'El mayor robo de contraseñas de Internet hasta el momento. Una red de
bandas rusas dedicadas al ciberdelito se ha hecho con más de 1.200
millones de nombres de usuario con sus correspondientes claves y unos
500 millones de direcciones de correo electrónico. Alex Holden, el
fundador de Hold Security, una firma de seguridad informática con sede
en Milwaukee y que ha descubierto la brecha de seguridad, ha explicado a
EL PAÍS desde la cita anual de seguridad Black Hat, en Las Vegas, que el material sustraído pertenece a 420.000 webs de todo el mundo.
Blog de APISCAM
ATAJOS:"Entradas importantes", "Entradas nuestras"
(feed) y canal de "Informática sanitaria"(feed). Entradas sobre sentencias, sobre jurisprudencia (Supremo y TJUE) y sobre jurisprudencia pendiente
Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas
martes, 12 de agosto de 2014
lunes, 28 de julio de 2014
Recordatorio. Concurso de la Oficina de seguridad en Tecnologías de la Informacion del Servicio Madrileño de Salud [la OSSI-CERT]
[17/07] Acaba de publicarse en el BOCM (nº 162 de 10/07/2014) la convocatoria de licitación del importante contrato de servicios denominado "Oficina
de seguridad y centro de soporte especializado en el Área de Seguridad
de Sistemas y Tecnologías de la Información del Servicio Madrileño de
Salud (OSSI-CERT)” especificándose que el contrato tendrá una duración de 2 años (prorrogables a otros 2), de inicio previso el 16 de Octubre de 2014, y un apreciable presupuesto base de más de 2 millones de euros (para el plazo de 2 años inicial) [1] El criterio de adjudicación es únicamente el precio.
Según los pliegos de prescripciones técnicas el objeto del contrato es el servicio de soporte especializado de Oficina de Seguridad de sistemas de información(OSS|), en temas relacionados con la seguridad y la protección de datos personales al Área de Seguridad de la DGSIS . En los pliegos se explica que la OSSI es "el órgano responsable de la coordinación e implantación de políticas y medidas de seguridad de la organizacion, prestando a los diferentes centros dependientes de la Consejería de sanidad, una serie de servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad por parte de dichos centros" siempre realizando actuaciones orientadas al cumplimiento del Esquema Nacional de Seguridad.
Según los pliegos de prescripciones técnicas el objeto del contrato es el servicio de soporte especializado de Oficina de Seguridad de sistemas de información(OSS|), en temas relacionados con la seguridad y la protección de datos personales al Área de Seguridad de la DGSIS . En los pliegos se explica que la OSSI es "el órgano responsable de la coordinación e implantación de políticas y medidas de seguridad de la organizacion, prestando a los diferentes centros dependientes de la Consejería de sanidad, una serie de servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad por parte de dichos centros" siempre realizando actuaciones orientadas al cumplimiento del Esquema Nacional de Seguridad.
jueves, 17 de julio de 2014
Concurso de la Oficina de seguridad en Tecnologías de la Informacion del Servicio Madrileño de Salud [la OSSI-CERT]
Acaba de publicarse en el BOCM (nº 162 de 10/07/2014) la convocatoria de licitación del importante contrato de servicios denominado "Oficina
de seguridad y centro de soporte especializado en el Área de Seguridad
de Sistemas y Tecnologías de la Información del Servicio Madrileño de
Salud (OSSI-CERT)” especificándose que el contrato tendrá una duración de 2 años (prorrogables a otros 2), de inicio previso el 16 de Octubre de 2014, y un apreciable presupuesto base de más de 2 millones de euros (para el plazo de 2 años inicial) [1] El criterio de adjudicación es únicamente el precio.
Según los pliegos de prescripciones técnicas el objeto del contrato es el servicio de soporte especializado de Oficina de Seguridad de sistemas de información(OSS|), en temas relacionados con la seguridad y la protección de datos personales al Área de Seguridad de la DGSIS . En los pliegos se explica que la OSSI es "el órgano responsable de la coordinación e implantación de políticas y medidas de seguridad de la organizacion, prestando a los diferentes centros dependientes de la Consejería de sanidad, una serie de servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad por parte de dichos centros" siempre realizando actuaciones orientadas al cumplimiento del Esquema Nacional de Seguridad.
