Ya empieza a circular más información sobre el nuevo Windows OnCare. Este programa pretende ser un paso más dentro de la filosofía de protección preventiva de Microsoft. Con un aspecto parecido al Centro de Seguridad introducido en el SP2 de Windows XP, este nuevo programa revisará y monitorizará más aspectos en relación al estado de la seguridad del equipo del usuario.
El estado se diagnostica entorno al concepto de riesgo, pudiendo estar en una de las tres siguientes situaciones:
Icono Verde: El estado es bueno. Sistemas de protección como el firewall o el antivirus están al día, no hay eventos de copia de seguridad pendientes de realizar y acciones que requieran la atención del usuario.
Icono amarillo: El estado es mínimo. Significa que existen tareas pendientes de la atención del usuario como alguna copia de seguridad pendiente o alguna actualización no crítica por instalar. No existe una amenaza potencial que implique riesgo pero hay acciones pendientes que pueden provocar la aparición de una vulnerabilidad. Tan pronto como se realicen estas acciones se volverá al estado verde.
Icono rojo: Estado es riesgo. Esto ocurre si por ejemplo, el antivirus no se encuentra actualizado, si existen actualizaciones críticas pendientes de instalar o si el firewall de Windows está desactivado.
El aspecto general de la interfaz del programa es el siguiente:
Este tipo de iniciativas están colaborando en dos aspectos esenciales para la seguridad de la información.
Por un lado la prevención frente a las potenciales amenazas. Un sistema que reaccione rápido frente a la aparición de virus y que se actualice frecuentemente será menos vulnerable a virus, spyware y otro software malicioso.
Por otro lado, la concienciación necesaria por parte del usuario de la parte de responsabilidad que le compete respecto a esta protección "activa" del sistema. El usuario final debe ser actor participe y para ello debe conocer su estado de seguridad.
En cualquier caso, dado que esto de la guerra buenos contra malos es una carrera raton-gato, seguro que ahora Windows OnCare será objetivo del código malicioso para tratar de desactivarlo. Esperemos que el desarrollo de este producto de seguridad sea lo suficientemente robusto como para resistir embestidas del mundo oscuro.
martes, 19 de julio de 2005
Documentación de interés,
Noticias
0
comentarios
Guía al ciudadano del derecho a la protección de datos de carácter personal
La Agencia Española de Protección de Datos de Carácter Personal en su afán por dar a conocer los derechos de los ciudadanos en esta materia ha publicado una guía didáctica sobre el tema.
Se echaban de menos iniciativas como estas por parte de la Agencia. Es cierto que desempeña un papel activo en los aspectos sancionadores pero por desgracia, la Ley de Protección de Datos es todavía desconocida por parte del ciudadano de la calle. Son muchísimos los abusos que se realizan por parte de empresas y colectivos en el tratamiento de nuestros datos. Principalmente las mayores deficiencias se refieren a la obligación de informar correctamente que se hace con nuestros datos y quién es el responsable del tratamiento. En los intercambios de información también debe notificarse al afectado esos cambios de propiedad respecto al tratamiento (en los supuestos de cesión de datos). Esperemos que esta guía fomente las debidas reclamaciones por parte del ciudadano de sus derechos y eso haga ponerse las pilas también a las empresas con el tema. Sobre todo, porque todo tratamiento de datos debe tener unas medidas de seguridad adecuadas para evitar revelaciones de información ya que a menudo se olvida que la Ley de Protección de Datos tiene su raiz en el Articulo 18.4 de la Constitución Española, en relación a la protección de la intimidad y el honor de las personas.
Este documento puede obtenerse en: Guía del derecho fundamental a la protección de datos de carácter personal
Se echaban de menos iniciativas como estas por parte de la Agencia. Es cierto que desempeña un papel activo en los aspectos sancionadores pero por desgracia, la Ley de Protección de Datos es todavía desconocida por parte del ciudadano de la calle. Son muchísimos los abusos que se realizan por parte de empresas y colectivos en el tratamiento de nuestros datos. Principalmente las mayores deficiencias se refieren a la obligación de informar correctamente que se hace con nuestros datos y quién es el responsable del tratamiento. En los intercambios de información también debe notificarse al afectado esos cambios de propiedad respecto al tratamiento (en los supuestos de cesión de datos). Esperemos que esta guía fomente las debidas reclamaciones por parte del ciudadano de sus derechos y eso haga ponerse las pilas también a las empresas con el tema. Sobre todo, porque todo tratamiento de datos debe tener unas medidas de seguridad adecuadas para evitar revelaciones de información ya que a menudo se olvida que la Ley de Protección de Datos tiene su raiz en el Articulo 18.4 de la Constitución Española, en relación a la protección de la intimidad y el honor de las personas.
