martes, octubre 25, 2022

ISO/IEC 27001:2022: Ya esta disponible la ultima versión de esta norma


Dentro de lo que se conoce de esta actualización, ISO/IEC 27001:2022 no introducirá en si grandes cambios, enfocándose la actualización en el Anexo A Normativo asociado a algunos de los controles, así mismo se revisarán editorialmente las notas de la Cláusula 6.1.3 c), afianzando el concepto de “control de seguridad de la información”.

Haciendo una comparación de los controles con la norma anterior, los controles que integran esta norma se redujeron, de 114 a 93 controles, divididos en los siguientes temas:  8 relacionados al personal, 14 para objetos físicos de los cuales 1 es nuevo, 34 para tecnología con 7 nuevos, y 37 para aspectos organizacionales con 3 controles nuevos.

Un tema recurrente cuando se presentan actualizaciones de norma, es la validez de las certificaciones obtenidas en la versión inmediatamente anterior, por lo cual el documento IAF MD 26, publicado en agosto de 2022, ya ha incorporado los plazos de certificación y de transición. Las nuevas certificaciones que se otorguen de ISO/IEC 27001 podrán hacerse en la versión 2013 solo por el primer año de vigencia de la versión 2022 y el plazo de transición a la versión 2022 de cualquier certificado otorgado, deberá realizarse antes de cumplir 3 años desde la publicación oficial de la norma internacional ISO/IEC 27001:2022.



jueves, enero 16, 2020

Nueva cédula digital en Colombia



El 14 de Enero el Registrador Nacional Alexánder Vega Rocha informo que se va a lanzar una nueva cedula para los colombianos, la cual sera un documento que contará con información digital y hace parte de la modernización electoral del país: “Vamos a implementar en este cuatrienio las pruebas piloto de voto electrónico mixto, el registro civil en línea para que los ciudadanos puedan descargar este documento, que es la base de la identificación, y la actualización de la cédula de ciudadanía que será el paso a la ciudadanía digital” dijo Vega.

Veamos algunas dudas resueltas al respecto:

¿Cómo es la nueva cédula?
Es un documento físico, como el actual, pero cuenta con un chip digital.

¿Para qué sirve?
Este documento hace parte de la estrategia de digitalización del país. La cédula incluirá la historia clínica y otros datos biográficos de la persona. También podrá descargarse en el celular y tendrá validez ante las autoridades.

¿Es obligación sacar el nuevo documento?
Por el momento, no.

¿La cédula actual pierde vigencia?
No, la cédula se mantiene vigente, pero en caso de requerir un duplicado este será digital.

¿Desde cuándo se podrá tener el nuevo documento?
La Registraduría prevé que esta actualización se dé en el primer trimestre de este año.

¿Cuánto cuesta sacar la nueva cédula?
Lo mismo que el duplicado: $44.400 pesos.

¿Qué pasa si se vive en el exterior?
El trámite se hará a través de los consulados.

¿Qué otros cambios se vienen?
También se trabajará para obtener digitalmente el certificado del registro civil de nacimiento.

viernes, noviembre 15, 2019

Publicado reporte "Desafíos del Riesgo Cibernético en el sector financiero para Colombia y América Latina"


En el marco del 18° Congreso de Riesgo Financiero liderado por Asobancaria, realizado en Cartagena los días 14 y 15 de Noviembre, por parte de la OEA hoy se ha compartido el reporte titulado "Desafíos del Riesgo Cibernético en el sector financiero para Colombia y América Latina", un interesante documento trabajado conjuntamente por la OEA y Asobancaria, el cual "reúne artículos de expertos internacionales sobre la gestión del riesgo y de medidas de seguridad para la protección del sector financiero a nivel nacional en Colombia y también con impacto en toda América Latina”.

Igualmente, “En el libro se reseñan algunas de las recientes innovaciones y avances tecnológicos en los sistemas productivos y cómo estos pueden afectar la gestión del riesgo cibernético en el sistema financiero en América Latina. Así mismo, se describen algunas tendencias de fraude cibernético y mejores prácticas para prevenir, detectar y responder a incidentes de seguridad. Conocer esto es clave para determinar el rol de los gobiernos y formuladores de política pública para mitigar los riesgos asociados a ciberseguridad.”

Como se puede apreciar, es un interesante texto, del cual personalmente espero que se permanentemente actualizado para así convertirse en un texto de obligatoria consulta por todos los profesionales relacionados con la seguridad de la información y todos los estándares asociados.

Si desean descargar esta publicación, lo pueden hacer en ESTE LINK

viernes, noviembre 08, 2019

Gobierno Britanico gasta casi dos millones de libras en proyectos anti drones.



