Artículos 2010

Red Seguridad #49: Fundamentos de tokenización y su aplicación en el cumplimiento de PCI DSS

Revista SIC #92: PCI DSS v2.0, la maduración de un estándar.

ISecLab #11: Despliegue y restauración segura de volúmenes cifrados con TrueCrypt.

ISecLab #10: Esquema Nacional de Seguridad.

Security Acts #3: Clouds or storm clouds? Cloud Computing Security.

ISecLab #9: Seguridad en Sistemas SCADA e Infraestructuras Críticas

ISecLab #8: ¿Nubes o nubarrones? Seguridad en Cloud Computing.


Red Seguridad 49 - Fundamentos de tokenización y su aplicación en el cumplimiento de PCI DSS  

Red Seguridad #49: Fundamentos de tokenización y su aplicación en el cumplimiento de PCI DSS. (Noviembre 2010)

Artículo publicado en el número 49, correspondiente a Noviembre de 2010, de la revista Red Seguridad.
El artículo desgrana una de las técnicas de ocultación de información más en auge últimamente, la "tokenizacion" o uso de "tokens". Se enlaza la descripción de este mecanismo de seguridad con su uso en la adecuación de procesos y entidades a la normativa de seguridad en tarjetas de pago, PCI DSS.

 


PCI DSS v2.0, la maduración de un estándar  

Revista SIC #92 (Noviembre 2010): PCI DSS v2.0, la maduración de un estándar

Este artículo, publicado en el número 92 (Noviembre 2010) de la revista SIC, desgrana las novedades de la nueva versión (2.0) de la norma PCI DSS. Miguel Ángel Domínguez, director de consultoría de Internet Security Auditors, expone los principales cambios que han sido introducidos en la norma y los aspectos a considerar por todos los implicados para adaptar sus procesos de transmisión, almacenamiento y procesamiento de datos de tarjetas de pago.

 


ISecLab #11: Despliegue y restauración segura de volúmenes cifrados con TrueCrypt  

ISecLab #11: Despliegue y restauración segura de volúmenes cifrados con TrueCrypt (Septiembre 2010)

En este nuevo ISec Lab tratamos una de las herramientas más útiles a la hora de proteger la información en nuestros equipos. Se trata de TrueCrypt una herramienta de cifrado open-source y gratuita que nos proporciona la posibilidad de crear una unidad de disco virtual donde toda la información que se almacene en ella quedará cifrada y protegida por una contraseña. El artículo hace hincapié en una de las características más desconocidas pero quizás más útiles de TrueCrypt: la posibilidad, en entornos corporativos, de restauración de volúmenes cifrados cuya clave ha sido perdida, olvidada o extraviada. Esta funcionalidad permite a las entidades disponer de una herramienta de cifrado completamente gratuita, cuya eficacia ha sido altamente demostrada y con la posibilidad de recuperar información cifrada en caso de pérdida de contraseñas por parte de los usuarios.

 


ISecLab #10: ISecLab #10: Esquema Nacional de Seguridad  

ISecLab #10: Esquema Nacional de Seguridad (Julio 2010)

En los primeros días de Enero de este año 2010, se aprobó en el Congreso de los Diputados el Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad. Esta ley marca unas medidas mínimas de seguridad en los procesos y sistemas que deben ser aplicados por todas las Administraciones Públicas a nivel local, autonómico y/o nacional. La generalización de la comunicación electrónica entre las Adminsitraciones y los ciudadanos, impulsada por la ley 11/2007 de acceso electrónico a los servicios públicos, depende en gran medida del grado de confianza que generen los sistemas y procesos públicos. Este el es motivo por el cual se ha desarrollado el Esquema Nacional de Seguridad. A lo largo de este nuevo ISec Lab se desgrana este esquema de seguridad punto por punto entrando en los detalles de los requisitos mínimos exigidos, la categorización de los sistemas y la metodología de implatación y adecuación a esta nueva legislación. Finalmente se introduce un caso prático en el que se muestra las medidas de seguridad que una administración debe implantar para que uno de sus sistemas cumpla con el Esquema Nacional de Seguridad.

 


Security Acts 3: Clouds or storm clouds? Cloud Computing Security  

Security Acts #3: Clouds or storm clouds? Cloud Computing Security. (Mayo 2010)

Artículo publicado en el número 3 (Mayo 2010) de la revista electrónica Security Acts. Security Acts es una revista electronica destinada exlusivamente a profesionales de la Seguridad IT.
El artículo describe las principales características del Cloud Computing, un fenonemos completamente en auge en el campo de las tecnologías de la información. Se desgranan los principales modelos de servicio del Cloud Computing así como su principales amenazas y beneficios en lo que a Seguridad de la Información se refiere.

 


ISecLab #9: Seguridad en Sistemas SCADA e Infraestructuras Críticas  

ISecLab #9: Seguridad en Sistemas SCADA e Infraestructuras Críticas (Mayo 2010)

En este nuevo IsecLab se pretende comentar el problema de la seguridad en los sistemas SCADA que actualmente estÁn gestionando infraestructuras críticas. Se hace un repaso de las principales características de estos sistemas, mayoritariamente industriales, así como de su arquitectura. Posteriormente se introduce el concepto de infraestructura crítica y se describe el tratamiento que a estos activos están dando tanto la Unión Europea como la administración pública española. Se hace especial hincapié en el hecho de que los sistemas SCADA están manejando gran parte de las infraestructuras críticas nacionales. Finalmente, se desglosan las principales vulnerabilidades que afectan a estos sistemas y, por ende, a la gestión de las infraestructuras críticas que cuentan con este tipo de componentes de control.

 


ISecLab #8: ¿Nubes o nubarrones? Seguridad en Cloud Computing  

ISecLab #8: ¿Nubes o nubarrones? Seguridad en Cloud Computing, (Marzo 2010)

El Cloud Computing se está instaurando a gran velocidad en todos los ámbitos de los sistemas de infromación. Este nuevo modelo de uso de los recursos TI trae asociadas grandes ventajas en lo que a control de costes se refiere. Sin embargo, entre los responsables de sistemas de las principales empresas surgen dudas en relación al tratamiento de la Seguridad y de la Privacidad de los datos almacenados y/o gestionados a través de sistemas de Cloud Computing. En este ISEC Lab se presentan los principales modelos de computación en la nube así como las ventajas y desventajes del Cloud Computing desde el punto de vista de la Seguridad de la Información.