Aportes al curso

[Julio Cesar Becerra]

APORTES AL CURSO

El presente foro está destinado para que podamos compartir cualquier material (documentos, videos, enlaces, referencias, etc.) relacionado con el tema de nuestro módulo, que permitan potenciar mejor nuestros conocimientos.

Es así que por favor usted puede publicar aquí su aporte. De antemano muchas gracias por compartir con el grupo.

 

[Andres Javier Mendez Gabriel]

Mas que un aporte tengo una consulta para realizar.

En la lectura de la primera semana hemos escuchado muchos términos como los siguientes:

• Marcos de Referencia: Un conjunto estandarizado de conceptos, prácticas y criterios para enfocar un tipo de problemática particular que sirve como referencia, para enfrentar y resolver nuevos problemas de índole similar.
• Metodología: Conjunto de procedimientos utilizados para alcanzar una gama de objetivos.
• Estándar : El concepto se utiliza para nombrar a aquello que puede tomarse como referencia, patrón o modelo
• Modelo: Un Modelo es un prototipo que sirve de referencia
• Norma: Conjunto de reglas
• Buenas practicas: Una Buena Práctica es una experiencia o intervención que se ha implementado con resultados positivos, siendo eficaz y útil.
• Esquema: Un esquema es una representación gráfica, por lo tanto, la manera de relacionar los conceptos es a través recursos como formas, líneas o colores
• Gestión: es también un conjunto de acciones u operaciones relacionadas con la administración y dirección de una organización

y en resumen todos son un conjunto de algo a seguir porque si lo hacer te puede ayudar mucho.

Mi consulta es como se inter-relacionan y entre si, o que orden de precedencia tienen en jerarquia??? una norma es mejor que una guia, o es mejor que un estandar, o un marco de referencia. ?????

[Julio Cesar Becerra]

Buenas tardes estimado Andrés,

Primeramente muchas gracias por su consulta, respecto a sus preguntas le respondo a continuación:

1. ¿Una norma es mejor que una guía, o es mejor que un estándar, o un marco de referencia?

R. No se podría decir cual es mejor que otra, porque la respuesta estaría condicionada al contexto, características, objetivos y muchas otras más condicionantes del lugar, empresa y organización donde se quiere implementar ya sea una guía, metodología o algún estándar. Ahora le voy a dar algunos ejemplos donde sería conveniente aplicarlas:

Ejemplo#1.: Cuando una empresa quiere certificar en ya sea algún producto o proceso, entonces es mejor que directamente aplique un estándar o norma ISO relacionado con el tipo de certificación que necesita obtener.

Ejemplo#2: Si una empresa solo quiere mejorar algún proceso dentro de su sistema de gestión y no le interesa certificar, entonces es mejor que utilice una metodología o un conjunto de mejores prácticas. En este caso y si es que la hubiera, se recomienda utilizar una metodología porque es mucho más fácil de comprender y aplicar que un conjunto de mejores prácticas ya que la metodología nos indica paso a paso y de forma sistemática cada tarea que se tiene que realizar, sin embargo un conjunto de mejores prácticas son un conjunto de instrucciones muchos más genéricas, las cuales cada organización debe apropiarlas y adaptarlas a su propio contexto.

Ejemplo#3: Si una empresa ya tiene aplicada una metodología y quiere conseguir una certificación de algún producto o proceso donde fue aplicada esa metodología, pues tienen que recurrir a un estándar o norma ISO y como ya tiene una metodología implementada sobre el elemento que quiere certificar, pues le va a ser mucho más fácil pasar los controles de auditoría para conseguir dicha certificación, ya que casi todo lo que le exijan, ya lo va a tener implementado gracias a la metodología anteriormente aplicada.

 

2. ¿Qué orden de precedencia tienen en jerarquía?

R. Esto va a depender del contexto y las condiciones del lugar donde se apliquen, tal como lo expliqué con la respuesta y ejemplos de la primera pregunta.

3. ¿Cómo se interrelacionan?

R. Esta es una muy buena pregunta y justamente ha sido el dolor de cabeza de muchas empresas en todo el mundo, ya que dentro de sus organizaciones tenían muchas metodologías, buenas prácticas y estándares implementados, pero que funcionaban de forma independientes y les costaba mucho o la mayoría de las veces no podían conseguir que estas tengan una correspondencia recíproca entre ellas, es por eso que justamente aparece COBIT el cual se implementa a través de un marco de trabajo compuesto justamente de estándares, metodologías, guías, etc. los cuales se resumen en sus procesos y estos tienen detallados sus respectivas entradas y salidas las cuales nos indican como se interrrelacionan con otros proceso. Esto lo pueden ver y lo vamos a ver más adelante en éste módulo y ustedes lo pueden ir leyendo en el 2do libro que les pasé “COBIT5-ProcesosCatalizadores”. Es justamente por este motivo el éxito que ha tenido COBIT en empresas de todo el mundo.

Esto ya lo hemos explicado en nuestra 2da. clase y usted puede volver a ver el video correspondiente. De todas maneras hoy al iniciar la clase vamos a ver este punto que es muy importante y si tienen alguna otra consulta por favor la vemos en clases.

Le agradezco nuevamente por su consulta y espero haberle despejado sus dudas, nos vemos más tarde en clases.

Saludos,

Julio César Becerra.

[Julio Cesar Becerra]

Estimados todos y todas,

Como hemos conversado en clases anteriores, por favor los animo a compartir en este foro sus experiencias buenas y malas sobre temas de seguridad informática, compartir por ejemplo:

• Marcas de Firewalls y proveedor si fuera posible
• IDS/IPS
• Servidores
• Soluciones de Antivirus
• Cualquier solución de seguridad
• Libros digitales de seguridad
• Enlaces a videos, libros, etc.

