El nuevo Reglamento Europeo de Protección de Datos establece la obligación de reportar a la autoridad reguladora y en un plazo no superior a 72 a horas cualquier brecha de la seguridad que pueda tener potencialmente un impacto significativo en la privacidad de la información de las personas. Dependiendo de la gravedad del incidente, puede […]
El control de acceso a los sistemas es uno de los elementos básicos de cualquier programa de ciberseguridad y privacidad. Una gestión efectiva del control de acceso lógico permite: Establecer quién (tanto si se trata de una persona como de una aplicación) puede acceder a que entornos / sistemas, de acuerdo a la política de […]
Hace unas pocas semanas vio la luz la nueva versión del famoso estándar de seguridad de datos de la industria de tarjetas, PCI/DSS 3.2. Una lectura entre líneas de los nuevos requisitos incluidos permite identificar, en mi opinión, algunas de las principales dificultades y situaciones que limitan el éxito y efectividad de los programas de […]
Las configuraciones por defecto de servidores, estaciones de trabajo, elementos de red y otros dispositivos, son una de las principales fuentes de vulnerabilidad de los sistemas. Una configuración por defecto puede hacer por ejemplo que un sistema tenga habilitadas cuentas de usuario predefinidas con contraseñas ampliamente conocidas que permitirán a un atacante una vez identificadas […]
Dentro de las vulnerabilidades de las aplicaciones web, algunas de las más frecuentes se encuentran asociadas al modo en que la aplicación decide si un usuario está autorizado a ejecutar una determinada función o acceder a un determnado recurso (ej: un documento). El escenario de mayor riesgo es cuando un atacante es capaz de explotar […]
La seguridad de las aplicaciones suele enfocarse como un añadido al final del proceso de desarrollo. Normalmente este «añadido» suele materializarse en la realización de algún tipo de tests de seguridad (pen testing, análisis estáticos y dinámicos del código fuente…), resultado de los cuales se identifican y corrigen las vulnerabilidades detectadas en el producto software. […]
En este artículo vamos a poner a prueba el modelo de red de creencias Bayesiano que desarrollamos en la anterior entrega. El objetivo del modelo es estimar la probabilidad de que un equipo de usuario corporativo resulte infectado por un programa malicioso. El modelo (que es tan sólo un borrador inicial) ha sido desarrollado con […]
Este es el primero de una serie de 2 artículos en los que vamos a desarrollar un modelo basado en redes Bayesianas con el que intentaremos estimar la pobabilidad de que un equipo de usuario resulte infectado por un programa malicioso. En un artículo anterior ya introdujimos este concepto y vimos algún ejemplo. ¿Qué es […]
En nuestro anterior artículo sobre la detección y prevención de dispositivos no autorizados en la red, vimos como uno de los elementos básicos de cualquier programa de seguridad de la información es el establecimiento de un inventario del software y hardware de la organización, lo que nos permitirá tener una idea clara de aquello que debe ser protegido. En este […]
El análisis y gestión de riesgos en el ámbito de la tecnología es considerado por muchos profesionales casi como un arte. Comparto en gran medida esta opinión. En este campo, las dificultades para disponer de series de datos históricas hacen que el uso de modelos estadísticos predictivos, con larga tradición en otros dominios de riesgo, sea […]
Negocios bajo control 