Según los pliegos de prescripciones técnicas el objeto del contrato es el servicio de soporte especializado de Oficina de Seguridad de sistemas de información(OSS|), en temas relacionados con la seguridad y la protección de datos personales al Área de Seguridad de la DGSIS . En los pliegos se explica que la OSSI es "el órgano responsable de la coordinación e implantación de políticas y medidas de seguridad de la organizacion, prestando a los diferentes centros dependientes de la Consejería de sanidad, una serie de servicios tanto reactivos, como preventivos, con el objeto de impulsar y dar soporte a la implantación de las medidas de seguridad por parte de dichos centros" siempre realizando actuaciones orientadas al cumplimiento del Esquema Nacional de Seguridad.
miércoles, 16 de julio de 2014
[Portal de la CM] 'El Hospital Fundación Alcorcón obtiene los certificados ISO 9001 y de ISO 27001 [el de Gestión de Seguridad de TI]'
'El Sistema de Gestión de Seguridad de la Información incrementa la eficacia y eficiencia de los procesos internos dirigidos a
pacientes y profesionales. Estas acreditaciones se suman a la renovada
en materia medioambiental Norma ISO 14001:2004 de Gestión Medioambiental.
Los certificados avalan el cumplimiento de las normas técnicas basadas
en la calidad y la mejora continua en los servicios del hospital.
El Hospital Universitario Fundación Alcorcón (HUFA) ha obtenido el
certificado de Gestión de la Calidad, según la normativa ISO 9001-2008.
El sistema certificado integra los sistemas previos del hospital, y
otros nuevos.
miércoles, 11 de junio de 2014
"Legislación Administración Electrónica y Protección de Datos", 6º módulo del Bloque de Gestión del “Programa de Desarrollo de competencias en Sistemas y TIC Sanitarias” para profesionales TIC de Sanidad de la Comunidad de Madrid
Con la colaboración de la OSSI de la DGSIS, mañana, Jueves 12 de Junio, se
impartirá para ambos grupos el sexto módulo del Bloque de Gestión del “Programa de Desarrollo de competencias en Sistemas y Tecnologías de la Información y las Comunicaciones Sanitarias”: Legislación Administración Electrónica y Protección de Datos, módulo formativo de 4h. destinado exclusivamente a los profesionales TIC propios del SERMAS y Consejería de Sanidad cuya inscripción en el ciclo formativo haya sido aceptada y confirmada previamente.
El módulo se impartirá por Alfredo Díez Hernández, de la Oficina de Seguridad de Sistemas de Información Sanitaria [OSSI] de la Dirección General de Sistemas de Información Sanitaria del SERMAS.
martes, 29 de abril de 2014
[INTECO] '0Day en Microsoft Internet Explorer. La vulnerabilidad afecta a Microsoft Internet Explorer desde la versión 6 hasta la 11 en todos los sistemas operativos.'
'Microsoft ha publicado un aviso de seguridad alertando de una
vulnerabilidad que afecta a Internet Explorer y que permite ejecución
remota de código. Se ha reservado la referencia CVE-2014-1776
La vulnerabilidad que afecta a todas las versiones de Internet Explorer desde la 6 hasta la 11, aún sin parche disponible, ya está siendo explotada según Microsoft.
La vulnerabilidad que afecta a todas las versiones de Internet Explorer desde la 6 hasta la 11, aún sin parche disponible, ya está siendo explotada según Microsoft.
lunes, 21 de abril de 2014
[Blog de D. Carracedo] 'Apostando por la seguridad'
'Los datos del
número de servidores, que han sido objeto de polémica estos días,
también son totalmente estimados, sea cual sea el método que se use para
recabar la información.