Para generar movimiento en este foro y para de alguna manera premiar y motivar a los maestrantes que están pendientes de nuestra aula virtual, voy a compartir 10 puntos entre las primeras 10 respuestas correctas que den solución al siguiente problema. Es decir que cada respuesta correcta se ganará 1 punto. Solo tiene que descifrar el código de 3 dígitos que abre la chapa digital de seguridad. Sus respuestas  por favor de manera directa sin ningún tipo de explicación o justificativo. Por ejemplo: “123”

Saludos,

Julio César Becerra.

[Miguel Angel Tangara Nina]

7  8  1

[Miguel Angel Tangara Nina]

Una experiencia en una empresa x mas allá de la marca me imagino que se puede presentar en cualquiera, es que se tubo una denegación de servicio pero no fue volumétrica si no fue la recepción de paquetes mal formados que cuando llegaban al firewall se cortaba todo trafico, una solución pudo haber sido otra, pero para ese momento se observo que habían versiones de firmware nuevas y se procedió a la descarga por otro acceso y a la actualización.

[Daniel Vargas Rios]

Codigo secreto es el 718

[Daniel Vargas Rios]

Sabemos que los modelos de gobierno TI ayudan a informar las deciciones, y garantizar que las opciones de diseño sean consistenres con la estrategia de la empresa, sin embargo, me llamo la antencion que paices como España tienen implementato COBIT no solo en empresas como industrias, distribuidoras, talleres si no, tambien en instituciones educactivas (Universidades).

Les comparto un articulo que realiza un analisis de los diferentes modelos de referencia que se han adaptado para la implementacion de gobierno TI en las Insitituciones Educativas Superior.

https://drive.google.com/file/d/1QlwnCq095W8lRIYCgrGDFS_1f2kSQq9Z/view?usp=sharing

[Andres Javier Mendez Gabriel]

1 87

[Henry Romero Añez]

718 la respuesta

[Andres Javier Mendez Gabriel]

781 este es el correcto

[Luis Fernando Cayoja Mendoza]

7-8-1

[Laura Alejandra Toara Salinas]

718

[William Percy Cardona Terceros]

7 8 1

[Julio Cesar Quispe]

Codigo secreto es el 7 8 1

 

[Felix Adriazola]

187

[Laura Alejandra Toara Salinas]

781

 

[Neyer Celso Canaviri Aguilar]

187

[Juan Carlos Ulloa Vasquez]

Código correcto 718

[Henry Romero Añez]

corrijo mi respuesta  781

[Felix Adriazola]

781 —- CORRECTO

[Felix Jorge Ramirez Arispe]

-De la 2da fila comienzo a descartar al 5 y 0.

-De la 3ra fila, se puede decir que el 7 y 1 van si o si.

-Con la 1ra y 4ta fila, que dicen q ambos tienen un nro correcto pero en mala posición se demuestra q es el 8 y q al estar mal ubicado este tiene q ir en el centro. Tmb se descarta al 6.

-De la 5ta fila, al haber sido descartados anteriormente el 6 y 4, siendo el 7 el nro correcto y al estar en mala posición, entonces debe ir primero.

-Finalmente de la 3ra fila el único nro libre es el 1 y la única posición q puede ocupar es la tercera.

Por lo tanto el código correcto seria 781

[Edwin Contreras Macedo]

El código correcto es 781

[Juan Carlos Ulloa Vasquez]

Codigo secreto es el 781

[Marco Antonio Ayoroa Saucedo]

781

[Jose Miguel Borges Camacho]

1-8-7

[Pablo Moises Cladera Soliz]

el codigo es 781

[Joseff Burgoa]

814

[Juan David Lee Pacheco]

La 2da línea-descarta 5 – 3 – 0

La 3ra línea descarta 5

La 5ta linea descarta 4 – 6

La 4ta línea descarta 0 – 6

LA 1ra línea descarta 5 – 4

Queda 7 – 8 – 1

[Alvaro Raul Flores Ramirez]

7-8-1

[Jose Carlo Thompson Adorno]

781

[Ruddy Mauricio Candia Rosado]

187

[Favio Daniel Peña Lara]

Es importante también poder aplicar la Seguridad de la Información en nuestras empresas y organizaciones, un libro que nos puede ayudar a poder implementar ISO27001 es el libro de Seguro y Simple del autor Dejan Kosutic. En este libro nos muestra una manera mas practica con ejemplos claros y aplicados a varios tipos de organizaciones.

Copio una imagen del libro para que lo puedan buscar y puedan leerlo, se los recomiendo.

copio el link del resumen del libro ya que el libro completo tiene mas de 200 hojas:

https://advisera.com/wp-content/uploads//sites/9/2016/11/Seguro_Simple_ES_Look_inside.pdf

 

[Oscar Peralta]

781

[Favio Daniel Peña Lara]

Solucion: 7 8 1

[Jose Carlo Thompson Adorno]

Queria comentarles de un producto que me ofrecieron cuando estaba viendo sistemas de control de plantas industriales.

Un gran problema que tenemos en las plantas es que el personal utiliza pendrive, para llevar alguna información de los sistemas de control, ya sea para los partes de producción o para análisis de eventos. Por eso es que los grandes ataques a sistemas de control han sido a traves de virus que vienen en pendrive.

