jueves, 29 de marzo de 2012

Webcast TechNet: Seguridad y cumplimiento en las plataformas de Microsoft Business Productivity Online Standard Suite y Microsoft Office 365

Trasladarse a la nube requiere una nueva forma de pensar acerca de la seguridad y el cumplimiento. Sin importar quien haga los cambios, las organizaciones deben seguir cumpliendo con las políticas, normas y leyes. Esta sesión cubre el enfoque general de Microsoft sobre seguridad, privacidad y cumplimiento, así como las características específicas de BPOS que permiten a los clientes hacerse cargo de ellos mismos. Muchos de los clientes grandes y pequeños, algunos de industrias altamente reguladas, han sido capaces de utilizar BPOS y/u Office 365 para asegurarse de su cumplimiento. Aprenda acerca de las preguntas que plantearon y cómo se abordaron.

Lugar: en la nube.
Fecha: viernes, 27 de abril de 2012 02:00
Registración: AQUI

jueves, 15 de marzo de 2012

Crisis de Identidad (Gestión) (Parte 3): Resolviendo el problema de Identidad.

Introducción
En la Parte 1 de esta serie, se revisó la evolución del concepto de "identidad" y lo que significa, tanto dentro como fuera de ella. En la Parte 2, hemos hablado de todo lo que usted piensa que sabe acerca de la identidad - y, en particular la idea de que la igualdad de credenciales de identidad - está mal. En este sentido, la Parte 3, vamos a comenzar la discusión acerca de algunas de las soluciones actuales de Gestión de Identidad, así como nuevas formas de aplicar los viejos métodos de verificación de la identidad.

Firma como prueba de identidad
En los pre-electrónicos a veces, el nombre escrito a mano es la representación legal de la identidad de una persona y la intención de un contrato u otro documento. Debido a que la escritura tiende a ser más o menos exclusivo de un individuo a otro, una firma presenta pruebas de que la persona nombrada que había creado y/o leído y aceptado el contenido del documento es la misma.Sin embargo, las firmas pueden ser falsificadas (falso). La falsificación es un delito penal, pero contrariamente a la creencia popular, más que la firma de nombre de otra persona por lo general no constituyen la falsificación de la ley. Por ejemplo, una persona legalmente puede dar a otra persona permiso para firmar en su nombre, ya sea manualmente o utilizando un sello de firma o con una máquina, lo que es práctica común en las oficinas de negocios y agencias gubernamentales cuando la persona cuya firma es necesaria en un gran número de documentos y no pueden pasar todo el tiempo necesario para firmar personalmente. Para ser falsificación, la firma de otro nombre por lo general debe hacerse con fines fraudulentos - es decir, para engañar a alguien y/o a expensas de otro (los elementos específicos del delito se establece en los estatutos legales que hacen que sea un delito , y pueden diferir de una jurisdicción a otra).Para verificar que una firma es de hecho realizada por la persona cuyo nombre que representa, la firma puede ser notariada. Un notario público es un funcionario público que esté habilitado por el gobierno para presenciar la firma de los documentos (entre otras cosas) y autenticar la identidad de la persona que firma, por lo general mediante el examen de documentos de identificación como una licencia de conducir, DNI o pasaporte. El notario estampará la firma propia y el sello para verificar que el firmante es quien él/ella dice ser.

