David Gutiérrez. CISSP y CISA

Colaboró con Scitum desde el año 2004, desempeñando diversas funciones que van desde la entrega de proyectos en la rama tecnológica hasta el diseño de proyectos con servicios administrados. CISSP® desde 2005, guarda un gran interés por la articulación de políticas de seguridad mediante controles tecnológicos y normativos efectivos, la gestión de seguridad mediante métricas prácticas y las implicaciones para la seguridad de información en este entorno de paradigmas siempre cambiantes.

La evolución de los incidentes de seguridad y el papel de los profesionales en seguridad de la información

Departamento de defensa

Hace un par de años escribí en esta columna, con no poca dosis de drama, que como industria estábamos siendo autoindulgentes al tener en discusión temas como el  retorno de inversión, metodologías de análisis de riesgos y tableros de control, cuando los incidentes de seguridad de la información se estaban materializando por la falta o…

Big data y su impacto en los sistemas de seguridad de la información

Departamento de defensa

En el arsenal del profesional en seguridad de la información tenemos firewalls, IPS, IDS, firewalls de bases de datos, firewalls aplicativos, filtros Web, filtros de correo electrónico, controles de acceso, agentes para envío de bitácoras y una gama bastante amplia de otras herramientas que nos permiten monitorear, registrar, y en algunos casos prevenir cierta actividad.…

La cédula de identidad personal, un reto magnífico para el gobierno

Departamento de defensa

Según mi perspectiva, una cédula de identidad cuyo propósito sea única y específicamente establecer la identidad de un individuo, era una cuestión impostergable en México por varios factores sociales y de seguridad pública. Es necesario admitir que la credencial para votar emitida por el Instituto Federal Electoral (autoridad en materia electoral federal dentro de México)…

PCI DSS, siguen apareciendo grietas

Departamento de defensa

PCI (Payment Card Industry) lleva ya varios años en práctica desde la versión 1.0 liberada en diciembre de 2004, múltiples organizaciones han obtenido su certificado de cumplimiento y operan gracias a ello. Sin embargo, parece ser que progresivamente va decayendo el nivel de confianza que debería suponer el cumplimiento con el estándar. Los incidentes de…

Ley Federal de Protección de Datos Personales en Posesión de los Particulares, ¿ya estamos ahí?

Departamento de defensa

En 2012 todas las organizaciones deberán cumplir con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), sin embargo aún parece haber bastante duda en cuanto a definiciones y mecanismos para la aplicación de la ley. A pesar de que en diciembre 21 de 2011 se publicó en el Diario…

Skimming, un fenómeno del que todos debemos tener cuidado

Departamento de defensa

Uno de los tipos de información más delicados es aquel que se relaciona con temas financieros. Estados de cuenta, transacciones, claves e identificadores; todos estos datos llevan consigo un potencial de daño enorme si son usados con intenciones maliciosas. Para una empresa, la sustracción o modificación no autorizada de información financiera causa problemas que van…

Métricas de seguridad

Departamento de defensa

En los últimos meses hemos tenido dos incidentes de seguridad emblemáticos: la intrusión  y sustracción de información de la PlayStation Network de Sony, y la caída de  los servicios de nube EC2 de Amazon. En el primero se rumora que el fabricante  de electrónica de consumo no tenía cubiertas cuestiones básicas de seguridad  como firewalls…

Seguridad de aplicaciones Web

Departamento de defensa

¿No es suficiente mi firewall? Seguramente durante el desarrollo de nuestras actividades como profesionales de seguridad nos ha tocado escuchar: “Sí tenemos seguridad, contamos con un firewall” o “Nuestro portal sí está protegido, contamos con un firewall”. Lamentablemente no es así y en algunos lugares persisten estos conceptos equivocados. Las amenazas específicas para  aplicaciones Web…

Amenazas de seguridad en capa dos

Departamento de defensa

Han sido varios los incidentes infames en donde un componente de hardware ha sido invadido por malware; el caso registrado en julio de 2010 de las placas madre de repuesto para servidores Dell R410 que fueron detectadas con spyware parece ser el más emblemático. Aunque el spyware alojado en la memoria flash de la placa…

SecaaS (Security as a Service): ¿Está listo?

Departamento de defensa

Dentro del modelo de entrega de servicios del cómputo en la nube tenemos diferentes ofertas hasta ahora: software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS). Todo esto nos lleva a la pregunta: ¿Es posible que los servicios de seguridad administrada se entreguen en esta modalidad? En este mismo número de…