Honeywell un fabricante americano de muchos productos, tiene una linea de ciberseguridad, y entre los productos que tiene, esta una especie de tablet que hace de gestor de permisos de conexión para pendrive, lo que hace es que al conectar un pen drive lo analiza con 3 antivirus, luego saca una foto del contenido, y  da el token para que pueda ser conectado a cualquier computador de control, una vez se conecta el pendrive y se realiza las operaciones con los archivos, si la persona se lo lleva a otro lado sin volver a conectarlo a la tablet no podra leer la informacion. Si lo conecta a la tablet, esta volvera a sacar una foto del contenido y dara o no la habilitacion para que ese pendrive pueda llevarse esa informacion.

Les dejo el link para que vean una presentacion de la solucion

[Andres Martinez Flores]

Aun que fueron mas rapido que yo de todas formas mi respuesta:

*Por la 2da regla descartamos todos los numeros iguales.

* Por la 3ra regla sabemos que 1 y 7 con los dos codigos finales.

*Por la 1ra y 4ta regla sabes que el 8 es el otro número del codigo y descartamos el número 4 y 6 para todas las filas.

* Por la 1ra y 4ta regla indica que un número es correcto pero no la posición, entonces unico lugar es la segunda posción del codigo final ahi se situa el número 8.

* Por la 5ta regla indica que esta mal ubicado, asi que debe ocupar la 1ra posición del codigo el número 7 y el 1 debe ocupar la 3ra posición del codigo final, quendo en 781.

RESPUESTA: 781.

[Andres Martinez Flores]

Compañeros comparto con ustedes un blog donde publican noticias referente a seguridad informatica, espero que les ayude.

https://blog.segu-info.com.ar/

[Neyer Celso Canaviri Aguilar]

Virtualizacion.

Hace un par de años se me descompuso uno de los servidores de la organización en la que trabajo, lamentablemente en ese momento no había presupuesto para adquirir un nuevo servidor así que opte por montar el servidor virtualizado en otro que si estaba funcionando, al principio tenia dudas acerca del rendimiento o capacidad sin embargo con el paso del tiempo ha funcionado satisfactoriamente.

Como hipervisor use el VirtualBox

Como sistema Operativo use: Windows Server 2012R2 (como anfitrion e invitado)

en los cuales corre un sistem web con Base de datos: PostgreSQL 9.3, Servidor web: Apache Lounge 2.4 y Python 3.6

hasta la fecha sigue funcionando.

[Laura Alejandra Toara Salinas]

Compañeros comparto con ustedes una GUÍA PARA LA ADQUISICIÓN DE SISTEMAS DE CIBERSEGURIDAD.

Ya que elegir un sistema de ciberseguridad es una decisión importante. Qué debemos buscar y como podemos estar seguros de tomar la decisión correcta?. Les dejo el link para que lo descarguen:

https://drive.google.com/file/d/1Zp7Zp2FCdqi4GxXfAwPLO3vLVEvkm0nf/view?usp=sharing

[Juan David Lee Pacheco]

Les recomiendo el curso de seguridad de CISCO, el cual tiene examenes y al final te entregan un certificado por hacerlo todo.
https://www.netacad.com/courses/cybersecurity/cybersecurity-essentials
Cubre lo esencial y sirve para repasar bastante los conceptos basicos, los recursos de estudio son muy buenos ya que se pueden tomar de diferentes formas ludicas.

[Daniel Vargas Rios]

yo he visto grandes ventajas con en el uso de servidores virtualizados, puedo mencionar las siguientes:

• Reduce costos, y no solo con el precio del equipo fisico sino tambien en el tema de consumo electrico cuando llegas a usar mas de un servidor virtual en un Host.
• tiene una alta escalabilidad ya que puedes establecer los recursos necesarios y porque puedes eliminar o crear nuevas maquinas virtuales.
• Aumenta su eficiencia en el tema de ciberseguridad, y este es el punto que voy a recalcar.

Estas maquinas se ejecutan en un entorno aislado, lo cual es bueno porque le agregamos un filtro mas para que el ciberatacante no pueda ingresar al servidor, sin mencionar que los entornos virtualizados ofrecen proteccion contra el malware por el hecho que estas no podrian infectar el resto de las maquinas virtuales o al propio Host en donde esta hospedado.

 

 

 

[Luis Fernando Cayoja Mendoza]

Buenas noches colegas, les comparto los curso que la linea Fortinet esta ofreciendo en su plataforma de manera gratuita:

https://training.fortinet.com/local/staticpage/view.php?page=certifications

Espero les sea de mucha ayuda como lo será conmigo, saludos colegas.

[Andres Javier Mendez Gabriel]

Para los colegas que esten buscando una solución de teletrabajo bastante buena, bonita y barata (BBB)

Yo utilizo  un cliente vpn de sophos XG para crear una regla para cada usuario que permita la conexión a su equipo físico. esto me permite restringir el acceso a su pc.

En el equipo cliente del domicilio se compro una licencia de mcafee (Mcafee total protection) por un monto de 40 US que permite ser instalado hasta en 10 equipos que tiene una vigencia de 1 año de forma de evitar bichos en el equipo remoto.

Para la conexión utilizo la herramienta nomachine que se instala en ambos equipos y permite la conexión de forma remota, es bastante buena y gratis. Permite compartir carpetas, podes mapear unidades de disco y trabajar con multiples monitores, ademas dependiendo de la calidad de velocidad de internet te permite configurar la calidad de la imagen con la que se va a conectar.

cualquier consulta a las ordenes

 

[William Percy Cardona Terceros]

Comparto con ustedes la experiencia de buenos resultados de tener un proceso de Gestión de Vulnerabilidades Técnicas formalmente establecido, se que muchos realizan esta gestión proactivamente o la realizan de manera periódica para dar cumplimiento a requerimientos de entes reguladores o por alguna solicitud en particular bajo demanda, sin embargo, los verdaderos beneficios se ven cuando este proceso es continuo y utiliza múltiples fuentes como entrada, como ser:

– Información de Proveedores / Fabricantes.

