Aunque recientemente hubo un escándalo, la RSA todavía se considera el evento más grande en la industria de la seguridad. Esto significa que este evento atrae las mejores cabezas, los mejores mánagers e influencers (aunque el Security Analysts Summit es actualmente considerado el mejor evento en la industria desde un punto de vista de seguridad aplicada). La mejor manera para conectar con la cerrada y muy privada comunidad de expertos de seguridad y sentirse parte de ella – es mantenerse al tanto con las tendencias recientes… investigando y leyendo. Es decir, leyendo muuuucho. El año pasado publicamos un resumen de los libros más vendidos de la RSA 2013. Hoy seguimos con esta tradición. Aquí hay una lista de los libros que gustaron a los expertos este año:
1. Googling Security: How Much Does Google Know About You?
El libro de terror de este año 🙂 Cuando usas los servicios “gratis/libres” de Google, pagas (y mucho) con información personal sobre ti mismo. Google está ganando una fortuna con lo que sabe acerca de ti… y podrías quedarte sorprendido de todo lo que Google sabe de verdad. Googling Security es el primer libro que revela cómo las vastas reservas de información de Google podrían ser utilizadas contra ti o tu empresa y qué puedes hacer para protegerte.
No como otros libros sobre hackear Google, este libro incluye la información que revelas cuando usas todas las aplicaciones top de Google, no solo lo que usuarios expertos pueden obtener con los resultados de búsqueda de Google. El profesor de informática de West Point, Greg Conti, revela las implicaciones de privacidad de Gmail, Google Maps, Google Talk, Google Groups, Google Alerts, las nuevas aplicaciones móviles de Google, entre otros. Basándose en su propia investigación sobre seguridad avanzada, Conti muestra cómo las bases de datos de Google pueden ser usadas por otros con mala intención.
Descubre las “migas de pan” de información que dejas al utilizar la búsqueda de Google y cómo Gmail puede ser usada esta información para monitorizar tu red de amigos, familiares y conocidos:
- Las herramientas de ubicación que pueden revelar la localización de tu casa, la de tu jefe, tu familia y amigos, e incluso tus planes de viaje;
- Cómo las reservas de información de Google y otras compañías online pueden perderse, ser robadas, compartidas o citadas y usadas más tarde para usurpar tu identidad o hacerte chantaje;
- La forma en que los servicios de publicidad Google AdSense y DoubleClick podrían rastrearte por la web y cómo reducir sistematicamente la información personal que expones o revelas.
Este libro es una llamada de atención y un manual de auto-defensa por lo que es un recurso indispensable para todos, desde los particulares a profesionales de la seguridad, que dependemos de Google.
2. Hacking Exposed 7: Network Security Secrets & Solutions
Los expertos aprenden estudiando los fallos cometidos por otros. El hecho de que el CSO del grupo Sony y el ex EAD del FBI recomienden este libro significa algo: “Nuestra nueva realidad es el zero-day, APT y los ataques patrocinados por estados. Hoy, más que nunca, los profesionales de la seguridad tienen que entrar en la mente de los hackers y conocer sus métodos para impedir con éxito este tipo de ataques incesantes. Esta edición pone al día a los lectores sobre los últimos vectores de ataque y los prepara frente a estas amenazas que evolucionan continuamente.” – Brett Wahlin, CSO, Sony Network Entertainment.
“Basta ya recibir golpes – vamos a cambiar el juego; ya es hora de cambiar la forma de proteger nuestras redes y Hacking Exposed 7 es el libro de estrategias para luchar contra nuestros adversarios.”– comentaShawn Henry, ex Subdirector Ejecutivo, FBI.
Refuerza la seguridad de tu sistema y derrota a las herramientas y tácticas de los cibercriminales con el asesoramiento y estrategias de defensa de Hacking Exposed, un equipo de expertos mundialmente reconocido. Los casos prácticos exponen los últimos métodos tortuosos de los hackers e ilustran soluciones probadas. Descubre cómo bloquear hackeos de infraestructura, reducir al mínimo las amenazas persistentes, neutralizar los códigos malignos, asegurar aplicaciones web y de bases de datos y fortalecer las redes de UNIX. Hacking Exposed 7: Network Security Secrets & Solutions contiene nuevos mapas visuales y un completo “libro de cocina de contramedidas”.
