Information Systems Security

The Open Source Security Testing Methodology http://www.isecom.org/mirror/OSSTMM.3.pdf The Information Systems Security Assessment Framework (ISSAF) seeks to integrate the following management tools and internal control checklists: Evaluate the organizations information security policies & processes to report on their compliance with IT industry standards, and applicable laws and regulatory requirements Identify and assess the business dependencies on […]


The Open Source Security Testing Methodology

http://www.isecom.org/mirror/OSSTMM.3.pdf


The Information Systems Security Assessment Framework (ISSAF) seeks to integrate the following management tools and internal control checklists:

Evaluate the organizations information security policies & processes to report on their compliance with IT industry standards, and applicable laws and regulatory requirements
Identify and assess the business dependencies on infrastructure services provided by IT
Conduct vulnerability assessments & penetration tests to highlight system vulnerabilities that could result in potential risks to information assets
Specify evaluation models by security domains to :
Find mis-configurations and rectify them
Identifying risks related to technologies and addressing them
Identifying risks within people or business processes and addressing them
Strengthening existing processes and technologies
Provide best practices and procedures to support business continuity initiatives

Business Benefits of ISSAF

The ISSAF is intended to comprehensively report on the implementation of existing controls to support IEC/ISO 27001:2005(BS7799), Sarbanes Oxley SOX404, CoBIT, SAS70 and COSO, thus adding value to the operational aspects of IT related business transformation programmes.
Its primary value will derive from the fact that it provides a tested resource for security practitioners thus freeing them up from commensurate investment in commercial resources or extensive internal research to address their information security needs.
It is designed from the ground up to evolve into a comprehensive body of knowledge for organizations seeking independence and neutrality in their security assessment efforts.

It is the first framework to provide validation for bottom up security strategies such as penetration testing as well as top down approaches such as the standardization of an audit checklist for information policies.


The Open Web Application Security Project (OWASP) is an open-source application security project. The OWASP community includes corporations, educational organizations, and individuals from around the world. This community works to create freely-available articles, methodologies, documentation, tools, and technologies. The OWASP Foundation is a 501(c)(3)charitable organization that supports and manages OWASP projects and infrastructure. It is also a registered non profit in Europe since June 2011.

OWASP is not affiliated with any technology company, although it supports the informed use of security technology. OWASP has avoided affiliation as it believes freedom from organizational pressures may make it easier for it to provide unbiased, practical, cost-effective information about application security.[citation needed] OWASP advocates approaching application security by considering the people, process, and technology dimensions.

OWASP’s most successful documents include the book-length OWASP Guide,[1] the OWASP Code Review Guide OWASP Guide [2] and the widely adopted Top 10 awareness document.[3][citation needed] The most widely used OWASP tools include their training environment,[4] their penetration testing proxy WebScarab,[5] and their .NET tools.[6] OWASP includes roughly 190 local chapters [7] around the world and thousands of participants on the project mailing lists. OWASP has organized the AppSec [8] series of conferences to further build the application security community.

OWASP is also an emerging standards body, with the publication of its first standard in December 2008, the OWASP Application Security Verification Standard (ASVS).[9] The primary aim of the OWASP ASVS Project is to normalize the range of coverage and level of rigor available in the market when it comes to performing application-level security verification. The goal is to create a set of commercially workable open standards that are tailored to specific web-based technologies. A Web Application Edition has been published. A Web Service Edition is under development.

the OWASP Top Ten Project – if you’re looking for the OWASP Top 10 Mobile Click Here
The Release Candidate for the OWASP Top 10 for 2013 is now available here: OWASP Top 10 – 2013 – Release Candidate

The OWASP Top 10 – 2013 Release Candidate includes the following changes as compared to the 2010 edition:

  • A1 Injection
  • A2 Broken Authentication and Session Management (was formerly A3)
  • A3 Cross-Site Scripting (XSS) (was formerly A2)
  • A4 Insecure Direct Object References
  • A5 Security Misconfiguration (was formerly A6)
  • A6 Sensitive Data Exposure (merged from former A7 Insecure Cryptographic Storage and former A9 Insufficient Transport Layer Protection)
  • A7 Missing Function Level Access Control (renamed/broadened from former A8 Failure to Restrict URL Access)
  • A8 Cross-Site Request Forgery (CSRF) (was formerly A5)
  • A9 Using Known Vulnerable Components (new but was part of former A6 – Security Misconfiguration)
  • A10 Unvalidated Redirects and Forwards

Please review this release candidate and provide comments to dave.wichers@owasp.org or to the OWASP Top 10 mailing list (which you must be subscribed to). The comment period is open from Feb 16 through March 30, 2013 and a final version will be released in May 2013.