– Artículos de Foros o Sitios especializados en Seguridad

– Herramientas especializadas de escaneo de vulnerabilidades.

En este último punto en particular, existen diversas herramientas gratuitas y pagas que brindan un apoyo esencial a esta gestión,  una solución que puedo recomendarles es Nexpose de Rapid7, es bastante completa y brinda visibilidad de las vulnerabilidades asignándoles un nivel de riesgo para priorizar la atención de la mismas, recomendaciones para subsanar las vulnerabilidades encontradas y plantillas de cumplimiento que facilitan el uso de esta herramienta en los distintos rubros empresariales.

[Ruddy Mauricio Candia Rosado]

Saludos a todos, les quiero compartir un software muy util para el tema de marketing digital, la solucion se llama PurpleWifi el cual lo he implementado y es gratis solo hasta 3 access point. En resumen es un hotspot el cual permite el acceso a internet por medio de un llenado de formulario, por redes sociales(facebook, instagram,etc) o por codigo generados en la plataforma. Por los distintos medios de login se recolecta informacion del usuario que accedió y se puede utilizar esa data para hacer marketing u otro uso. Les copio el link de la pagina: https://purple.ai/es/#login-portal

Yo lo implementé haciendo una conexion radius con el controlador de los Ap Ubiquiti Unifi, cualquier duda me escriben y con gusto les ayudaría.

[Felix Adriazola]

FIREWALLS: en mi trabajo somos una empresa en etapa de crecimiento y anteriormente estabamos utilizando como firewall y servidor de correo Zentyal y ha funcionado muy bien casi 3 años trabajando bien aunque tuvimos 2 a lo mucho inconvenientes pero que no paso a mayores; por temas seguridad con el consultor que nos daba soporte tuvimos que cambiar.

Hoy utilizamos mikrotik ya casi 2 años bloqueamos los puertos y tenemos vpn con nuestras agencia y el acceso a nuestro servidor no se lo hacemos directamente tenemos un servidor de acceso que realiza el puente con nuestro servidor de sistema.

Por el momento estamos trabajando bien pero ya nos esta quedando muy pequeño dicho equipo.

Estuvimos viendo el tema de adquirir firewall Fortinet o Sofo, revisamos los costos junto con gerencia …..

NOS DIJERON NOOOOOOOOOOOOO……………

Ahora estamos viendo alternativas de otros firewall o de buscar un equipo mikrotik mas robusto……………..

[Luis Fernando Cayoja Mendoza]

Buenas noches colegas, me he topado con muchos analistas de seguridad que no saben con que herramienta hacer el análisis de vulnerabilidades a aplicaciones móviles, ya sea android o IOs, aquí les comparto una herramienta muy buena para hacer análisis estático y dinámico de aplicaciónes:

https://mobsf.github.io/Mobile-Security-Framework-MobSF/

Es una herramienta muy completa y en constante actualización, la plataforma cuenta con cursos de certificación a un bajo costo, espero les sirva.

[Pablo Moises Cladera Soliz]

buenas noches, como experiencia y aporte para que puedan revisar las ventajas y beneficios en tema de herramientas, hace un tiempo tuvimos un problema con una oficina remota donde teníamos un FW checkpoint ya obsoleto y nos falló, con este equipo también teníamos la VPN con este punto, y no teníamos equipo de remplazo ese momento, y hacer una compra es un proceso largo, ante la situación optamos por la alternativa de Sophos , realmente fue una muy buena sorpresa implementarlo (sencillo y uen rendimiento) solucionamos tla emergencia  y lo que fue una solución de emergencia luego la aplicamos ya en otras conexiones remotas como segunda alternativa.

[Pablo Moises Cladera Soliz]

también como experiencia en temas relacionados de seguridad nosotros estamos en el área de soporte, y se puede ver que una de las mejores herramientas de seguridad es la capacitación e información al usuario, que muchas veces dejamos a un lado.

 

 

[Henry Romero Añez]

LOS ATACANTES UTILIZAN UNA HERRAMIENTA LEGITIMA PARA COMPROMETER LOS ACTIVOS BASADOS EN LA NUBE

investigadores de la firma de ciberseguridad Intezer ha descubierto que un grupo malicioso llamado TeamTNT esta utilizando una herramienta de terceros llamado Weave Scope para atacar 4 plataformas basados en la nube a saber,Docker,Kubernetes,Distributed Cloud Operating System (DCOS). y AWS Elastic Compute Cloud(ecs).

para comprender como lo hacen ,debe saber que Weave Scope permite a los usuarios ver sus aplicaciones en la nube,incluidos hosts,servicios,procesos y muchos mas en tiempo real .

ademas ,también permite controlarlos con la ayuda de una linea de comando .por lo tanto ,para obtener acceso a los activos basados en la nube del usuario,los atacantes simplemente instalan esta herramienta para que hagan toso por ellos automáticamente .

“Para instalar Weave Scope en el servidor, los atacantes usan un puerto API de Docker expuesto y crean un nuevo contenedor privilegiado con una imagen limpia de Ubuntu. “El contenedor está configurado para montar el sistema de archivos del contenedor en el sistema de archivos del servidor de la víctima, obteniendo así acceso de los atacantes a todos los archivos del servidor. “El comando inicial que se le da al contenedor es descargar y ejecutar varios criptomineros.