Unos han usado netcraft, otros zmap, shodan, o una combinación de todo eso, pero los datos siguen siendo estimaciones basadas en los banners que usan los servidores, sin tener en cuenta que el banner puede mentir, o puede haber un proxy en medio que se ocupe de la negociación SSL (es decir, es perfectamente posible que un sitio web alojado en un IIS se vea afectado por usa nginx como proxy inverso), ni han tenido en cuenta el resto de software y appliances que usan la librería.
Unos han usado netcraft, otros zmap, shodan, o una combinación de todo eso, pero los datos siguen siendo estimaciones basadas en los banners que usan los servidores, sin tener en cuenta que el banner puede mentir, o puede haber un proxy en medio que se ocupe de la negociación SSL (es decir, es perfectamente posible que un sitio web alojado en un IIS se vea afectado por usa nginx como proxy inverso), ni han tenido en cuenta el resto de software y appliances que usan la librería.
Pero mi reflexión va un poco más allá, porque realmente los temas de números no me importan demasiado
miércoles, 16 de abril de 2014
[INTECO] 'Heartbleed ¿desmitificado?'
'Uf! Qué días llevamos los que trabajamos en seguridad con el fallo hecho público el 7 de Abril en las librerías OpenSSL.'
'Los últimos días, incluso algunos mensajes empiezan a rectificar y corregir que quien en principio se pensaba que estaba afectado, en realidad no lo estaba . Y por supuesto… aparecen varias listas de sitios afectados.
'Los últimos días, incluso algunos mensajes empiezan a rectificar y corregir que quien en principio se pensaba que estaba afectado, en realidad no lo estaba . Y por supuesto… aparecen varias listas de sitios afectados.
martes, 15 de abril de 2014
[infoBAE] 'El gobierno de Canadá, la primera víctima de Heartbleed''
'Piratas informáticos lograron robar unos 900 números de la seguridad
social canadiense, empleada para una gran cantidad de trámites
administrativos. Los EEUU habían advertido que cibercriminales buscaban
aprovechar el fallo
Como la gran cantidad de sitios en línea que recurren a las conexiones seguras tipo OpenSSL, la Agencia de Ingresos de Canadá (CRA) reconoció su vulnerabilidad frente a Heartbleed, una falla en la protección de datos encriptados descubierta la semana pasada.
Como la gran cantidad de sitios en línea que recurren a las conexiones seguras tipo OpenSSL, la Agencia de Ingresos de Canadá (CRA) reconoció su vulnerabilidad frente a Heartbleed, una falla en la protección de datos encriptados descubierta la semana pasada.
Comunicado de InterSystems acerca del bug de OpenSSL
Intersystems ha emitido una nota de prensa acerca del impacto en sus productos de la vulnerabilidad en OpenSSL identificada como CVE-2014-0160 y conocida popularmente como “The HeartBleed Bug”: los productos de InterSystems -Caché, Ensemble y HealthShare-, algunos de ellos de amplio uso en el entorno sanitario, usan OpenSSL pero no la versiones vulnerables, por lo que no es necesario realizar ninguna acción correctiva.
lunes, 14 de abril de 2014
[El Mundo] 'Un grave fallo amenaza las comunicaciones seguras en Internet' [Fallo de OpenSSL 1.0.1 que puede permitir robar claves privadas de certificados de sitios web]
'Lo han bautizado 'The Heartbleed Bug' (el agujero del
corazón desangrado) y afecta a casi todo lo que viaja cifrado en
Internet: ' [...]
'El Proyecto OpenSSL hizo público el lunes un comunicado que metafóricamente paró el corazón a muchos administradores de sistemas: avisaba de un grave fallo en las versiones 1.0.1 y 1.0.1f de OpenSSL, un paquete de herramientas y bibliotecas que utilizan dos terceras partes de los servidores de Internet, para cifrar sus comunicaciones y contenidos.
'El Proyecto OpenSSL hizo público el lunes un comunicado que metafóricamente paró el corazón a muchos administradores de sistemas: avisaba de un grave fallo en las versiones 1.0.1 y 1.0.1f de OpenSSL, un paquete de herramientas y bibliotecas que utilizan dos terceras partes de los servidores de Internet, para cifrar sus comunicaciones y contenidos.
miércoles, 5 de marzo de 2014
[Diario Médico] 'XI Foro de Seguridad y Protección de Datos de Salud. Es momento de preocuparse por la seguridad de las "app" '
'Bajo el lema 'Salud 2.0 y mSalud. Seguridad y confidencialidad de la
información sanitaria en la sociedad conectada', la SEIS analizó los
riesgos de seguridad de las nuevas TIC.'
