen. Se trata de los llamados data brokers o agentes o corredores de datos, compañías que se dedican a recabar y vender información personal, generalmente sin consentimiento ni conocimiento de los usuarios. ¿Ha oido hablar de Acxiom, Corelogic, Datalogix, eBureau, ID Analytics, Intelius, PeekYou, Rapleaf y Recorded Future? " Los datos son utilizados por otras empresas o agencias para verificar identidades, detectar fraudes, vender productos o dirigir campañas de mercadeo. La Comisión Federal de Comercio de Estados Unidos, FTC por sus siglas en inglés, urgió al Congreso de ese país a aprobar leyes que aseguren mayor transparencia en este sector lucrativo y potencialmente dañino. En un informe publicado esta sema

Este es el titular de la entrevista a Kris Hagerman, consejero delegado de Sophos, publicada el pasado 25 de mayo en el Mundo . En ella se repasan todos los temas de actualidad en un momento en que la ciberseguridad es clave para proteger a los ciudadanos, a las empresas y a las naciones de ataques que pueden costar miles de millones. Pese a que cada vez más existe la mentalidad de que debemos protegernos cuando navegamos en Internet, la mayoría de la población aún no es consciente de que la ciberdelincuencia se ha convertido en una industria enorme, que mueve miles de millones de euros y cuyo nivel de sofisticación va en aumento. Un simple dato, nuestros laboratorios registran más 250.000 amenazas únicas cada día. Es un número enorme y no deja de crecer. Además los hackers aprovechan todas las plataformas para intentar estafarnos. Hace unos años solo nos teníamos que preocupar por nuestros ordenadores, pero con la llegada de Internet, los teléfonos inteligentes, la