• ISO/IEC 29100:2011: Una introducción al marco de trabajo de privacidad para la protección de información de identificación personal (PII)

    Revista SIC 124 (Spain) | Abril 2017

    “… Con la adopción del Reglamento General de Protección de Datos (Regulación de la Unión Europea 2016/679) y los acontecimientos más recientes vinculados con exfiltración de datos personales (incluyendo la información publicada de forma no autorizada de 49,6 millones de ciudadanos turcos y 93,4 millones de ciudadanos mexicanos, sin contar el robo de información de 37 millones de usuarios del sitio de citas para adultos “Ashley Madison”, por solo nombrar algunos ejemplos) se hace cada vez más necesaria la implementación organizacional de un marco de trabajo para la protección de la información de identificación personal (Personally Identifiable Information – PII) que defina los roles y responsabilidades de todos los actores involucrados dentro del ciclo de vida de este tipo de datos.
    En este artículo se analizará el estándar ISO/IEC 29100:2011 y otras propuestas previas similares que pueden servir como referencia para la definición de una estrategia para la protección de la privacidad en la organización…”


    Amazon y PCI DSS: guía práctica para alinear AWS en un entorno de datos de tarjeta de pago

    Revista SIC Spain | September 2016

    “… Cuando por consideraciones técnicas o administrativas se opta por delegar la gestión de ciertos componentes o de la totalidad de la infraestructura informática de la organización a un tercero, es imprescindible garantizar que los niveles de seguridad que dicho tercero aplicará serán iguales o mejores a los que la propia organización mantiene. Adicionalmente, si el entorno delegado debe cumplir con requerimientos legales o estándares de la industria, la responsabilidad de parte y parte debe quedar claramente estipulada en términos contractuales. Este es el caso de los servicios de Amazon en la nube (Amazon AWS) y el cumplimiento de PCI DSS. A pesar que el proveedor (CSP) ofrece una gran cantidad de servicios para configurar la infraestructura de forma segura, es finalmente el cliente el responsable de la seguridad de los datos y de la configuración de los servicios que se ejecutan sobre la capa provista por Amazon. Por otro lado, la complejidad en el despliegue de una solución de estas características implica un alto conocimiento tanto de la plataforma del CSP como de la aplicación de los controles de PCI DSS. Finalmente, en este artículo se ha plasmado el despliegue técnico de controles empleando las funcionalidades provistas por un CSP como Amazon…”


    ISACA JOnline: “Ataraxia and Premeditation as Elements of Judgment in the Risk Analysis Process”

    ISACA JOURNAL Volume 2, 2016

    “… The typical postincident cliché assumes that misfortunes are opportunities. Instead, one can methodically prepare using the correct tools to implement a realistic and objective perspective without engaging in unjustified pessimism or optimism in the management of the uncertainty associated with risk. A correct mental exercise in which risk is visualized, completely excluding any emotion arising from the subjectivity of the individual who performs the process, will allow the organization to develop a range of alternatives for the proper selection of strategies, balancing the placebo effect of positive thinking and Stoic excessive pessimism…”


    ISACA JOnline: “La ataraxia y la premeditación como elementos de juicio en el proceso de análisis de riesgos”

    ISACA JOURNAL Volumen 2, 2016

    “… El objetivo detrás de este artículo es el de cambiar el típico cliché post-percance en el cual se asume que “las desgracias son oportunidades” y en vez de ello prepararse de forma metodológica con las herramientas correctas empleando una perspectiva realista y objetiva sin caer en un pesimismo u optimismo injustificado en la gestión de la incertidumbre asociada a los riesgos. Un correcto ejercicio mental en el cual se visualicen los riesgos excluyendo al máximo cualquier emoción proveniente del subjetivismo del individuo que realiza el proceso permitirá ofrecer a la organización un abanico de alternativas para una adecuada elección de estrategias, equilibrando el “efecto placebo” del pensamiento positivista y el “pesimismo excesivo” del estoicismo…”


    RAM Scraping: ¿es suficiente con PCI DSS?

    Revista SIC (Spain) | November 2015

    “… Con la masificación del malware para TPV (POS) y los incidentes de robo de datos de tarjetas de pago en Target y en las cadenas de hoteles Hilton y Trump (por solo citar algunos), uno de los primeros interrogantes que se plantean en una organización es cómo gestionar el impacto de este código malicioso para evitar la fuga masiva de datos. La respuesta más obvia sería la implementación de los controles de PCI DSS (Payment Card Industry Data Security Standard), pero aun así pueden quedar algunos elementos descubiertos, razón por la cual es indispensable complementar dichos controles con tecnologías adicionales. …”

    Also published in Internet Security Auditors’ blog


    Reseña: ¿El Internet de las Cosas (IoT) es seguro?