El Ministro de Defensa anuncio recursos para 18 proyectos, cada uno de ellos con un presupuesto de £100,000. Estos proyectos incluyen el desarrollo de metodo para detectar dones tipo 4g y 5G, detectores con Inteligencia Artificial para detección automática de vehículos aéreos y mecanismos de bajo costo para detener drones por medio de interceptación electrónica. La primera fase conceptual, ira hasta el verano de 2020, seguida de la segunda fase enfocada en madurar los proyectos hacia soluciones integradas.

La introducción de aeronaves no tripuladas, frecuentemente conocidas como drones, ha sido uno de los avances tecnológicos más significativos de los años recientes, y representa un avance en las capacidades de potenciales adversarios" indicó David Lugton, líder técnico de estos temas.

La amenaza que representan estos aparatos ha evolucionado rápidamente, existiendo ya reportes de uso de los mismos en operaciones clandestinas  en teatros de operaciones en el extranjero. Hay un problema similar en el Reino Unido con el uso malicioso o accidental de drones que se convierte en un desafío de seguridad que afecta la infraestructura crítica y los establecimientos públicos; incluidas las cárceles y los principales aeropuertos del Reino Unido

Los drones obligaron a cancelar cientos de vuelos en el aeropuerto Gatwick de Londres la Navidad pasada, con decenas de miles de pasajeros varados. De hecho, el número de casi accidentes que involucraron drones en el Reino Unido aumentó en más de un tercio de 2017 a 2018.

Sin embargo, los drones también podrían representar una amenaza creciente no solo para la seguridad física sino también para la seguridad de la red.

Justo esta semana, el contratista de defensa Booz Allen Hamilton advirtió que 2020 podría ver a los piratas informáticos usar drones como puntos de acceso corruptos, aterrizándolos en lugares ocultos en propiedad corporativa mientras obtienen credenciales, realizan ataques infiltrados contra empleados y llevan a cabo reconocimiento de redes.

Sobre Colombia, recordemos que fue la pionera a nivel mundial en restringir el pilotaje de este tipo de aeronaves solamente a personas que realicen y aprueben un curso de manejo de los mismos, situación que se flexibilizo un poco en este 2019 categorizando a los usuarios como piloto profesional y aficionado, pero que continua exigiendo el registro de los drones ante la Aerocivil para su utilización. 

Sobre la amenaza que representan estos aparatos en el Pais, ya la industria petrolera esta en alerta al respecto pues se han detectado sobrevuelos de estas aeronaves sobre taladros, pozos, clusteres, etc, y no se descarta que los grupos al margen de la ley lleguen a utilizar dichos aparatos para sus fechorías. ¿Sera posible que llegáremos a ver en Colombia una iniciativa tan especifica como la británica? Difícil, pero no imposible! 

jueves, octubre 31, 2019

Publicada la ISO 22301 Requerimientos para un BCMS




Este documento especifica los requerimientos para implementar, mantener y mejorar un BCMS (Business Continuity Management System) ó SGCN (Sistema de Gestión de Continuidad de Negocios), protegerlo, reducir la probabilidad de ocurrencia, prepararse, responder y recuperarse de interrupciones cuando se presenten. 

Los requisitos especificados en este documento son genéricos y están destinados a ser aplicables a todas las organizaciones, o partes de las mismas, independientemente del tipo, tamaño y naturaleza de la organización. El grado de aplicación de estos requisitos depende del entorno operativo y la complejidad de la organización.

Este documento es aplicable a todos los tipos y tamaños de organizaciones que:
  1. Implementar, mantienen y mejoran un BCMS (Business continuity management system);
  2. Buscan asegurar su cumplimiento de la política de continuidad de negocios establecida;
  3. Necesitan poder continuar entregando productos y servicios a una capacidad predefinida aceptable durante una interrupción;
  4. buscar mejorar su resiliencia a través de la aplicación efectiva del BCMS
Este documento puede usarse para evaluar la capacidad de una organización para satisfacer sus propias necesidades y obligaciones de continuidad de negocios.

Norma disponible en ESTE LINK



miércoles, octubre 30, 2019

El 40% de los teléfonos inteligentes en venta tienen información de su anterior propietario


Actualmente, la información que almacenamos en nuestros teléfonos es muchísima, y también, privada. De acuerdo a un estudio realizado por NAID (National Association on the Destruction of Information of the United States), casi el 50% de los teléfonos analizados de segunda mano que encontraron en venta, contenían información personal del vendedor. 


El estudio tuvo un universo de 250 equipos, en el que 2 de 5 equipos revisados contenían información de su antiguo propietario, lo cual claramente facilita el accionar de los delincuentes quienes acceden a dicha información sin proponérselo. 

