Auditar COBIT - ISACA

Durante últimos 15 años,  empresas en todo el mundo han  utilizando COBIT para mejorar y evaluar sus procesos de TI. Sin embargo, hasta ahora no existía un programa consistente para evaluar estos procesos. El nuevo Programa de Evaluación de COBIT de ISACA ofrece consistencia y confiabilidad para que los líderes de la empresa y de TI puedan confiar tanto en los procesos de evaluación como en la calidad de los resultados, al mismo tiempo que maximizan el valor de sus inversiones en TI. 

Después de llevar a cabo una encuesta a nivel global en el 2010 para determinar las necesidades del mercado, ISACA descubrió que el 89% de los 1,400 entrevistados expresó la necesidad de una evaluación rigurosa y confiable de la capacidad de los procesos de TI. Para cubrir con esta solicitud ISACA dio a conocer el Programa de Evaluación de COBIT (COBIT Assessment Programme), que consta de tres partes y que está basado en COBIT 4.1 e ISO/IEC 15504-2:2003 Tecnología de Información—Evaluación de procesos—Parte 2: Realizando una evaluación:

·         Modelo de Evaluación de Procesos de COBIT: Usando COBIT 4.1

·         Guía para Asesores de COBIT: Usando COBIT 4.1

·         Guía de Autoevaluación de COBIT: Usando COBIT 4.1

·          

"El nuevo programa de evaluación brinda una metodología para realizar evaluaciones repetibles, confiables y robustas a los procesos”, señaló Max Shanahan, CISA, CGEIT, FCPA, y miembro del equipo de desarrollo. “Además de brindar un valor agregado inmediato a partir de los resultados, el Programa de Evaluación de COBIT también ofrece la base para la creación  de evaluaciones más amplias".

El documento está disponible para descarga gratuita en www.isaca.org/cobit. Las guías del Programa de Evaluación de COBIT están disponibles en http://www.isaca.org/cobit-assessment-programme

Release Note:

http://www.isaca.org/About-ISACA/Press-room/News-Releases/2011/Pages/ISACA-Issues-COBIT-Process-Assessment-Model.aspx

Descarga de Cobit 4.1 Español:

http://www.isaca.org/Knowledge-Center/cobit/Pages/Downloads.aspx

Tendencias de Malware en Dispositivos Móviles

El Laboratorio de ESET Latinoamérica ha desarrollado un artículo sobre lo que serán las tendencias en materia de malware y cibercrimen para el siguiente año. En esta oportunidad, anuncian que ya está disponible un nuevo documento, titulado “Tendencias 2012: El malware a los móviles“, que describe cuáles serán las amenazas informáticas más relevantes para el año 2012 y cómo seguirán evolucionando los códigos maliciosos. El mismo ya está disponible para su descarga en el sitio web http://www.eset-la.com/pdf/prensa/informe/tendencias_2012_el_malware_a_los_moviles.pdf, y aquí comparto con ustedes algunos fragmentos de la introducción:

Las costumbres de los usuarios en cuanto al uso de tecnologías, siempre han influido y determinado el desarrollo de malware y, esta tendencia, seguirá estando vigente. Teniendo en cuenta este punto, el marcado crecimiento en la utilización de dispositivos móviles será determinante el próximo año, dado que estas plataformas ya no son un espacio de entrada prohibida para el malware debido a que los desarrolladores de códigos maliciosos han trabajado en los últimos años para poder infectar este tipo de dispositivos. En el presente documento describiremos cómo la migración de las amenazas para equipos de escritorio al mundo móvil está a la orden el día.

En ese contexto, las amenazas para dispositivos móviles, tanto en materia de nuevos códigos maliciosos como de estafas en Internet, entre otras; serán lo más relevante para el próximo año, además de la aparición de nuevos tipos de ataques, como así también de nuevas variantes de aquellas existentes.

Como verán, en el inicio del documento ya dejan en claro lo que, a nuestro criterio, será el aspecto más destacado del malware el próximo año: la creación de nuevas amenazas (y especialmente variantes de aquellas ya existentes) para dispositivos móviles.