If you are interested, the methodology for how the Top 10 is produced is now documented here: OWASP Top 10 Development Methodology

OWASP Appsec Tutorial Series

Uploaded on Jan 30, 2011
The first episode in the OWASP Appsec Tutorial Series. This episode describes what the series is going to cover, why it is vital to learn about application security, and what to expect in upcoming episodes.

Uploaded on Feb 8, 2011
The second episode in the OWASP Appsec Tutorial Series. This episode describes the #1 attack on the OWASP top 10 – injection attacks. This episode illustrates SQL Injection, discusses other injection attacks, covers basic fixes, and then recommends resources for further learning.

Uploaded on Jul 11, 2011
The third episode in the OWASP Appsec Tutorial Series. This episode describes the #2 attack on the OWASP top 10 – Cross-Site Scripting (XSS). This episode illustrates three version of an XSS attack: high level, detailed with the script tag, and detailed with no script tag, and then recommends resources for further learning.

Published on Sep 24, 2012
The forth episode in the OWASP Appsec Tutorial Series. This episode describes the importance of using HTTPS for all sensitive communication, and how the HTTP Strict Transport Security header can be used to ensure greater security, by transforming all HTTP links to HTTPS automatically in the browser.


DEFT 7 is based on the new Kernel 3 (Linux side) and the DART (Digital Advanced Response Toolkit) with the best freeware Windows Computer Forensic tools. It’s a new concept of Computer Forensic system that use LXDE as desktop environment and WINE for execute Windows tools under Linux and mount manager as tool for device management.

It is a very professional and stable system that includes an excellent hardware detection and the best free and open source applications dedicated to Incident Response, Cyber Intelligence and Computer Forensics.

DEFT is meant to be used by:

Military
Police
Investigators
IT Auditors
Individuals

DEFT is 100% made in Italy

Tacos de canasta… por Internet

<!–break–>
Vender tacos por Internet es poco común, pero ha sido una estrategia efectiva para Jaime Ruiz, quien es dueño de la empresa Tacos de Canasta y ha demostrado que el manejo de he…

<!–break–>
Vender tacos por Internet es poco común, pero ha sido una estrategia efectiva para Jaime Ruiz, quien es dueño de la empresa Tacos de Canasta y ha demostrado que el manejo de herramientas tecnológicas es fundamental para el crecimiento, mantenimiento y posicionamiento de las pequeñas y medianas empresas (Pymes) sin importar el sector al que pertenezcan.

“Pensamos en un negocio de tacos de canasta porque son un producto que le gusta mucho a los mexicanos y quisimos ofrecerle una nueva opción a las empresas y a los particulares, que les asegurara calidad, higiene y puntualidad, y que dentro del rubro de los tacos no es muy común encontrar”, comentó el empresario Jaime Ruiz

Los principales clientes de Tacos de Canasta son empresas y personas que realizan eventos, pues no cuentan con un restaurante al que puedan asistir a comer como en otros restaurantes. Jaime no sólo ofrece a sus clientes tacos de canasta, pues su empresa también prepara otro tipo de guisados y tacos light.

Inversión digital

Sin embargo, vender tacos de canasta por Internet fue una manera en que Jaime y su hijo implementaron los conocimientos que les dejó otro negocio del que también son dueños: la empresa Intermarketing Solutions, que ofrece soluciones a otras organizacionies para promover sus productos y servicios.

“Para el portal del negocio la inversión fue muy baja, tomando en cuenta que nosotros tenemos otro negocio dedicado a eso, pero si no hubiéramos sido nosotros los que desarrollaran el sitio Web, la inversión inicial tal vez hubiera sido de 10,000 pesos”, aseguró el empresario.