La información personal es muy fácil de borrar en los smartphones, aunque debe hacerse con minucia para evitar que alguna información que haya sido alojada en la nube pueda ser recuperada, como por ejemplo los passwords que llevamos sin cambiar por una eternidad. 

Para las organizaciones es obligatorio que los equipos móviles sean reseteados de manera tal que se restablezcan los equipos a su configuracion de fabrica, borrando así toda la información que haya podido ser almacenada en tales dispositivos. Los cybercriminales buscan tener en sus redes a cualquier persona que les pueda inadvertidamente generar beneficios o un redito economico. La recomendación es obvia: antes de vender y/o regalar un smartphone, hay que restablecer el equipo a su configuracion de fabrica. Puede sonar difícil de hacer pero es muy fácil, y en internet hay guías para hacerlo en cualquier marca y modelo. 



viernes, octubre 18, 2019

¿Qué es el bluesnarfing?



Es el robo ilegal de información de los teléfonos móviles que tienen el bluetooth encendido. Utilizando el bluesnarfing los atacantes se aprovechan de las vulnerabilidades de seguridad de los equipos y extraen información como la lista de contactos, mensajes de texto, emails, entre otros.

¿Cómo se hace el bluesnarfing?
Los dispositivos con bluetooth se comunican entre su usando un protocolo llamado OBEX o intercambio de objetos, y justo ahí es donde el bluesnarfing aprovecha vulnerabilidades en dicho protocolo.

El ataque inicia con un escaneo de equipos que tengan encendido el bluetooth. Al descubrir alguno, lo emparejan sin que la víctima autorice dicho enlace, pudiendo acceder a toda la información que este almacenada en el teléfono de la víctima.

¿Cómo defenderse del BlueSnarfing?
La manera más obvia de hacerlo es simplemente desactivando el bluetooth en lugares públicos o cuando no se requiera utilizarlo. El asunto es que ahora con los smartbands, smartwatchs, etc, mantener el bluetooth encendido es una obligación!

Otra manera puede ser en la configuración del teléfono, es seleccionar la opción de “ocultar” la conexión activa del bluetooth, asi cuando un ciberdelincuente haga un escaneo buscando víctimas, no detecte nuestro teléfono. La mala noticia es que inclusive con esta opción, el teléfono puede ser detectado por medio de las direcciones MAC de dichos equipos, asi que el riesgo, siempre estará presente.

¿Que es el Smishing?



El Smishing, o SMS phishing, es el intento de fraude a través de mensajes de texto o SMS buscando que las potenciales víctimas revelen información bancaria o instalen algún malware. Al igual que con el phishing, los ciberdelincuentes usan smishing, disfrazándose de una organización confiable o una persona de confianza que envía un mensaje de texto.

Con el smishing, los ciberdelincuentes usan un mensaje de texto para intentar que las posibles víctimas den información personal. El mensaje de texto, que generalmente contiene un enlace a un sitio web falso que parece idéntico al sitio legítimo, le pide al destinatario que ingrese información personal. La información falsa se usa a menudo para hacer que los textos parezcan ser de una organización o empresa legítima.

El smishing ha crecido en popularidad entre los ciberdelincuentes a la par que el uso de los teléfonos inteligentes, ya que les permite robar información financiera y personal confidencial sin tener que romper las defensas de seguridad de una computadora o red. El conocimiento generalizado sobre  phishing, smishing y otros ataques continúa creciendo, ya que se informan muchos incidentes en las noticias.
  
¿Cómo funciona el Smishing?
Básicamente utiliza técnicas de ingeniería social para atraer a los destinatarios de mensajes de texto a revelar información personal o financiera. Por ejemplo, durante las vacaciones, recibe un mensaje de texto que finge ser de un conocido minorista que le pide verificar su información de facturación o su paquete no se enviará a tiempo. El único problema es que el mensaje de texto le proporciona un enlace falso al sitio web, donde la información que proporcione se utilizará para cometer robo de identidad, fraude y otros delitos. El smishing también se usa para distribuir malware y spyware a través de enlaces o archivos adjuntos que pueden robar información y realizar otras tareas maliciosas. Los mensajes suelen contener algún tipo de urgencia, amenaza o advertencia para intentar que el destinatario tome medidas inmediatas.

¿Por qué es importante Smishing?
Todas las organizaciones deben educar a sus empleados sobre los peligros de smishing como parte de su plan de seguridad cibernética. Con una sensibilización de seguridad del usuario, los empleados pueden reconocer, evitar y reportar amenazas potenciales que pueden comprometer datos críticos y sistemas de red. Como parte del entrenamiento, simulacros de phishing, smishing y otras simulaciones de ataque se usan típicamente para probar y reforzar el buen comportamiento.