15th Jul 2008
El servidor HP DL580 G5 por su fiabilidad permite la integración de servicios y virtualización de servidores.
Este servidor puede tener hasta 4 procesadores Intel® Xeon® E7320 Quad Core a 2,13 GHz y dispone de de una memoria caché interna de nivel 2 de 2 x 2 MB. De serie se vende con 4GB de memoria DDR2-667 y tiene hasta 16 ranuras de memoria.
El Chipset Intel 7300 estándar proporciona una frecuencia de bus frontal del sistema a 1.066 MHz y el controlador disco duro es un HP Smart Array P400i integrado con 256 MB de caché.
Con sus 4Us puede proporcionar un almacenamiento masivo interno de 2TB máximos en 8 discos.
convert this post to pdf.
Posted by admin under 
Información 
No Comments »
11th Jul 2008
Tenemos que afrontarlo; muchos reaprovechan la misma clave para diferentes cuentas por internet. Cómo mucho se van utilizando un conjunto de ellas.
El problema llega cuando los portales y empresas envían las claves por correo electrónico justo al crear la cuenta. Las claves están para que no se conozcan y no por qué estén “pululando” entre distintos servidores de correo.
Estas cosas son un desconocimiento de prácticas de seguridad. De hecho esto da mala imagen de cara a la seguridad de las empresas.
¿Cómo garantizar la seguridad de nuestras claves? Dándo una clave cualquiera para comprobar que no nos la manden por correo. La definitiva la pondremos después cambiando la contraseña.
Pero siempre utilizando las mejores prácticas.
- Si eres un usuario, no repitas las mismas claves en todos los sitios.
- Si eres una empresa, los recordatorios de contraseña deberían ser claves temporales aleatorias, validas por cierto tiempo sólo por una solicitud al contestar una pregunta secreta.
La responsabilidad mayor es por parte de las empresas y portales. Si no garantizan la seguridad en el software que desarrollan no pueden proteger nuestros datos. Las auditorias de seguridad sirven para esto, asegurar el cumplimiento de una política de seguridad adecuada.
convert this post to pdf.
Posted by admin under Auditoria Seguridad, Gestión de sistemas, Información, Medidas de Seguridad No Comments »
27th Jun 2008
24 de junio Microsoft publicó una nota alertando de un incremento de ataques a páginas web con tecnología Microsoft.
Las empresas auditoras cómo la nuestra son cada vez más necesarias para ayudar a reducir las vulnarabilidades de las aplicaciones web. El ciclo de vida del desarrollo debe incorporar las verificaciones necesarias para una correcta validación de entradas.
Una test de intrusión OWASP ayuda a conocer el nivel de riesgo de las aplicaciones que se auditan.
convert this post to pdf.
Posted by admin under Auditoria Seguridad, Gestión de sistemas, Información, Medidas de Seguridad No Comments »
09th Jun 2008
La empresa CA proporciona el software UNICENTER SERVICES DESK que facilita a las empresas grandes a trabajar con un centro de servicios basado en ITIL.
Recientemente El Grupo Cesce, especializado en la provisión de servicios financieros y el suministro de información empresarial, ha culminado el proyecto de migración desde la versión 6 a la nueva versión 11.2 de la plataforma CA Unicenter Services Desk 11.2, que soporta sus servicios de helpdesk.
Via computing.es
Servicios relacionados
- Instalación y configuración de nuevos productos
- Diseño y realización de las migraciones y desarrollos evolutivos de la nueva infraestructura
- Mejorar la administración general del sistema y ajustar su rendimiento.
- Simplificar y optimizar la planificación y supervisión de los procesos de backup
- Control en materia de seguridad lógica
- Resolución de problemas de mantenimiento tanto correctivo para mantener actualizadas las versiones y parches como preventivo;
- Gestión del servicio de soporte con el fabricante;
- Elaboración de informes periódicos de la actividad y el rendimiento para el seguimiento de la calidad del servicio.
- Formación de su personal de TI
convert this post to pdf.
Posted by admin under Información No Comments »
09th Jun 2008
Un tema recurrente para DBAs es el de análisis de trazas para auditorias y del archivado de cambio de datos o “archive logs”. Una de las soluciones más comunes es la de distribuir estos ficheros en más de un grupo.
¿Para qué queremos registros de log?
Uno de los casos es el de rendir cuentas según identificación de responsabilidades. Otro caso de uso es el de gestión de informes y optimizar análisis de datos. Otro caso muy habitual es el de vuelta atrás de transacciones en el archivado de cambios. Por último por requisito legal puede hacer falta registrar los accesos a datos confidenciales o datos de carácter personal según su nivel de seguridad.
¿Cómo lo haremos?
Con triggers podemos lanzar procedimientos en el caso de detectar eventos, o tambien podemos usar archivos de log o incluso modificar el código insertando procedimientos almacenados en el código fuente.
De forma pasiva podemos analizar los archivos de log y realizar las acciones pertinentes sin interferir en el flujo principal productivo.