'Los datos de carácter sanitario tienen el máximo nivel de protección, según la normativa vigente, y llevar esa protección a los dispositivos móviles no será tarea fácil: "El entorno de los smartphones es esencialmente inseguro, ya que hay muy poca estanqueidad entre aplicaciones; la mayoría se comunican entre ellas, compartiendo información, y no queda claro cómo se pueden cerrar", según ha explicado a Diario Médico Ramón Miralles, coordinador de Auditoría y Seguridad de la Información de la Autoridad Catalana de Protección de Datos.
'Los datos de carácter sanitario tienen el máximo nivel de protección, según la normativa vigente, y llevar esa protección a los dispositivos móviles no será tarea fácil: "El entorno de los smartphones es esencialmente inseguro, ya que hay muy poca estanqueidad entre aplicaciones; la mayoría se comunican entre ellas, compartiendo información, y no queda claro cómo se pueden cerrar", según ha explicado a Diario Médico Ramón Miralles, coordinador de Auditoría y Seguridad de la Información de la Autoridad Catalana de Protección de Datos.
miércoles, 19 de febrero de 2014
[SEIS] 'XI Foro de Seguridad y Protección de Datos de Salud el [HOY] 19 y 20 de febrero de 2014 en Pamplona. Programa actualizado'
Organiza: la Sociedad Española de Informática de la Salud (SEIS) y el Gobierno de Navarra
Fecha y lugar : 19 y 20 de Febrero en Pamplona
Fecha y lugar : 19 y 20 de Febrero en Pamplona
lunes, 3 de febrero de 2014
[AIISCYL] 'XI Jornadas Técnicas. Leon, 21 y 22 de febrero: Gestión de riesgos y seguridad de TIC´s sanitarias''
'Para las organizaciones sanitarias, la información y la tecnología
que la soportan, son uno de sus activos principales. El valor que aporta
es importantísimo en los procesos asistenciales y en muchos casos
existe una dependencia crítica de los procesos de salud y los servicios
TI. En algunos casos la propia vida del paciente.
martes, 17 de diciembre de 2013
Seguridad y Defensa Activa, segundo módulo del Bloque Tecnológico del “Programa de Desarrollo de competencias en Sistemas y TIC Sanitarias” para profesionales TIC del SERMAS, este jueves para el segundo grupo
Este Jueves 19 de Diciembre se
impartirá para el grupo T2 el segundo módulo del Bloque Tecnológico del Plan de Formación para personal TIC 2013-2014
“Programa de Desarrollo de competencias en Sistemas y Tecnologías de la Información y las Comunicaciones Sanitarias”: Seguridad y Defensa Activa, módulo formativo destinado exclusivamente a los profesionales TIC del SERMAS cuya inscripción en el ciclo formativo haya sido aceptada por la especialidad tecnológica y confirmada previamente.
El profesor será Alfredo Gaitero López, de la Oficina de Seguridad del SERMAS (OSSI).
El Módulo contará con este contenido:
El profesor será Alfredo Gaitero López, de la Oficina de Seguridad del SERMAS (OSSI).
El Módulo contará con este contenido:
jueves, 24 de octubre de 2013
Recordatorio: HOY Arquitectura de Sistemas, primer módulo del Bloque Tecnológico del “Programa de Desarrollo de competencias en Sistemas y TIC Sanitarias”
Con la colaboración de Stacks, el pasado Jueves 17 de Octubre para el
primer grupo, y HOY Jueves 24 de Octubre para el segundo, se
impartirá el primer módulo del Bloque Tecnológico del Plan de Formación para personal TIC 2013-2014
“Programa de Desarrollo de competencias en Sistemas y Tecnologías de la Información y las Comunicaciones Sanitarias”: Arquitectura de Sistemas, módulo formativo destinado exclusivamente a los profesionales TIC del SERMAS cuya inscripción en el ciclo formativo haya sido aceptada y confirmada previamente.