- Bloquea las APT y meta-exploits basados en la web, defiéndete contra accesos de root basado en UNIX y los hackeos de desbordamiento de búfer;
- Bloquea los ataques de inyección SQL, spear phishing y de código incrustado;
- Detecta y elimina rootkits, troyanos, bots, gusanos informáticos y malware y bloquea el acceso remoto a través de tarjetas inteligentes y tokens de hardware;
- Proteje WLANs de 802.11 con cifrado de capas múltiples y portales, tapona agujeros en VoIP, redes sociales, cloud y servicios web 2.0;
- Obten más información sobre los últimos ataques de iPhone y Android y cómo protegerte.
3. Big Data For Dummies
Estamos viviendo la era de la nube – lo que significa que, para entender y planificar el futuro de tu negocio, tienes que aprender a gestionar y analizar millones de gigabytes de datos y usarlos para el beneficio de tu marca. La gestión de big data es uno de los mayores desafíos que enfrentan las empresas, las industrias, y las organizaciones sin ánimos de lucro – como su historia es… bueno, está recién estrenada. Pero si necesitas desarrollar o gestionar soluciones de big data con eficacia, apreciarás cómo estos cuatro expertos definen, explican, y te guían a través de este concepto nuevo y muchas veces confuso. Vas a aprender qué es, por qué es importante, y cómo elegir y poner en práctica soluciones que funcionan.
- La gestión eficaz de big data es un tema de creciente importancia para las empresas, las organizaciones sin ánimos de lucro, el gobierno y los profesionales de TI;
- Los autores son expertos en gestión de información, big data y gran variedad de soluciones;
- Explica los big data en detalle y analiza cómo seleccionar e implementar una solución, los problemas de seguridad a tener en cuenta, los problemas de almacenamiento de datos y de presentación, analíticas y mucho más;
- Proporciona información esencial en un estilo sensato y fácil de entender que resulte útil.
4. Unmasking the Social Engineer: The Human Element of Security
Está claro que la ingeniería social es uno de los temas más demandados en las librerías de la RSA2014. La comunidad está tratando de incentivar a los negocios para que aprendan identificar el ingeniero social por el comportamiento no verbal.
Unmasking the Social Engineer: The Human Element of Security se centra en la combinación de la ciencia de la comprensión de la comunicación no verbal con el conocimiento de cómo los ingenieros sociales, los artistas de la estafa y los timadores usan estas habilidades para crear sentimientos de confianza y buena relación en sus objetivos. El autor ayuda a los lectores a comprender cómo identificar y detectar los ingenieros sociales y los estafadores mediante el análisis de su comportamiento no verbal. Unmasking the Social Engineer muestra cómo funcionan los ataques, explica la comunicación no verbal, y demuestra con imágenes de la relación de la conducta no verbal con la ingeniería social y las estafas.
- Claramente combina tanto los aspectos prácticos como los técnicos de seguridad de la ingeniería social y revela las diversas trampas que los estafadores usan;
- Identifica los aspectos más importantes a los que se debe prestar especial atención en la comunicación no verbal para detectar al ingeniero social;
- Compartiendo metodología científicamente probada para leer, comprender y descifrar la comunicación no verbal, Unmasking the Social Engineer equipa a los lectores con los conocimientos necesarios para ayudar a proteger a sus organizaciones.
5. Social Engineering: The Art of Human Hacking
Relacionado con el punto anterior – en la actualidad es ampliamente reconocido que el factor humano es la parte más vulnerable de cualquier infraestructura de seguridad- no es de extrañar que los piratas informáticos de hoy en día estén muy interesados en las técnicas de PNL. Este libro revela y analiza minuciosamente los aspectos técnicos de muchas maniobras de ingeniería social.