“Luego, los atacantes intentan obtener acceso de root al servidor configurando un usuario privilegiado local llamado ‘hilde’ en el servidor host y usarlo para conectarse nuevamente a través de SSH.

Una vez hecho esto, la herramienta simplemente se descarga e instala con la ayuda de algunos comandos que abren el acceso a su backend para los atacantes a través del puerto 4040 mediante HTTP.

El motivo del ataque parece centrarse en ganar dinero a través de las criptomonedas Esto es evidente por el hecho de que el primer comando que se ejecuta después de que los atacantes obtienen acceso es instalar cripto mineros de acuerdo con su  historial Para concluir, para estar seguros, los usuarios no solo deben asegurarse de que los puertos no utilizados estén cerrados, sino también “bloquear las conexiones entrantes al puerto 4040”, ya que se usa para finalmente obtener acceso a Weave Scope.Además,

es mejor contratar profesionales para proteger su infraestructura basada en la nube, ya que un simple error puede costarle su seguridad.

les comparto el link de un blog de seguridad sobre noticias del ámbito

Attackers use legitimate tool to compromise Cloud based assets

[Laura Alejandra Toara Salinas]

PRÁCTICAS RECOMENDADAS CON FIREWALLS  PARA BLOQUEAR RASOMWARE:

https://drive.google.com/file/d/1ZnX6tT4d-FST39izlWKTQyxay56uZkFc/view?usp=sharing

[Alvaro Raul Flores Ramirez]

Buenas tardes colegas, por el momento tengo 2 aportaciones pequeñas. La primera es una buena experiencia con el antivirus Symantec Endpoint Protection, por su funciones de administración centralizada de todos los equipos finales clientes con algunos ejemplos conocidos como bloqueo de puertos usb, actualizaciónes programadas, etc en empresas mediana-grande.

El segundo para variar un poco las aportaciones, es una recomendación de una serie documental que tal vez algunos la vieron se llama Ciberwar del canal Natgeo, especialmente para nosotros los entusiastas por la seguridad. En cada capitulo hay temas variados como Stuxnet y el problema politico-nuclear, cibermercenarios, el ciberejercito de israel, el mercado de dia zero entre otros.

[Andres Javier Mendez Gabriel]

ISACA acquires global capability maturity leader CMMI® Institute

Posted By: adminon: March 04, 2016

Mumbai: ISACA, the professional association for IT governance, assurance and cyber security professionals, today announced that it has acquired CMMI®Institute, the global leader in the advancement of best practices in people, process and technology. By joining forces, the two organizations will raise the level of enterprise wide performance for existing and prospective members and customers and reach more diverse markets.

 

ISACA provides knowledge, standards, networking, credentialing and career development to IT and cyber security professionals. Through its comprehensive guidance and services, ISACA defines the roles of information systems governance, security, risk and assurance professionals worldwide. CMMI Institute is the organization behind the Capability Maturity Model Integration (CMMI), the globally adopted capability improvement framework that guides organizations in high-performance operations. CMMI Institute provides the tools and support for organizations to benchmark their capabilities and build maturity by comparing their operations to best practices and identifying performance gaps.

 

“We are living in a time of dynamic change in our industry, and technology has more power than ever before to transform an organization. For nearly 50 years, ISACA has been committed to equipping the professions we serve with the resources they need to positively impact their enterprises,” said ISACA CEO Matt Loeb, CGEIT, CAE. “Our acquisition of CMMI Institute will help us to broaden our focus on helping professionals and their organizations optimize their use of technology, increase value for stakeholders and improve business performance.”

 

ISACA and CMMI Institute share a vision for advancing organizational performance that centers on driving excellence in the IT, information systems governance, data management governance, software, and systems engineering functions in organizations across a spectrum of industries.

 

“CMMI Institute is a natural fit for ISACA and we are very excited to unite with them to create new offerings for ISACA’s member community,” said Kirk Botula, CEO of CMMI Institute. “Together, we’ll offer a stronger portfolio of business solutions and professional development to both of our global customer bases and accelerate the pace of capability improvement and high maturity operations in their organizations.”

 

The number of organizations earning a CMMI maturity level rating in 2015 increased 28 percent in the US and 17 percent globally. Fueled by the demand among global business leaders to improve organizational capabilities and drive business results, CMMI Institute continues to grow year over year in the number of CMMI maturity level ratings earned by organizations. In 2015, more than 1,900 high-performing organizations earned a CMMI maturity level rating.

 

ISACA serves more than 140,000 members and certification holders working in the information systems governance, security, audit and assurance functions across all industries. This acquisition will expand ISACA’s reach to the thousands of organizations to which CMMI Institute has awarded a maturity level rating to improve their organizational capabilities and achieve higher maturity in their operations through their software, systems engineering and process improvement functions.

 

“Information technology is the backbone of the world economy and an enabler of business innovation. ISACA helps professionals and their organizations in gaining value through the right technology models and by removing impeding factors like cyber threats,” said Christos Dimitriadis, Ph.D. CISA, CISM, CRISC, international president of ISACA. “Our acquisition of CMMI positions us well to accelerate our mission toward a more holistic approach, focusing even further on products and services engineering and operations.”

 

ISACA and CMMI Institute will continue to operate separately, with CMMI Institute operating as a subsidiary of ISACA. Additional information is available at http://www.isaca.org/cmmi-institute.