Este documento puede obtenerse en: Guía del derecho fundamental a la protección de datos de carácter personal
Leo vía Finalcial Tech Magazine un texto resumen de las novedades de la norma ISO 17799 en su nueva versión.
Aunque hace ya un mes de la publicación de la nueva versión de la norma, este texto resume muy bien el nuevo enfoque de la norma y las principales novedades.
A continuación reseño las mejores partes del texto.
"Se ha incluido en la norma un capítulo destinado al análisis de riesgos. Este hecho pone de manifiesto la importancia del análisis de riesgos, como herramienta que debe servir a la Dirección para mejorar la gestión de la seguridad de sus sistemas de información.
El siguiente aspecto que nos gustaría destacar es la inclusión de dos conceptos puntuales que han sido elementos claves:
- Que la política de seguridad de la información tiene que estar alineada con los requerimientos del negocio (dentro de la corriente denominada IT Governance) y con las leyes y regulaciones relevantes (seguro que a más de uno ya se nos ha ocurrido alguna ley que nos trae de cabeza en esta materia).
- Que a los usuarios hay que darles formación, y concienciarles continuamente en esta materia, lo que les permitirá realizar las acciones necesarias para conseguir una óptima protección.
Solo una revisión de los grandes números:
- Hemos pasado de 127 controles en la edición de 2000 a 133 controles en 2005. Los 10 dominios de 2000 han crecido hasta 11 en la reciente edición.
Al margen de la adición, modificación y eliminación de objetivos de control puntuales, se han producido dos grandes reestructuraciones dentro de la norma:
- Los objetivos de control de “Monitorización” han pasado de “Control de Accesos” a “Gestión de comunicaciones y operaciones”.
- Los objetivos de control relativos a “Gestión de incidentes de seguridad de la información” se han independizado de la “Seguridad de los Recursos Humanos”, y se han constituido como capítulo con entidad propia dentro de la norma. Este hecho unido a la circunstancia de que el apartado de “Seguridad de los Recursos Humanos” mantiene su peso relativo dentro de la norma, significa que han aumentado los objetivos de control en este apartado significativamente."
Aunque hace ya un mes de la publicación de la nueva versión de la norma, este texto resume muy bien el nuevo enfoque de la norma y las principales novedades.
A continuación reseño las mejores partes del texto.
"Se ha incluido en la norma un capítulo destinado al análisis de riesgos. Este hecho pone de manifiesto la importancia del análisis de riesgos, como herramienta que debe servir a la Dirección para mejorar la gestión de la seguridad de sus sistemas de información.
El siguiente aspecto que nos gustaría destacar es la inclusión de dos conceptos puntuales que han sido elementos claves:
- Que la política de seguridad de la información tiene que estar alineada con los requerimientos del negocio (dentro de la corriente denominada IT Governance) y con las leyes y regulaciones relevantes (seguro que a más de uno ya se nos ha ocurrido alguna ley que nos trae de cabeza en esta materia).
- Que a los usuarios hay que darles formación, y concienciarles continuamente en esta materia, lo que les permitirá realizar las acciones necesarias para conseguir una óptima protección.
Solo una revisión de los grandes números:
- Hemos pasado de 127 controles en la edición de 2000 a 133 controles en 2005. Los 10 dominios de 2000 han crecido hasta 11 en la reciente edición.
Al margen de la adición, modificación y eliminación de objetivos de control puntuales, se han producido dos grandes reestructuraciones dentro de la norma:
- Los objetivos de control de “Monitorización” han pasado de “Control de Accesos” a “Gestión de comunicaciones y operaciones”.
- Los objetivos de control relativos a “Gestión de incidentes de seguridad de la información” se han independizado de la “Seguridad de los Recursos Humanos”, y se han constituido como capítulo con entidad propia dentro de la norma. Este hecho unido a la circunstancia de que el apartado de “Seguridad de los Recursos Humanos” mantiene su peso relativo dentro de la norma, significa que han aumentado los objetivos de control en este apartado significativamente."
lunes, 11 de julio de 2005
0
comentarios
Nuevo marco internacional de gestión de la seguridad: ISO 27001
El mundo de la gestión de la seguridad de la información anda unos años muy revuelto entorno a la publicación de diferentes normas internacionales y su continua revisión. Las más conocidas hasta la fecha son la norma ISO/IEC 17799 y la norma BS 7799-2:2002.En España contamos con las normas respectivas bajo la nomenclatura UNE ISO/IEC 17799 y UNE 71502.