Las firmas digitales
En el mundo de TI, tenemos las firmas digitales para servir con un propósito similar, en calidad de evidencia de que un mensaje electrónico o documento ha sido creado o enviado por la persona o entidad a la que parece haber venido o creado. Las firmas digitales pueden ir un paso más adelante y comprobar que el mensaje o documento no se han modificado en modo alguno desde que se firmó.Las firmas digitales han estado con nosotros, al menos en concepto, desde los años 1970 (Diffie y Hellman) y está disponible en el software comercial desde finales de 1980 (Lotus Notes). Ahora las firmas digitales son cada vez más comunes, con muchas agencias gubernamentales que los utilizan para publicar los documentos oficiales, y en muchas jurisdicciones las firmas digitales son jurídicamente vinculantes, al igual que la firma manuscrita. Las firmas digitales utilizan el esquema de un par de claves pública/privada y por lo tanto se basan en una infraestructura de clave pública (PKI) para emitir los certificados digitales que contienen estas claves para la firma de documentos electrónicos. El papel de la entidad emisora ​​de certificados es algo así como la del notario público - que es un tercero de confianza que le da su "sello de aprobación" para el firmante. La clave privada vinculada solamente a esa persona en particular y su uso para firmar el documento indica que la persona, y nadie más, lo hizo con la firma. Los certificados digitales no se utilizan sólo para la identidad de las personas , sino también las máquinas, tales como servidores web.
La clave para confiar en una firma - ya sea manuscrita o electrónica - como una verificación de identidad en su confianza de que el tercero - un notario público o CA - da fe de ello. Si un notario es laxo en exigir documentos de identidad o no sabe cómo determinar si la identificación es válida, la autenticidad de la firma puede ser dudosa. Si los certificados de la CA tienen problemas a quien lo solicite, bajo cualquier nombre, sin ningún tipo de verificación de que el solicitante está utilizando su verdadera identidad, la firma digital no es buena. Los certificados tipo Extended Validation (EV) son mucho más caros que los otros certificados digitales, ya que implican un trasfondo más profundo para comprobar la identidad legal de una entidad. Estos han existido desde 2007, cuando las directrices para la emisión de ellos fueron ratificados, y se utilizan para identificar sitios web seguros.Como la firma manuscrita, la firma de cada individuo debe ser presenciado por el notario. Con la firma electrónica, la autoridad competente emite el certificado y puede ser utilizado para muchas firmas diferentes. Por lo tanto, es imperativo que la clave privada se mantenga en secreto. La clave privada se guarda en un archivo que se puede guardar en el disco duro de una computadora, en una unidad extraíble, como una llave USB o en una tarjeta inteligente.

Más allá de la firma
Debido a que las firmas pueden ser copiadas o falsificadas, algo más a menudo, es necesario probar su identidad al firmar los documentos, siendo esto de especial importancia. Las agencias que emiten las licencias de conducir, algunos bancos y otras entidades puedan tomar una foto de una persona y/o requerir que él o ella proporcionen una huella digital junto con la firma. En el mundo de TI, la autenticación biométrica va más allá de una firma digital, lo que podría ser robado por un pirata informático inteligente. Como ya comentamos en la Parte 1, aunque la biometría no es un método infalible para verificar la identidad, se puede agregar otra capa al proceso de verificación. Si usted posee la clave privada correcta, su huella dactilar coincide con la almacenada para usted en la base de datos, usted conoce la contraseña, y usted es capaz de responder a algún desafío pregunta/respuesta de las preguntas con la información correcta, es muy probable que usted realmente es la persona que dice ser. De este modo, tal y como vemos en una "defensa en profundidad", la solución para la protección de nuestros sistemas de los ataque, la mejor apuesta para la verificación de la identidad es una "autenticación en profundidad" como estrategia. ¿Cuál es el problema con eso? No hay, desde el punto de vista del administrador de seguridad. Pero a los usuarios no les agradará. E incluso nosotros, los profesionales de la seguridad, si somos honestos, puede ser un poco molesto cuando los sitios de banca nos pide que cambiemos nuestras contraseñas, volvamos a introducir el número de teléfono asociado a nuestras cuentas, y el nombre del perro de la tía de nuestro primer novio de antes que nos permiten la entrada para ver nuestros saldos.Un sistema de identidad de una buena gestión debe ser transparente para el usuario, al igual que un buen plan de seguridad global no puede sacrificar la facilidad de uso, o en última instancia, se producirá un error, como Bruce Schneier, dio a entender cuando dijo: "Mientras más seguro lo quiera hacer, se convierte en menos seguro."

Hacia una solución integral de gestión de identidad
Gestión de la identidad es algo más que sólo la autenticación de identidad, aunque la autenticación es un componente importante. El sistema de gestión de la identidad debe primero establecer la identidad de las personas o entidades (como computadoras) y luego usar esa información para controlar el acceso a los recursos del sistema. Suena simple, pero su aplicación efectiva puede ser muy complejo.En mundo de las TI de hoy en día, es todo acerca de EaaS - todo como un Servicio. El sistema de gestión de identidad debe estar integrado para ofrecer los servicios a los usuarios a la perfección, en la demanda, mientras se determina quién tiene acceso a los servicios y en qué grado. Y va en ambos sentidos, los usuarios deben ser capaces de verificar la identidad de los proveedores de servicios.Incluso las redes domésticas de hoy requieren de algún sistema de gestión de identidades. Los controles para padres se basan en la autenticación de identidad para dar a los padres la posibilidad de restringir los juegos que los niños puedan jugar, qué sitios web puedan visitar, cuánto tiempo podrían permanecer en línea, y así sucesivamente.En la Parte 4 de esta serie, vamos a mirar más de cerca los criterios para elegir una solución de gestión de identidad integral de una organización, la gestión de identidad federada, y el efecto de la nube de problemas de identidad en TI. Entonces, brevemente discutir el futuro de la identidad.