[Henry Romero Añez]

04 MAR 2016
ISACA adquiere el CMMI Institute

ISACA, el Instituto de Auditores TI, anunció la compra de CMMI® Institute, convirtiéndose en la organización más importante de las certificaciones de gobierno TI, seguridad y madurez de procesos. Con esta adquisición, ISACA se posiciona muy por encima de las certificaciones de AXELOS o de PMI.
CMMI Institute es la organización dueña del Modelo de Capacidad y Madurez conocido como CMMI, el marco de mejora de la capacidad adoptada a nivel mundial que es guía para las organizaciones en las operaciones de alto rendimiento y que ha servido de base para la ISO 15504, también conocida como SPICE. CMMI Institute proporciona las herramientas y el apoyo a las organizaciones para construir un modelo de madurez mediante comparativas de sus operaciones respecto de las mejores prácticas y la identificación diferencial de resultados.
Según Matt Loeb, CEO de ISACA, “en la época de cambio que está viviendo nuestra industria, la tecnología tiene más poder que nunca para transformar una organización”. Durante casi 50 años, ISACA ha estado comprometida dotando a los profesionales con los recursos que necesitan para impactar positivamente en sus empresas. “La adquisición de CMMI Institute nos ayudará a ampliar nuestro enfoque ayudando a los profesionales y sus organizaciones a optimizar el uso de la tecnología, aumentar el valor para los interesados ​​y mejorar el rendimiento del negocio”, añadió Loeb
El modelo de madurez de CMMI se basa en 5 niveles que van desde el más básico (nivel 1) cuando una organización que tiene procesos que no son predecibles, con poco control y básicamente reactivos, hasta el máximo nivel de madurez (nivel 5) para empresas que ya están en la mejora de los procesos

[Luis Fernando Cayoja Mendoza]

La institución bien conocida por el marco de madurez de capacidades es CMMI – Capability Maturity Model Integration. CMMI ha proporcionado herramientas y apoyo para que las organizaciones comparen sus capacidades y desarrollen niveles de madurez.

Comparando sus operaciones con las mejores prácticas internacionales. Tiene un fuerte reconocimiento de marca en todo el mundo.

La adquisición de CMMI por parte de ISACA ayudará tanto a las entidades como a compartir una visión similar para promover la excelencia organizacional en TI, sistemas de información, gobierno, etc.

https://www.linkedin.com/pulse/isaca-acquires-cmmi-institute-nalin/

[Daniel Vargas Rios]

Buenas noches,
quiero compartir con ustedes una informacion que seguramente ya saben pero, algunos posiblemente no. Es un tema muy severo que surgio ya hace apenas unos dias y es con respecto a todos los que trabajamos con windows server, es una vulnerabilidad calificada como muy severa, ya que no hay evidencia de como fue explotado, practicamente es un fallo criticio que afecta a todas las versiones de windows server desde el 2008 a la version 2004 y trata de una vulnerabilidad de elevacion de privilegios en el servicio netlogon de windows.

Les comparto el link para que puedan tener mas informacion y tener sus precauciones.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

[William Percy Cardona Terceros]

Si es que aún no están suscritos al Boletín de Noticias de Seguridad Informática de Hispasec, les recomiendo que se puedan registrar para recibir de manera diaria este contenido, el mismo es bastante completo y actualizado.

Link de Referencia:

– https://unaaldia.hispasec.com/

[Arnold Romero Perez]

Buenas tardes colegas, esta oportunidad vengo a dar mi granito de arena presentándoles, si es que aun no lo conocen, a la herramienta de análisis de virus en linea VirusTOTAL, una web y una herramienta creada por la empresa de seguridad española Hispasec Sistemas y lanzada en 2004, por un lado cuenta con una base de datos actualizada y, por otro, con 55 antivirus y 70 motores de detección.

Es una herramienta que me ha sido de gran utilidad en varias ocaciones, especialmente detectando amenazas que mi antivirus no lo detectaba, es fácil de utilizar y muy intuitiva que incluso un usuario final en el trabajo puede usar, solo necesitas de una conexión a Internet, desde su sitio web puedes subir un archivo sospechoso o introducir una URL y escanearlos en cada uno de los motores de detección que cuenta arrojando resultados gráficos y textuales entendibles, ademas de que si recibes un archivo sospechoso por correo, esta puedes reenviarla al correo scan@virustotal.com y te responde con los resultados del análisis.

Como info para los desarrolladores, VirusTotal también cuenta con una API pública, es decir, una interfaz de programación abierta para implementar nuevas features.

Les invito a que le den una curioseada entrando desde el siguiente enlace, quizás les sea de mucha utilidad como a mi.

https://www.virustotal.com/gui/

Saludos

A. Romero

[Felix Jorge Ramirez Arispe]

ISACA Adquiere al Instituto CMMI®, Líder de Madurez de Capacidades Globales

La adquisición amplía las oportunidades para ayudar a las organizaciones a optimizar su uso de la tecnología, aumenta el valor para las partes interesadas y mejora el desempeño del negocio

 

ROLLING MEADOWS, Illinois–(BUSINESS WIRE)–ISACA, la asociación profesional de gobierno y aseguramiento de TI y profesionales de la seguridad informática, anunció hoy la adquisición del Instituto CMMI®, el líder global en la promoción de las buenas prácticas en materia de personas, procesos y tecnología. Al unir fuerzas, las organizaciones aumentarán el nivel de desempeño empresario para los miembros existentes y potenciales y alcanzarán mercados más diversos.