Parece que este ultimo semestre de año y el trimestre del próximo nos van a proporcionar cambios en esta materia. Bajo la serie ISO 27000 van a agruparse todas las normas relacionadas con la gestión de la seguridad de la información. El primer paso lo ha dado la norma BS 7799-2 que ha entrado en ISO como Final Draft bajo el nombre ISO 27001.
El resumen de normas que están siendo elaboradas bajo esta serie son:
- ISO 27000, vocabulario y definiciones (terminología para el resto de estandares de la serie)
- ISO 27001, Especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.
- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información. En junio de este año ha sido publicada una nueva revisión.
- ISO 27003, que contendrá una guía de implementación.
- ISO 27004, estandar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.
- ISO 27005, que proporcionará el estandar base para la gestión del riesgo de la seguridad en sistemas de información.
Esperemos que estas normas sean tan populares y requeridas por el mercado como las normas ISO 9000 e ISO 14000. Si estamos en la era de la sociedad de la información, la correcta gestión y su adecuada conservación y seguridad deberían ser cosas a tener en cuenta.
Parece que este ultimo semestre de año y el trimestre del próximo nos van a proporcionar cambios en esta materia. Bajo la serie ISO 27000 van a agruparse todas las normas relacionadas con la gestión de la seguridad de la información. El primer paso lo ha dado la norma BS 7799-2 que ha entrado en ISO como Final Draft bajo el nombre ISO 27001.
El resumen de normas que están siendo elaboradas bajo esta serie son:
- ISO 27000, vocabulario y definiciones (terminología para el resto de estandares de la serie)
- ISO 27001, Especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.
- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información. En junio de este año ha sido publicada una nueva revisión.
- ISO 27003, que contendrá una guía de implementación.
- ISO 27004, estandar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.
- ISO 27005, que proporcionará el estandar base para la gestión del riesgo de la seguridad en sistemas de información.
Esperemos que estas normas sean tan populares y requeridas por el mercado como las normas ISO 9000 e ISO 14000. Si estamos en la era de la sociedad de la información, la correcta gestión y su adecuada conservación y seguridad deberían ser cosas a tener en cuenta.
viernes, 8 de julio de 2005
Herramientas seguridad
0
comentarios
Microsoft Shared Computer Toolkit para Windows XP
Descubro hoy via BufferOverrun una utilidad bastante necesaria y práctica para el uso del PC doméstico.
Todos tenemos el ordenador en casa o en la oficina un PC al que accede todo el mundo por tratarse de un equipo compartido. El hecho de que haya muchos usuarios suele ser excusa para que ese equipo ande siempre hecho un desastre porque normalmente no se configura y limita el uso y privilegios sobre el sistema operativo. Microsoft acaba de lanzar un Shared Computer Toolkit para hacer más gestionable este tipo de equipos. Se entiende por equipo compartido:
- un PC utilizado por varias personas que no tienen por que confiar unos en otros
- Equipos PC utilizados en sitios poco vigilados donde la seguridad y la privacidad son propiedades a proteger
Este Toolkit es ideal para equipos en escuelas, bibliotecas, aulas de acceso a internet, cibercafes. Permite al usuario acceder al uso de forma fácil pero también permite al administrasdor:
- Limitar el acceso de estos usuarios de no confianza a la configuracion y datos del sistema.
- Proteger el equipo frente a cambios no autorizados en sus discos duros.
- Reducir el tiempo de adminstración de este tipo de equipos
url: Microsoft Shared Computer Toolkit
Todos tenemos el ordenador en casa o en la oficina un PC al que accede todo el mundo por tratarse de un equipo compartido. El hecho de que haya muchos usuarios suele ser excusa para que ese equipo ande siempre hecho un desastre porque normalmente no se configura y limita el uso y privilegios sobre el sistema operativo. Microsoft acaba de lanzar un Shared Computer Toolkit para hacer más gestionable este tipo de equipos. Se entiende por equipo compartido:
- un PC utilizado por varias personas que no tienen por que confiar unos en otros
- Equipos PC utilizados en sitios poco vigilados donde la seguridad y la privacidad son propiedades a proteger
Este Toolkit es ideal para equipos en escuelas, bibliotecas, aulas de acceso a internet, cibercafes. Permite al usuario acceder al uso de forma fácil pero también permite al administrasdor:
- Limitar el acceso de estos usuarios de no confianza a la configuracion y datos del sistema.
- Proteger el equipo frente a cambios no autorizados en sus discos duros.
- Reducir el tiempo de adminstración de este tipo de equipos
url: Microsoft Shared Computer Toolkit
Suscribirse a:
Entradas (Atom)