Resumen
Para analizar que métodos de auditoria de trazas de bases de datos nos puede solicitar presupuesto y le atenderemos.
convert this post to pdf.
Posted by admin under Consultoría Tecnológica, Gestión de sistemas, LOPD, Medidas de Seguridad No Comments »
30th May 2008
El R905 ofrece ampliabilidad de alto rendimiento y expansibilidad de E/S, lo que lo convierte en un producto ideal para virtualización; también es perfecto como servidor de uso general, para alojar bases de datos, cargas de trabajo consolidadas y cargas de trabajo de aplicaciones críticas para operaciones empresariales.
Dell
El PowerEdge R905 viene a sustituir al PowerEdge 6950. Con más memoria, menos zócalos está enfocado para virtualización, ERP, CRM y de bases de datos. Este equipo tiene un rendimiento muy superior a los equipos de anteriores generaciones tecnológicas. Los equipos se deberian renovar cada 3 o 5 años para garantizar la seguridad fisica de la infraestructura, y sí son en rack se reducen riesgos en su gestión por parte de los operadores.
Al ser un equipo tan potente podriamos pensar que hay suficiente, pero tenemos que tener en cuenta que si solo tenemos un equipo tenemos un Único Punto de Fallo. Siempre se deben tener en cuenta las contingencias necesarias para el negocio según las criticidades definidas.
Solicita más información para la renovación de equipos y un plan de continuidad del negocio para definir contingencias y criticidades.
convert this post to pdf.
Posted by admin under Información No Comments »
28th Abr 2008
El 25 de abril wordpress lanzó la versión 2.5.1 para mejorar la seguridad y las funcionalidades del programa.
Se recomienda absolutamente actualizar todos los blogs que utilizen 2.5.1.
Atención: Desactivar todos los “plugins previamente” y sobretodo realizar copia de seguridad de los ficheros y de la base de datos.
convert this post to pdf.
Posted by admin under Auditoria Seguridad, Gestión de sistemas, Medidas de Seguridad No Comments »
26th Mar 2008
[Mentalidad de seguridad. Esta forma de pensar]… No es natural para los ingenieros. La buena ingeniería incluye pensar cómo hacer funcionar las cosas; la mentalidad de seguridad en cómo hacer que fallen.
Frase concisa y cierta que Ricardo Galli extrae del ensayo de Bruce Schneier The Security Mindset.
Los programadores se basan en construir soluciones y programas valiosas pero un buen ingeniero debe hacer un plan de pruebas que contemplen todos los requisitos de seguridad cómo comenta Gallí.
En su moraleja nos recomienda que busquemos unos cuantos amigos/programadores/empleados que tengan “mentalidad de seguridad”. Aquí está auditoriasistemas.com para que lo mirrmos desde el punto de vista mas “retorcido”.
Siempre debe haber una fase de evaluación y no sólo se debe analizar la funcionalidad y la seguridad sino también temas operativos y de provisión del servicio en lo referente a capacidad, disponibilidad y continuidad.
convert this post to pdf.
Posted by admin under Auditoria Seguridad, Disponibilidad y Continuidad, Gestión de sistemas, Medidas de Seguridad No Comments »
25th Feb 2008
En octubre del 2007 vimos ataques a las cookies de google. Que gmail Aún sea beta quiere decir que pueden volver a aparecer vulnerabilidades. Además hay el riesgo en la seguridad de la información. Podemos ver el proyecto ECHELON de la CIA o lo que hace google con su adsense. Nuestra conclusión es que no deberia haber información crítica en gmail.
Unas recomendaciones básicas son:
- Utilizar la versión HTTPS en: https://mail.google.com/mail
- Formar/formarse para evitar ser engañado con ataques de enginieria social.
- Evitar la fuga de información en cláusulas contractuales, de igual forma que en USBs o CDs.
- Usar PGP a nivel empresarial siempre que se envie información crítica.
- Valorar el uso de correo dedicado con VPN para los accesos remotos.
- Valorar oferecer internet en una red aislada para el uso personal y cerrarlo en la red corporativa o cómo alternativa a utilizar técnicas de DMZ (con doble firewall).
convert this post to pdf.
Posted by admin under Auditoria Seguridad, Información, LOPD, Medidas de Seguridad 2 Comments »
18th Feb 2008
De todos es sabido que las macros de office son un peligro para todo ordenador que abra un fichero no confiable. En los documentos de word se puede esconder código malicioso que instale un virus o troyano o que causen una pérdida de información.
Debido a las recientes alertas de vulnerabilidades de Adobe Reader ahora podemos considerar que los ficheros PDF también pueden ser un peligro.
Las vulnerabilidades encontradas son en la utilización de JavaScript incrustado en los documentos PDF.
Esto afecta a las veriones anteriores a la 8.1.2, pero siempre pueden aparecer nuevas alertas. Para probar el exploit puedes ir aquí.
convert this post to pdf.
Posted by admin under Auditoria Seguridad, Información, Medidas de Seguridad No Comments »