En la actualidad hay cinco mil millones de dispositivos móviles en el mundo, y uno de cada cuatro de estos son smartphones, es decir, teléfonos inteligentes con la capacidad de conectarse a Internet y, por lo tanto utilizar acceso a correos electrónicos (sean personales o corporativos), redes sociales e incluso sitios de eCommerce o Home Banking. Además, las capacidades de almacenamiento hacen de los dispositivos móviles un blanco de alto interés para los delincuentes informáticos, por la cantidad de información disponible en estos.

A partir de esta motivación, podrán encontrar en el informe cómo ha evolucionado el malware para estos el último año, marcando la tendencia para el 2012. En ese contexto Android, el sistema operativo de Google que lidera el mercado con el 43% del market share, será el protagonista, ya que ha concentrado la atención de los desarrolladores de malware para dispositivos móviles los últimos meses. En el siguiente gráfico podrán visualizar la evolución de 41 códigos maliciosos para esta plataforma:

Nótese que el mismo comienza en agosto del 2010, con el surgimiento de FakePlayer, descubierto por PandaSecurity, el primer troyano para Android; hasta octubre de este año cuando finalizó la edición del documento. En ese tiempo, como ya se mencionó, ha identificado 41 códigos maliciosos y variantes importantes para esta plataforma. También es importante remarcar cómo la imagen resalta la densidad de aparición, siendo que el 65% de las amenazas aparecen en los últimos cinco meses, destacando la tendencia identificada para el próximo año. Asimismo, otras conclusiones de este análisis, que podrán encontrar más detalladas en el documento, indican que:

• El 30% de las amenazas estuvieron disponibles para su descarga en el Android Market.
• El 37% son troyanos SMS.
• El 60% de los códigos maliciosos tienen alguna característica de botnets, es decir, algún tipo de control remoto sobre el dispositivo.

También podrán encontrar en el informe dos aspectos muy importantes sobre las amenazas en dispositivos móviles:

el caso de DroidDream como primer malware de impacto masivo en móviles (250 mil usuarios afectados) y un análisis sobre cuál será el lugar que ocupará Android en lo que respecta al malware para estas plataformas (¿el nuevo Windows XP?).

Recuerden que pueden leer el informe completo en la sección de Informes y Tendencias en el Centro de Amenazas de  ESET Latinoamérica. 

Ejecución remota de código en TYPO3

Se ha publicado un parche para las versiones 4.5.x y 4.6.x de TYPO3, destinado a solucionar un fallo de ejecución remota de código.

TYPO3 es un gestor CMS web e intranet, de software libre licenciado bajo licencia GPLv3 para PHP. Se enfoca al nivel empresarial, según las estadísticas W3Techs se sitúa en uso por detrás de Drupal o Joomla.

El error se encuentra en "AbstractController.php", donde se realiza la siguiente llamada:

require_once($GLOBALS['BACK_PATH'] . 'template.php');

la ruta de acceso al archivo vulnerable es la siguiente: typo3/sysext/workspaces/Classes/Controller/AbstractController.php

Un atacante podría ejecutar código arbitrario si modifica el valor de la variable global "BACK_PATH" y hace que apunte a una url controlada por él. Por tanto, para ser vulnerable a este fallo el servidor tiene que tener activo los siguientes parámetros: "register_globals", "allow_url_include" y "allow_url_fopen".

Los sistemas con el módulo Suhosin PHP no son vulnerables salvo que se hubiera modificado "suhosin.executor.include.whitelist"., también dejo una buena presentación de como asegurar TYPO3 con Suhosin y Mod_Security: http://www.slideshare.net/xperseguers/protecting-typo3-with-suhosin-and-modsecurity

Como contramedida para servidores Apache con "mod_security" se puede añadir la regla:

SecRule  ARGS:BACK_PATH  "^(https?|ftp)"  "deny"

Se recomienda actualizar a las versiones 4.5.9 y 4.6.2 que no son vulnerables a este fallo. También se ha publicado un parche disponible en:

http://typo3.org/fileadmin/security-team/bug32571/32571.diff

Más información:

TYPO3 Security Bulletin:

http://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2011-004/

Como asegurar TYPO3 (Versión Ingles):

http://typo3.org/documentation/document-library/extension-manuals/doc_guide_security/1.0.0/view/