 

Pagina WEB : https://www.businesswire.com/news/home/20160303006772/es/

[Jose Miguel Borges Camacho]

<span style=”font-family: Arial, Helvetica, sans-serif; font-size: 14.4px;”>La empresa de ciberseguridad Panda Security ha detectado una nueva estafa a través de Bizum, la plataforma para pagos a través de teléfono móvil, en la que los delincuentes se hacen pasar por funcionarios de la Seguridad Social y ofrecen la</span><strong style=”box-sizing: inherit; font-family: Arial, Helvetica, sans-serif; font-size: 14.4px;”> devolución de unas tasas por escolarización

pagina web https://www.eitb.eus/es/noticias/sociedad/detalle/7492120/detectan-estafa-traves-bizum-haciendose-pasar-seguridad-social/

[Pablo Moises Cladera Soliz]

Buenas noches, comparto una conferencia sobre COBIT2019

 

 

 

[Luis Fernando Cayoja Mendoza]

Buenas noches compañeros, todos sabemos que el phishing siendo bastante simple, es uno de los metodos más usados y el que presenta mayor exito, por las personas malintencionadas, atacando el eslavón más débil de una organización (las personas).

Google tiene una web para poder realizar un test, así poder saber que nivel de conocimiento tenemos hacerca de como detectarlo, puede servirles para realizarlo a sus compañeros de trabajo.

Les comparto el link -> https://phishingquiz.withgoogle.com/

[Marco Antonio Ayoroa Saucedo]

Comparto con ustedes este resumen de un articulo sobre COBIT

 
<div class=”main-content single-post-content”>
<div class=”container”>
<p style=”text-align: justify;”><span style=”font-weight: 400;”>Los marcos de trabajo son herramientas que sirven como referencia para llevar a cabo un buen gobierno corporativo, mediante el cual se planteen y ejecuten las estrategias pertinentes en torno a la gestión ideal de las tecnologías de la información (IT)</span></p>
<p style=”text-align: justify;”><span style=”font-weight: 400;”>En ese sentido </span><span style=”font-weight: 400;”>COBIT</span><span style=”font-weight: 400;”> (Control Objectives for Information and related Technology. En español, </span><span style=”font-weight: 400;”>Control de Objetivos para Tecnologías de Información y Relacionadas</span><span style=”font-weight: 400;”>) es un modelo de referencia que por más de 20 años ha promovido la continuidad entre los departamentos de IT en las organizaciones y sus objetivos estratégicos de cara al negocio. En consecuencia, esto permite a los directivos alinear y vincular sus metas comerciales con las responsabilidades de los equipos de tecnología para que la organización logre un equilibrio que promueva su desarrollo.</span></p>
<p style=”text-align: justify;”><span style=”font-weight: 400;”>Esa es una de las razones por las que este marco ha recibido una gran aceptación a nivel mundial teniendo en cuenta que este es aplicable a todos los modelos de negocio, entornos tecnológicos e industriales y corporaciones que precisen la dirección enfoques prácticos en torno a: </span></p>

<ul style=”text-align: justify;”>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Seguridad de la información.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Gestión de riesgo.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Buen gobierno y administración de IT.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Actividades de aseguramiento.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Cumplimiento legislativo y regulador.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Procesamiento financiero.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Informe de responsabilidad social corporativa.</span>

<p style=”text-align: justify;”><span style=”font-weight: 400;”>En sus inicios, en el año de 1996, COBIT fue diseñado por ISACA, una asociación global, independiente y sin ánimo de lucro dedicada al desarrollo de conocimiento y buenas prácticas para los sistemas de información. </span></p>
<p style=”text-align: justify;”><span style=”font-weight: 400;”>Esta organización lanzó a COBIT como un conjunto de objetivos de administración de IT como una herramienta exclusiva para la comunidad de auditoria financiera con la finalidad de desarrollarse mejor en la evolución de los entornos IT.</span></p>
<p style=”text-align: justify;”><span style=”font-weight: 400;”>Actualmente la versión oficial es COBIT 5 y esta incluye un lenguaje claro tanto para CEO’s, CFO’s, CIO’s y en general para el personal clave de los departamentos tecnológicos. Esto como consecuencia de que el éxito de la organización depende en gran parte del nivel de entendimiento de los riesgos para aprovechar las IT al máximo.</span></p>
<p style=”text-align: justify;”><span style=”font-weight: 400;”>Dentro de los cinco beneficios de COBIT 5 que resultan elementos clave para la gestión de la organización se encuentran:</span></p>

<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Cumplir con las necesidades clave de los involucrados.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Cubrir la empresa de extremo a extremo.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Integrar multiples marcos de referencia bajo un mismo propósito.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Promover un enfoque holístico para el desarrollo de los negocios.</span>
<li style=”font-weight: 400;”><span style=”font-weight: 400;”>Separar al gobierno corporativo de la administración tecnológica.</span>

<p style=”text-align: justify;”><span style=”font-weight: 400;”>Estos beneficios se consiguen bajo el amparo de cuatro prácticas interconectadas las cuales se dividen en:</span></p>

1. <b> Planear y organizar</b><span style=”font-weight: 400;”> tanto objetivos generales y específicos de los diversos departamentos así como la visión estratégica de la organización.</span>
2. <b>Adquirir e implementar</b><span style=”font-weight: 400;”> las soluciones de IT necesarias para apoyar la seguridad y los procesos del negocio. </span>
3. <b>Entrega y soporte</b><span style=”font-weight: 400;”> para los servicios y administración de la seguridad a todos los actores que intervengan en la organización.</span>
4. <b>Monitorización y evaluación</b><span style=”font-weight: 400;”> de la administración del desempeño y el cumplimiento regulatorio.</span>