Desde elicitación, los pretextos, la influencia y la manipulación, todos los aspectos de la ingeniería social se recogen, discuten y explican mediante ejemplos reales, experiencias personales y la ciencia para descifrar el misterio de la ingeniería social.
Kevin Mitnick – uno de los más famosos ingenieros sociales del mundo – popularizó el término de “ingeniería social”. Explicó que es mucho más fácil engañar a alguien para que revele la contraseña de un sistema que realizar el esfuerzo de hackearlo.
Mitnick afirma que esta táctica de ingeniería social es el método más eficaz en su arsenal. Este imprescindible libro examina una variedad de maniobras que tienen como objetivo engañar a víctimas inocentes, mientras que también aborda formas de prevenir las amenazas de ingeniería social.
- Examina la ingeniería social, la ciencia de influenciar a un objetivo para que realice una tarea deseada o facilite información.
- Te equipa con información muy valiosa acerca de los numerosos métodos de engaño que los hackers utilizan para recopilar información con la intención de conseguir el robo de identidad, fraude, u obtener acceso al sistema informático;
- Revela pasos vitales para la prevención de las amenazas de ingeniería social;
- Social Engineering: The Art of Human Hacking te prepara contra los hackers malvados -ahora puedes hacer tu parte al poner en buen recaudo la información crítica que hay dentro de sus páginas.
6. Leading Effective Virtual Teams: Overcoming Time and Distance to Achieve Exceptional Results
Estamos globalizados – un montón de servicios de TI, incluido el apoyo y el I + D a menudo se subcontratan o se sitúan en las regiones con mayor potencial de rentabilidad. Esto significa que cada vez más y más empresas se enfrentan a tener que gestionar equipos globales. Si eres un líder de cualquier tipo de equipo virtual, entonces compra este libro. Aprenderás cómo:
- Crear confianza y cultivar las relaciones, de forma virtual, en tu equipo;
- Diseñar y facilitar reuniones virtuales que están enfocados/centrados y son interesantes;
- Influenciar sin autoridad;
- Motivar e impulsar a un equipo virtual para el máximo rendimiento;
- Mezclar/incorporar las comunicaciones síncronas y asíncronas para una mejor colaboración virtual;
- Navegar las diferencias interculturales y generacionales en la ausencia de señales visuales necesarias;
- Evaluar las habilidades, fortalezas, aptitudes y preferencias;
- Manejar otros temas difíciles que pueden hacer tropezar a los equipos virtuales.
7. CISSP Exam Cram
Sólo los profesionales certificados están preparados para estar a cargo de la seguridad de información para los negocios. Pasar el examen CISSP es el camino para convertirse en uno de esos chicos de TI de élite. Este libro es la guía de estudio perfecta para ayudarte a pasar la nueva versión electrónica del examen CISSP. Cubre z proporciona preguntas prácticas para todos los temas del examen, incluyendo nueva cobertura sustancial de codificación, seguridad en la nube, los ciclos de vida de la información, gestión de la seguridad y más. El libro contiene un amplio conjunto de herramientas de preparación, tales como tests, alertas de exámenes, y dos pruebas de la práctica, mientras que la maquinaria de última generación del CD ofrece práctica y feedback en tiempo real.
¡Descubre la información esencial que necesitas para aprobar el examen CISSP!
- Imponer seguridad física eficaz en toda la organización;
- Aplicar autenticación, autorización y responsabilidad fiables;
- Diseñar arquitecturas de seguridad que puedan ser verificadas, certificadas y acreditadas;
- Entender los ataques y las contramedidas más nuevas;
- Usar la codificación para proteger datos, sistemas y redes;
- Planificar y probar sistemáticamente programas de continuidad del negocio;
- Proteger la nube, la web y las aplicaciones de bases de datos de hoy;
- Abordar las cuestiones de acuerdos globales, desde la privacidad hasta la informática forense;
- Desarrollar software seguros a lo largo de todo su ciclo de vida;
- Implementar la administración de seguridad y gestión de riesgos efectivos;
- Utilizar las mejores normas, procedimientos, directrices y controles;
- Asegurar fuertes controles operacionales, desde la verificación de antecedentes hasta auditorías de seguridad.