Continuará....

Este artículo es de Deb Shinder, y fue traducido al español previa autorización de TechGenix Ltd. La versión original está en Windows Security y puede accederlo desde aqui.La cuarta parte se entregará proximamente.

Actualizaciones plataforma Microsoft - MARZO 2012

Este mes tenemos la publicación de nuevos boletines de seguridad. A continuación el detalle de cada uno, ordenados por criticidad:

1) MS12-020: Vulnerabilidades en Escritorio remoto podrían permitir la ejecución remota de código (2671387) Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma privada en el protocolo de Escritorio remoto. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un atacante envía una secuencia de paquetes RDP a un sistema afectado. De forma predeterminada, el protocolo de Escritorio remoto (RDP) no está habilitado en ningún sistema operativo Windows. Los sistemas que no tienen RDP habilitado no están expuestos. CLASIFICACION: CRITICA.

2) MS12-017: Una vulnerabilidad en el servidor DNS podría permitir la denegación de servicio (2647170) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante no autenticado envía una consulta DNS especialmente diseñado al servidor DNS de destino. CLASIFICACION: IMPORTANTE.

3) MS12-018 : Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la elevación de privilegios (2641653) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. CLASIFICACION: IMPORTANTE.

4) MS12-021: Una vulnerabilidad en Visual Studio podría permitir la elevación de privilegios (2651019) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Visual Studio. La vulnerabilidad podría permitir la elevación de privilegios si un atacante guarda un complemento especialmente diseñado en la ruta de acceso que usa Visual Studio y convence a un usuario privilegios mayores de que inicie Visual Studio. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Los usuarios anónimos o los usuarios remotos no pueden aprovechar esta vulnerabilidad.CLASIFICACION: IMPORTANTE.

5) MS12-022: Una vulnerabilidad en Expression Design podría permitir la ejecución remota de código (2651018) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Expression Design. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo legítimo (como un archivo .xpr o .DESIGN) que se encuentre en el mismo directorio de red que un archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Después, al abrir el archivo legítimo, Microsoft Expression Design podría intentar cargar el archivo DLL y ejecutar el código que contenga. Para que un ataque tenga éxito, un usuario debe visitar una ubicación de sistema de archivos o recurso compartido WebDAV remoto que no sea de confianza y abrir un archivo legítimo (como un arc .xpr o .DESIGN) de dicha ubicación que será cargado por una aplicación vulnerable. CLASIFICACION: IMPORTANTE.

6) MS12-019: Una vulnerabilidad en DirectWrite podría permitir la denegación de servicio (2665364) Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en DirectWrite de Windows. En un escenario de ataque basado en Instant Messenger, la vulnerabilidad podría permite la denegación de servicio si un atacante envía una secuencia de caracteres Unicode especialmente diseñada directamente a un cliente de Instant Messenger. La aplicación de destino podría dejar de responder cuando DirectWrite representa la secuencia de caracteres Unicode especialmente diseñada. CLASIFICACION: MODERADA.

Las actualizaciones de seguridad están disponibles en Microsoft Update y Windows Update. También hay actualizaciones de seguridad disponibles en el Centro de descarga de Microsoft.

Fuente: Microsoft.-

lunes, 12 de marzo de 2012

El futuro de la Virtualización y la Nube Privada.



AGENDA:
8:30-9:00
Registración y desayuno
9:00-9:30 Sesión Plenaria-Daniel Levi
9:30-10:30 Armando tu nube privada (1a parte: Virtualización)-E.Dutra y P.Ferrerse
10:30-11:30 Armando tu nube privada (2a parte: Autoservicio y Administración)-E.Dutra y P.Ferrerse
11:30-11.45 Break
11:45-12:30 El nuevo SQL Server 2012 para el DBA y el Dueño del Negocio-D.García
12:30-13:15 Las nuevas capacidades de Windows Server 8-Daniel Levi
13:14-13:30 Cierre del evento -Daniel Levi

REGISTRATE ENTRANDO AQUI!

TE ESPERAMOS!!!