<p style=”text-align: justify;”>COBIT y los demás marcos de referencia de buenas practicas como ISO 27001, NIST, etc. Requieren de herramientas tecnológicas que faciliten y apoyen su implementación, en la mayoría de los casos, herramientas como NAC son imprescindibles cuando se desea implementar un marco de referencia, lo anterior debido a que efectuar las recomendaciones y buenas practicas del marco de referencia usado, es menester implementar determinados controles, ya que se hace a través de herramientas tecnológicas.</p>
<p style=”text-align: justify;”><span style=”font-weight: 400;”> </span></p>
<p style=”text-align: justify;”><span style=”font-weight: 400;”> </span></p>

</div>
</div>

[Marco Antonio Ayoroa Saucedo]

Buenas noches, comparto con ustedes un resumen de un articulo sobre COBIT

Los marcos de trabajo son herramientas que sirven como referencia para llevar a cabo un buen gobierno corporativo, mediante el cual se planteen y ejecuten las estrategias pertinentes en torno a la gestión ideal de las tecnologías de la información (IT)

En ese sentido COBIT (Control Objectives for Information and related Technology. En español, Control de Objetivos para Tecnologías de Información y Relacionadas) es un modelo de referencia que por más de 20 años ha promovido la continuidad entre los departamentos de IT en las organizaciones y sus objetivos estratégicos de cara al negocio. En consecuencia, esto permite a los directivos alinear y vincular sus metas comerciales con las responsabilidades de los equipos de tecnología para que la organización logre un equilibrio que promueva su desarrollo.

Esa es una de las razones por las que este marco ha recibido una gran aceptación a nivel mundial teniendo en cuenta que este es aplicable a todos los modelos de negocio, entornos tecnológicos e industriales y corporaciones que precisen la dirección enfoques prácticos en torno a:

Seguridad de la información.
Gestión de riesgo.
Buen gobierno y administración de IT.
Actividades de aseguramiento.
Cumplimiento legislativo y regulador.
Procesamiento financiero.
Informe de responsabilidad social corporativa.

En sus inicios, en el año de 1996, COBIT fue diseñado por ISACA, una asociación global, independiente y sin ánimo de lucro dedicada al desarrollo de conocimiento y buenas prácticas para los sistemas de información.

Esta organización lanzó a COBIT como un conjunto de objetivos de administración de IT como una herramienta exclusiva para la comunidad de auditoria financiera con la finalidad de desarrollarse mejor en la evolución de los entornos IT.

Actualmente la versión oficial es COBIT 5 y esta incluye un lenguaje claro tanto para CEO’s, CFO’s, CIO’s y en general para el personal clave de los departamentos tecnológicos. Esto como consecuencia de que el éxito de la organización depende en gran parte del nivel de entendimiento de los riesgos para aprovechar las IT al máximo.

Dentro de los cinco beneficios de COBIT 5 que resultan elementos clave para la gestión de la organización se encuentran:

Cumplir con las necesidades clave de los involucrados.
Cubrir la empresa de extremo a extremo.
Integrar multiples marcos de referencia bajo un mismo propósito.
Promover un enfoque holístico para el desarrollo de los negocios.
Separar al gobierno corporativo de la administración tecnológica.

Estos beneficios se consiguen bajo el amparo de cuatro prácticas interconectadas las cuales se dividen en:

Planear y organizar tanto objetivos generales y específicos de los diversos departamentos así como la visión estratégica de la organización.
Adquirir e implementar las soluciones de IT necesarias para apoyar la seguridad y los procesos del negocio.
Entrega y soporte para los servicios y administración de la seguridad a todos los actores que intervengan en la organización.
Monitorización y evaluación de la administración del desempeño y el cumplimiento regulatorio.

COBIT y los demás marcos de referencia de buenas practicas como ISO 27001, NIST, etc. Requieren de herramientas tecnológicas que faciliten y apoyen su implementación, en la mayoría de los casos, herramientas como NAC son imprescindibles cuando se desea implementar un marco de referencia, lo anterior debido a que efectuar las recomendaciones y buenas practicas del marco de referencia usado, es menester implementar determinados controles, ya que se hace a través de herramientas tecnológicas.

Para concluir, si deseas profundizar y conocer más acerca de ISACA puedes visitar su sitio web oficial haciendo clic aquí.

Si estás planeando o te encuentras en proceso de implantación/certificación de algún marco de buenas prácticas, haz clic aquí, solicita una demo y conoce cómo openNAC soporta la implementación de COBIT en tu organización.

[Marco Antonio Ayoroa Saucedo]

En el siguiente enlace pueden leer un articulo interesante sobre un   informe de Proofpoint donde se demuestra que Menos del 1% de los ataques se llevan a cabo sin que el usuario haga algo es decir casi todos los ataques cibernéticos requieren de la interacción del usuario
podemos indicar que prácticamente la totalidad de los ataques van a necesitar de la interacción del usuario. Esto tiene su parte positiva, pero también la negativa y que nos hace reflexionar.

 

https://www.redeszone.net/2019/09/10/mayoria-ataques-necesitan-interaccion-usuario/

[Favio Daniel Peña Lara]

Les comparto un enlace hacia un grupo en Discord, este grupo tiene mucho material sobre nuestra área y que también muestran cursos que se dan ya sean sin costo o con un costo mínimo. este grupo tiene la finalidad que compartir recursos y que igualmente todos aporten.

Enlace al grupo de EN T.I. CONFIO

https://discord.gg/QdYjRa

[Fabian Federico Cavero Hidalgo]

Webinar – COBIT 2019 – Como Marco para el Gobierno TI