Además, Jaime gasta alrededor de mil pesos mensuales en Adwords, un sistema de publicidad basado en palabras clave que ayuda a posicionar el sitio en los primeros lugares de los buscadores.

“Tenemos un posicionamiento muy bueno, si la gente busca en Internet “tacos de canasta”, nosotros somos los que van a aparecer en primer lugar. Y si entran en nuestra página, se van a dar cuenta de que es un sitio muy bien presentado, claro y fácil para navegar, en el que se ofrece toda la información que necesitan los clientes”.

En la actualidad, alrededor de 90% o 95% de los clientes de Jaime Ruiz provienen de las búsquedas que hacen en Internet y el resto son clientes que los buscan por anuncios que tienen en algunas revistas, en la sección amarilla o en volantes.

“Yo recomendaría a otras empresas que inviertan en el desarrollo de una página Web para encontrar nuevos clientes y ser reconocidos dentro del sector del mercado al que pertenecen. Para hacerlo deben buscar a una compañía que los asesore acerca de cuál es la mejor estrategia para realizar un portal y que hacer para que se encuentre en los primeros lugares de los buscadores a través de palabras clave”, concluyó el empresario.

El sitio de Jaime no permite transacciones comerciales, pero deja que los clientes hagan sus solicitudes a través del sitio y que especifiquen la fecha y el lugar en el que se va a entregar el pedido y en un futuro piensan en ofrecer más servicios para innovar el concepto de su negocio, por lo cual seguirá utilizando herramientas digitales como la página Web y Adwords.

Tacos de Canasta

fnaranjo@elempresario.mx

CRÉDITO: 

Fabiola Naranjo

Redes sociales influyen en contrataciones

Con la cada vez mayor penetración de las redes sociales en distintas facetas de la vida, éstas ya representan un factor que los reclutadores toman en cuenta para decidir o no la contratación de un candidato para ocupar una vacante laboral.

http://elempresario.mx/tecnologia/redes-sociales-influyen-contrataciones

Hello world!

Inventarios.Org es un repositorio de información y noticias sobre mejores practicas en logística, inventarios, la cadena de suministro, y otros temas afines desde las perspectivas operativa, táctica, y estratégica. También hay noticias de ofertas de empleo y negocios, notas sobre software y tecnologías relevantes como RFID. Cualquiera puede participar inscribiéndose y contribuyendo con artículos técnicos, ofertas de servicios y productos.

Para mas información mandar un correo a info@inventarios.org

Los gusanos, el spam, y la mafia

El primer gusano de Internet fue el experimento intelectual de Robert Morris en 1988. Probablemente el primer ataque premeditado de gran escala fue Code Red en julio de 2001 que utilizo una falla de MS IIS para infectar 359000 y orquestar una ataque en el sitio web de la Casa Blanca. Ahora los gusanos son instrumentos de programadores profesionales que secuestran maquinas para vender sus redes, botnets.

Continue reading “Los gusanos, el spam, y la mafia”

Actualización a WordPress 2.2

Actualice WordPress a la versión 2.2. Parece ser más rápido y estable y ahora tiene soporte para widgets por default.

El proceso de actualización fue estilo paso de la muerte.

Primero respalde el sitio utilizando la funcionalidad  ftp de Windows Explorer, con manejo nativo de archivos en Windows XP con drag-and-drop y todo.

Tuve que regenerar el archivo de configuración y por alguna razón la codificación de textos se corrompió y tuve que arreglar a mano todos mis escritos donde había acentos. Tambien tuve que agregar manualmente dos columnas a la tabla de categorias.

Agrege un par de widgets para probar la funcionalidad y trabaja bien el asunto.

Agrege un plugin para generar mapas del sito para busadores.

Agrege el plugin Extract-terms de Semiologic para agregar la busqueda de terminos usados por Yahoo. Desafortunadamente no funciono. Tal vez por problemas con derecho de escritura al directorio cache. Yahoo Webhosting no permite modificar permisos, pero no estoy seguro de que ese sea el problema porque el modulo de cache parece funcionar bien

Referencias:

http://www.feedshow.com/

http://automattic.com/code/widgets/use/

http://widgets.wordpress.com/

http://www.mymindwanders.com/blog/?p=63


google sitemapsgenerator v2 final


navigation wordpress plugins