8. CISSP Practice Exams, Second Edition
CISSP Practice Exams, Second Edition es el acompañante ideal best seller de Shon Harris CISSP All-in-One Exam Guide. Considerada por su estilo atractivo e informativo, Shon Harris es reconocida como una experta de certificación de seguridad de TI.
Diseñado como un libro de auto-ayuda y un recurso centrado en el examen, CISSP Practice Exams, Second Edition cubre el 100% de los 10 campos del examen. Organizado según estos campos, el libro te permite centrarte en temas específicos y adaptar tu estudio a tus áreas de experiencia y debilidades. Para ayudar aún más en el estudio y la memorización, cada pregunta en el libro va acompañada de explicaciones detalladas de las respuestas correctas e incorrectas. Cada capítulo contiene más de 25 preguntas de práctica con unas 500 preguntas de práctica adicionales facilitadas en un entorno basado en la Web. Como bono adicional, tendrás acceso a 24 horas de audio-conferencias/ para hacer repasos intensivos.
9. Mobile Device Security For Dummies
Los dispositivos móviles han sustituido a los ordenadores por los usuarios corporativos que se mueven mucho y hay millones de redes que tienen poca o ninguna seguridad. Esta guía esencial te enseña los pasos para asegurar la red y crear una infraestructura robusta que proteja y apoye a los dispositivos móviles de la empresa. Con situaciones del mundo real, esta guía directa comparte consejos invaluables para la proteger los dispositivos móviles de la pérdida de información corporativa sensible y confidencial.
- Proporciona un enfoque práctico y rápido para proteger un dispositivo móvil de las amenazas de seguridad;
- Discute temas importantes como la protección específica frente a los hackers, la pérdida o robo del dispositivo, las copias de seguridad y restauración de datos, y más temas de interés;
- Ofrece consejos críticos para la implementación de la protección de la red de la empresa para los dispositivos móviles;
- Te enseña las ventajas del control de acceso de la aplicación granular y el cumplimiento con RPV.
10. Mobile Authentication: Problems and Solutions
El autor analiza el sistema de verificación entre el usuario y los equipos, con un enfoque sagaz a la situación móvil. Esta verificación es un tema asombrosamente complejo. En los viejos tiempos de la seguridad informática antes del 2000, el componente humano fue prácticamente ignorado. Se suponía que la gente debería y sería capaz de seguir las instrucciones, o que no había esperanza para los usuarios finales y que estos siempre cometerían errores. La realidad, por supuesto, está en algún lugar en medio, que es exactamente lo que hace que este tema sea tan atractivo. No podemos avanzar en la verificación entre el usuario y la máquina sin entender ambos, los humanos y las máquinas. La seguridad móvil no es sólo la seguridad portada en un móvil. Los móviles tienen limitaciones diferentes a las de los ordenadores tradicionales, y son usados de una manera diferente. La introducción de texto es más frustrante, y por eso, la tentación de usar contraseñas más cortas y menos complejas es mayor. También es más difícil detectar el spoofing. Tenemos que diseñar teniendo esto en mente. También tenemos que determinar cómo integrar exactamente lectores biométricos para obtener los máximos beneficios de ellos.
11. Malware, Rootkits & Botnets A Beginner’s Guide
El “Lock, Stock and two smoking barrels” de la seguridad. Este libro te ayudará a aprender cómo mejorar el posicionamiento de seguridad de cualquier empresa y defenderte contra algunos de los ataques de red más penetrantes. Malware, Rootkits & Botnets: A Beginner’s Guide explica la naturaleza, la sofisticación y el peligro de estos riesgos y ofrece las mejores prácticas para impedirlos.
Después de revisar el panorama actual de amenazas, el libro describe el ciclo completo de las amenazas, explicando cómo los cibercriminales crean, implementan y gestionan el malware, los rootkits y botnets que están bajo su control. Aprenderás técnicas probadas para identificar y mitigar estos ataques malignos. Las plantillas, listas de verificación y ejemplos te darán la ayuda práctica que necesitas para empezar a proteger tu red de forma inmediata.