Los profesores serán Angel Luis Sánchez García, Jefe de Servicio de Arquitectura, Normalización e Integración de la Subdirección General de Planificación, Arquitectura e Innovación del SERMAS y Oscar Orri, de la empresa colaboradora Stacks.
El Módulo contará con este contenido:
Los profesores serán Angel Luis Sánchez García, Jefe de Servicio de Arquitectura, Normalización e Integración de la Subdirección General de Planificación, Arquitectura e Innovación del SERMAS y Oscar Orri, de la empresa colaboradora Stacks.
El Módulo contará con este contenido:
miércoles, 16 de octubre de 2013
Seguridad y Defensa Activa, segundo módulo del Bloque Tecnológico del “Programa de Desarrollo de competencias en Sistemas y TIC Sanitarias” para profesionales TIC del SERMAS
Este viernes 18 de Octubre para el grupo T1, y el próximo Viernes 25 de Octubre para el grupo T2, se
impartirá el segundo módulo del Bloque Tecnológico del Plan de Formación para personal TIC 2013-2014
“Programa de Desarrollo de competencias en Sistemas y Tecnologías de la Información y las Comunicaciones Sanitarias”: Seguridad y Defensa Activa, módulo formativo destinado exclusivamente a los profesionales TIC del SERMAS cuya inscripción en el ciclo formativo haya sido aceptada por la especialidad tecnológica y confirmada previamente.
El profesor será Alfredo Gaitero López, de la Oficina de Seguridad del SERMAS (OSSI).
El profesor será Alfredo Gaitero López, de la Oficina de Seguridad del SERMAS (OSSI).
lunes, 7 de octubre de 2013
II Encuentro Nacional sobre la Firma Electrónica en los Servicios Públicos el 15 y 16 de Octubre
El Ministerio de Hacienda y Administraciones Públicas, CENATIC y la
Universidad Autónoma de Madrid organizan el próximo 15-16 de octubre de
2013 el II Encuentro nacional sobre firma electrónica en en la
administración, evento gratuito destinado a "Profesionales
TIC de empresas, sector público o entornos universitarios con interés
en la firma electrónica y la seguridad en la prestación de servicios,
responsables con responsabilidad en la prestación de servicios y en
general cualquier persona con interés en participar en proyectos
colaborativos en torno a la seguridad y la firma electrónica" que tendrá lugar en el Edificio de la
Escuela Politécnica Superior. C/ Francisco Tomás y Valiente, 11. del campus de Cantoblanco de la Universidad
Autónoma de Madrid.
jueves, 29 de agosto de 2013
[Ontinet] '¿Aun con Java 6 instalado?. ¡Actualiza si no quieres tener problemas de seguridad!' [Vulnerabilidad aprovechada sin posibilidad de parche y riesgo para las organizaciones]
'El problema viene cuando una versión
como la 6 de Java, instalada aún en millones de ordenadores, deja de ser
soportada por el fabricante, que deja de lanzar actualizaciones de
seguridad para ella. Si a esto le sumamos la aparición de un exploit que
se aprovecha de una vulnerabilidad de esta versión
que no tiene perspectivas de ser solucionada, tenemos un caldo de
cultivo excelente para que los ciberdelincuentes hagan su agosto y
propaguen nuevas amenazas utilizando Kits de exploits como Neutrino.
lunes, 22 de julio de 2013
Boletines de seguridad de Microsoft de Julio de 2013: Actualizaciones disponibles para dos vulnerabilidades aprovechadas
Se enumeran del conjunto de boletines de seguridad de Microsoft de julio de 2013
solamente los boletines con vulnerabilidades calificadas como Críticas por el fabricante y se dan detalles solamente de las vulnerabilidades
que Microsoft reconoce en el propio boletín están siendo aprovechadas, como está siendo el caso de al menos dos de ellas:
Suscribirse a:
Entradas (Atom)