    Revista Empresario Emprendedor (Colombia), ISSN 2027-0046, Edición 22, 2014, pág. 26 | February 2014

    “… El IoT está basado en tecnologías existentes que no están exentas de vulnerabilidades. La integración e interconexión de todos estos elementos conlleva a una sumatoria de riesgos que simplemente cambiarán el escenario de ataque pero los conceptos de amenaza y vulnerabilidad seguirán siendo los mismos, afectando – como siempre – la confidencialidad, la integridad y la disponibilidad …”


    ISACA JOnline: Defensive Strategic Posture in the Field of Information Security

    ISACA JOURNAL Volume 6, 2013

    “… The applicability of military thought to the field of information security has been the subject of discussion for a long time. From Sun Tzu’s theories to Clausewitz’s military doctrine, military concepts of strategy, operations and tactics have been compared to the activities involved in protecting information and managing information risk. In addition, these concepts have been applied effectively in areas as diverse as politics, marketing, business strategy and any scenario that entails the need to gain an advantage among players with conflicting interests…”

    Online version: http://www.isaca.org/Journal/archives/2013/Volume-6/Pages/JOnline-Defensive-Strategic-Posture-in-the-Field-of-Information-Security.aspx


    ISACA JOnline: “Posición Estratégica Defensiva” en el Campo de Seguridad de la Información

    ISACA JOURNAL Volume 6, 2013

    “… Mucho tiempo lleva hablándose de la aplicabilidad de los pensamientos militares en el ámbito de la seguridad de la información. Desde las teorías de Sun Tzu, pasando por la doctrina militar de Clausewitz, se han equiparado los conceptos militares de estrategia, operación y táctica con las actividades propias de la protección y gestión de riesgos de la información. Igualmente, estos conceptos han sido aplicados de forma efectiva en áreas tan diversas como la política, el mercadeo, la estrategia empresarial y en cualquier escenario donde se presente la necesidad de obtener ventaja entre actores con intereses enfrentados…”

    Online versionhttp://www.isaca.org/Journal/archives/2013/Volume-6/Pages/JOnline-Defensive-Strategic-Posture-in-the-Field-of-Information-Security-Spanish.aspx


    Uso de tácticas de interrogación militar en una entrevista de auditoría interna

    Auditoría interna: publicación periódica del Instituto de Auditores Internos de España (Spain), ISSN 1137-3911, Año 28, Nº. 101, 2012 , págs. 22-24 | September 2012

    Artículo publicado en la revista del Instituto de Auditores Internos que presenta como pueden aplicarse técnicas de interrogación que han sido ampliamente desarrolladas en el ámbito militar enfocadas a la recolección de información útil, fiable y de la forma más rápida posible en entrevistas en una auditoría.


    Procedimientos en el lugar de los hechos: el “primero en responder” en la informática forense

    Auditoría interna: publicación periódica del Instituto de Auditores Internos de España (Spain), ISSN 1137-3911, Año 27, Nº. 98, 2011 , págs. 14-16 | September 2011

    Artículo publicado en la revista del Instituto de Auditores Internos que describe, de forma general, la figura del primero en responder (“first responder” en inglés) como elemento clave para desencadenar todo el procedimiento de respuesta a incidentes en una organización y su papel fundamental en la gestión de la cadena de custodia.


    ¿Por qué más es menos?: la paradoja de la insatisfacción en riesgos

    Revista SIC (Spain) | February 2012

    “… La teoría de la homeóstasis del riesgo (RHT) nos recuerda la importancia del factor subjetivo del individuo en el proceso de toma de riesgos en sus actividades diarias. La comparación recurrente de los umbrales de actuación frente al riesgo y los beneficios o problemas que esto pueda acarrear, permiten modificar el comportamiento conductual hacia una tendencia arriesgada o precavida. Dependiendo de estos valores, el ingreso de nuevos controles orientados a minimizar el riesgo podrían ser anulados en el tiempo debido a la confianza que dicho control agrega a la ecuación, abriendo la puerta a actitudes arriesgadas que inicialmente no se tomarían…”


    Fundamentos de tokenización y aplicación en el cumplimiento de PCI DSS

    Revista Red Seguridad (Spain), Nº. 49, 2010, ISSN 1695-3991 – págs. 88-94 | November 2010

    “… En este artículo se enfocará el análisis en el concepto de “tokenización” o uso de “tokens”: valores únicos asociados a datos confidenciales que son empleados como reemplazo de estos últimos, con la característica diferencial que el token no permite inferir el dato confidencial con el que se relaciona, minimizando de esta manera el riesgo de almacenamiento inseguro y la necesidad de implementación de controles asociados a datos confidenciales, ya que el token en sí no es catalogado como un dato confidencial…”


    Gestión de eventos y monitoreo en el estándar PCI DSS

    Revista Sistemas ACIS # 110: Evolución y Monitoreo de la Inseguridad Informática (Colombia) | June 2009

    “… PCI DSS fue creado para proteger la confidencialidad, integridad y trazabilidad de los datos relacionados con tarjetas de pago. De allí, la importancia en contar con una buena gestión de eventos y registros que permita prevenir, detectar, contener, corregir y evaluar cualquier amenaza que afecte a dicha información y soporte cualquier proceso investigativo y/o actividad legal posterior a un incidente…”

  • Cisco WebVPN Bookmark URL Bypass

    Cisco Security Intelligence Operations | December 2009

    Reports indicate that a vulnerability exists in the Cisco WebVPN bookmark feature; this feature is part of the Cisco ASA 5500 Series Adaptive Security Appliance (Cisco ASA).

    The Cisco ASA gives administrators the option of offering a Clientless SSL VPN session for access to corporate resources. One of several features available to administrators is the ability to customize the WebVPN portal page by adding bookmarks to the landing page; the list of links that are provided as bookmarks point users to resources that are intended to be accessed via the clientless connection. This feature is often used when URL entry has been disabled to prevent confusion among users about where to enter a URL to access a specific resource.