Mostrando entradas con la etiqueta Sans. Mostrar todas las entradas
Mostrando entradas con la etiqueta Sans. Mostrar todas las entradas

DHS, SANS Institute y Mitre actualizan su sistema para la evaluación de la seguridad del software

Posted: 28/6/11 by komz in Etiquetas: , , ,
0

El Departamento de Seguridad Nacional de Estados Unidos (DHS), en colaboración con SANS Institute y Mitre, han desarrollado un sistema actualizado de evaluación que ayuda a las empresas a comprobar si el software que utilizan cumple los necesarios estándares de codificación segura.

El sistema consiste en una lista actualizada de los que DHS, SANS Institute y Mitre consideran los 25 principales errores de programación que pueden encontrarse en el software y en un sistema de medida para que las empresas puedan evaluar la seguridad de su software, basándose en la presencia o ausencia de tales fallos.

El objetivo de este sistema es, según Alan Paller, director de investigación de SANS, ofrecer a las empresas información que les permita tomar decisiones mejor fundadas desde el punto de vista de la seguridad durante el proceso de obtención de su software.

Hasta ahora, según Paller, las organizaciones cuando compraban o desarrollaban servicios Web y software en general, carecían de un medio fiable de comprobar si iban a desplegar tecnología protegida contra ataques comunes.

La lista actualizada de los 25 errores más comunes y peligrosos en la programación de software está basada e incluye muchas de los fallos enumerados en la del año pasado. Pero una diferencia clave es que, en esta ocasión, son los errores de inyección SQL los que encabezan la lista. El año pasado este tipo de fallos ocupaban la segunda posición.

Junto con el sistema de evaluación, DHS, SANS Institute y Mitre han lanzado una serie de sugerencias y directrices sobre cómo los desarrolladores de software pueden reducir las probabilidades de que los errores más frecuentes y peligrosos aparezcan en sus productos.

fuente: csospain.es

20 Critical Security Controls for Effective Cyber Defense

Posted: 11/11/10 by komz in Etiquetas: , , ,
0


Hace un año SANS publicó los 20 controles críticos de seguridad que deben llevarse a cabo en las empresas públicas y privadas, centrándose en los controles clave que sirven para bloquear ataques conocidos.
Estos controles permiten a los responsables seguridad de llegar a un acuerdo, por primera vez, en lo que hay que hacer para tener sistemas seguros.

Este Top 20 de controles fue acordado por un grupo de profesionales reunidos por John Gilligan (antes CIO del Departamento de Energía de EE.UU. y la Fuerza Aérea de los EE.UU.) y auspiciados por el Centro de Estudios Estratégicos e Internacionales. Los miembros del Consorcio incluyen la NSA, CERT de EE.UU., el Departamento de Defensa de DoD, el Departamento de Energía Nuclear, además de los mejores expertos forenses y pentesters que trabajan sobre infraestructuras críticas.

La automatización de estos controles bajará radicalmente el costo de la seguridad al tiempo que mejorará su eficacia. El Departamento de Estado de EE.UU. ya ha demostrado más de 80% de reducción en el riesgo de "medir" la seguridad mediante la automatización y medición rigurosa de estos 20 controles.

A continuación un presentación interactiva sobre estos controles (hacer clic) sobre cada burbuja; tambien se puede descargar el informe en formato (PDF)
fuente: blog.segu-info.com.ar