viernes, 29 de febrero de 2008

IceWeasel: La versión libre de Firefox

Vs


Ya saben las razones de por qué Debian se peleó con Mozilla. Es que las marcas registradas de Firefox no iban de acuerdo a la política “100% libre” de los debianeros puristas. Lo más insólito es que todo partió por un mísero logo.

Bueno, tal como lo habían prometido, el proyecto GNU sacó su propia versión (100% libre) del suite Mozilla y de Firefox, esta vez con logo propio. Respectivamente, GnuZilla y IceWeasel una clara mofa hacia el nombre original (porque Hielo no es Fuego y Comadreja no es Zorro). Mientras algunos apoyan la iniciativa, otros la destruyen por completo, arguyendo que IceWeasel, concretamente, no es más que Firefox con otro nombre y par de pequeñas correcciones.

La historia de los cambios de nombre de Firefox no empieza aquí, sino que en su corta vida ya ha pasado por muchas transiciones. No sé qué pensáis vosotros, pero esto parece un síntoma crónico, y huele mucho a cachondeo. De hecho, hay personas que se lo toman con mucho humor y hasta hay una extensión que cambia el nombre del navegador cada vez que lo inicias.

miércoles, 27 de febrero de 2008

Conceptos de Analisis de Riesgo


Activo: Es cualquier "cosa" que tiene valor para la empresa.

Valor: Es la importancia que tiene ese activo dentro de la empresa.

Amenaza: Es aquél elemento que puede provocar daños sobre el activo.

Probabilidad de ocurrencia de la amenaza: Es la probabilidad de que la amenaza se materialice.

Vulnerabilidad:
Es el grado de debilidad de un activo frente a una amenaza.

Exposición: Es la medida de la vulnerabilidad, lo desprotegido que está.

Incidente: La materialización efectiva de la amenaza, aprovechando la vulnerabilidad.

Degradación: Es un término que utilizan algunas metodologías para referirse al potencial que tiene la amenaza de dañar al actiivo.

Impacto: Es el resultado de que se produzca el incidente. En definitiva.

Riesgo o nivel de riesgo: Es el resultado de combinar todos los términos anteriores. Para ser más claros, la probabilidad de que una amenaza aproveche la vulnerabilidad del activo para provocar un daño.

Controles o contramedidas: Medidas dispuestas para rebajar el nivel de riesgo.

.

Metodologías y Mejores Prácticas

Para llevar a cabo el proceso de análisis del riesgo, existen diversas metodologías que son utilizadas, entre algunas de las más importante se puede mencionar a:

- MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). Elaborada por el Consejo Superior de Administración Electrónica de España, es una metodología de carácter público, perteneciente al Ministerio de Administraciones Públicas [6]. Tiene como objetivo estudiar los riesgos que soporta un sistema de información y el entorno asociado a él. Está conformada por una serie de técnicas específicas para el análisis de riesgos, análisis mediante tablas, análisis algorítmico, árboles de ataque, técnicas generales, análisis costo-beneficio, entre otros.

Más información http://www.csi.map.es/csi/pg5m20.htm

- EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité - Expresión de las Necesidades e Identificación de los Objetivos de Seguridad). Es promovido por la Dirección Central de Seguridad de Sistemas de Información (DCSSI-Francia) como norma internacional. Es un software de asistencia bajo licencia libre. Su enfoque simple y modular le permite adaptarse a todos los contextos y a distintas acciones de seguridad. Permite apreciar y tratar los riesgos relativos a la seguridad de los sistemas de información (SSI).

Más información http://www.ssi.gouv.fr/fr/index.html

- OSSTMM (Open Source Security Testing Methodology Manual). Manual de metodología Abierta de Testeo de Seguridad es una metodología para realizar análisis de vulnerabilidad que está basada en entregar resultados cuantificables y que ha sido desarrollada dentro de un proyecto de comunidad Open Source. Es la respuesta cuando un analista de seguridad informática se pregunta por dónde empezar, qué y cómo analizar, cómo presentar los resultados.

Más información http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf

- OWASP (Open Web Application Security Project). Es un organismo sin ánimo de lucro creado en Estados Unidos y que cuenta con más de 60 capítulos locales repartidos en todo el mundo. Su objetivo es ayudar a las empresas a entender y mejorar la seguridad de sus aplicaciones y servicios Web. El proyecto crea documentación, herramientas y estándares Open Source sobre seguridad en Aplicaciones Web gracias a expertos de la comunidad internacional que, de forma voluntaria, colaboran en los distintos proyecto.

Más información http://www.owasp.org/index.php/Main_Page

Enfoque cuantitativo de análisis de riesgos

Este enfoque emplea dos elementos fundamentales, la probabilidad de que se produzca un hecho y la probable pérdida en caso de que ocurra el hecho citado.

El enfoque cuantitativo de análisis de riesgos se centra en el uso de una sola cifra producida a partir de estos elementos. A esto se le suele denominar comúnmente el “Annual Loss Expectancy” - ALE (Esperanza de pérdida anual) o también “’Estimated Annual Cost” – EAC (Coste anual estimado). La forma de calcularlo para un evento en concreto se realiza mediante la multiplicación de la pérdida potencial por la probabilidad. Gracias a este enfoque, es teóricamente posible clasificar los acontecimientos en orden de riesgo (ALE) a fin de tomar decisiones sobre esta base.

Enfoque cualitativo de análisis de riesgos

Este es, con mucho, la metodología más utilizada para el análisis de riesgos. En este caso, la probabilidad no es necesaria y tan solo es utilizado como factor de cálculo la pérdida potencial estimada.

METODOLOGIA DE ANALISIS DE RIESGO

http://www.sisteseg.com/files/Microsoft_Word_-_METODOLOGIA_DE_ANALISIS_DE_RIESGO.pdf