sábado, noviembre 19, 2011

ISO 30300 e ISO 30301: Estandares para el Sistema de Gestion de Registros



Teniendo como fundamento las fallas actuales del Gobierno Corporativo, dos nuevos estandares ISO respaldaran a las Organizaciones a revelar la informacion corporativa con rapidez y eficacia.  El aumento creciente de la presión por parte de los entes reguladores obliga a las compañías a suministrar esta información debido a que las irregularidades en gestión financiera, conflictos de interés y la transparencia en la toma de decisiones se han vuelto demasiado comunes para las Organizaciones.

Para cubrir esta necesidad, nace la ISO 30300:2011 Sistema de Gestión de Registros Fundamentos y Vocabulario, y la ISO 30301:2011 Sistema de Gestión de Registros Requerimientos, las cuales contaron en su desarrollo con la participación de expertos de 27 países en los 5 continentes.

Estos estándares fueron desarrollados para ser compatibles y complementarios con otros sistemas de gestión, tales como ISO 9001 (Gestión de Calidad), ISO 14001 (Gestión Ambiental) e ISO 27001 (Gestión de Seguridad de la Información)

ISO 30300 es el estándar fundamental que incluye los fundamentos y el vocabulario general para toda la serie, mientras que la ISO 30301 especifica los requerimientos para un sistema de gestión de registros. Estándares adicionales para la serie ISO 30300 continúan aun bajo desarrollo.

De acuerdo a Judith Ellis y Carlota Bustelo, quienes fueron lideres de los equipos de trabajo que desarrollaron estos estandares, resaltan que la serie ISO 30300 ofrece la metodología para una aproximación sistemática para la creación y gestión de registros, alineándose con los objetivos y estrategias organizacionales. La Gestión de Registros a través de un Sistema de Gestión de Registros rentabiliza procesos operacionales como almacenamiento, recuperación de información, reutilización de la información, litigios y elaboración de Due Dilligence.

El costo de la implementacion de un SGR (Sistema de Gestion de Registros) depende del alcance de la implementacion dentro de cada organizacion, y esta determinado por las necesidades del negocio y analisis de riesgos, y puede generar retornos de la inversion a corto y/o largo periodo, asi como una reducción de costos.

Los factores globales obligan a las organizaciones, sean o no con animo de lucro, privadas o estatales, grandes o pequeñas, a reducir sus costos y a aumentar su responsabilidad ambiental para que implementen un SGR. Dentro de estos factores encontramos:
  •  Intensa competicion comercial
  • Cambios tecnológicos intensos enfocados hacia el e-commerce y el e-government.
  • La velocidad de las comunicaciones y la diseminacion de informacion a traves de Internet. 
  • Incremento en la complejidad de regulaciones ambientales a nivel local, nacional e internacional.
  • Expectativas crecientes de los ciudadanos para ver organizaciones que trabajen de manera responsable, transparente y con responsabilidad social. 
  •  El incremento de los riesgos externos, incluyendo amenazas de seguridad y desastres naturales.
La creación de registros es esencial para las actividades de toda organización, proceso y sistema. Un SGR respalda la eficiencia organizacional, la rendición de cuentas, gestión de riesgos, y continuidad de negocios; y le permite a las organizaciones capitalizar el valor de sus registros de información como negocios, activos comerciales y conocimiento. Al mismo tiempo, el SGR contribuye a la preservación de la memoria corporativa, en respuesta a los desafíos del medio ambiente global y digital.

Dentro de los sectores a los cuales va orientado este nuevo estándar incluye el sector estatal, educativo y de manufactura (especialmente farmacéuticas y mineras). Compañias involucradas en programas de responsabilidad social, así como los sectores con una fuerte necesidad de demostrar el cumplimiento, como la energía nuclear y las telecomunicaciones, se espera que se beneficien a partir de su aplicación efectiva.

La versión en español de este estandar esta aun por ser anunciado, y opino que seria fantástico se convirtiera en una obligatoriedad a nivel estatal en Colombia. 
Publicadas por a la/s 7:12 AM 0 comentarios

martes, noviembre 08, 2011

Publicada la ISO 27035:2011 Gestion de Incidentes de Seguridad



Desde piratas informáticos tratando de irrumpir en las redes de seguridad, a personal interno usando sus conocimientos y derechos internos de acceso al uso de datos de la empresa para su beneficio personal, el impacto de una amplia variedad de amenazas de seguridad de la información puede ser reducida usando la nueva Norma Internacional ISO / IEC 27035:2011 de gestión de incidentes de seguridad de la información.
 
La violación de la seguridad de la información puede poner en peligro sus sistemas de negocio y causar perturbaciones en las operaciones comerciales. El estar preparados y responder de una manera eficaz y oportuna puede significar la diferencia entre un incidente menor y un desastre en el negocio. El uso de un sistema de gestión de incidentes de seguridad de la información permite a las organizaciones los controles y procedimientos para gestionar una amplia variedad de incidentes de seguridad y vulnerabilidades. 

ISO / IEC 27035:2011, Tecnología de la información - Técnicas de seguridad – Gestión de Incidentes de Seguridad de la Información, es una orientación sobre  "cómo hacer" para la detección, notificación y evaluación de incidentes de seguridad de la información y las vulnerabilidades. La norma ayudará a las organizaciones a responder ante incidentes de seguridad informática, incluyendo la activación de los controles adecuados para la prevención y la reducción de, y la recuperación de los impactos, y, al hacerlo, aprender y mejorar su enfoque global.

La integración del sistema de gestión de incidentes de seguridad de la información ofrece varias ventajas:
  • Mejorar la seguridad de la información general
  • Reducir los impactos adversos en los negocios
  • Reforzar el enfoque de prevención, establecimiento de prioridades y la evidencia de incidentes de seguridad de la información.
  • Contribuir a las justificaciones presupuestarias y de recursos
  • Mejorar cambios en la evaluación de riesgos de seguridad de información y los resultados de la gestión
  • Proporcionar una mayor conciencia en seguridad de la información y en el material del programa de formación
  • Proporcionar información en su política de seguridad de la información y comentarios relacionados con la documentación.
Edward Humphreys, cuyo equipo desarrolló la versión original de la norma, ISO / IEC TR 18044:2004, comentó: "el manejo eficaz y oportuno de los incidentes importantes puede marcar la diferencia entre la supervivencia o la" muerte "de una organización. La nueva norma ISO / IEC 27035 proporciona consejos de probada eficacia en los procesos y métodos que deben implementarse para garantizar una gestión eficaz de los incidentes de seguridad de la información.

"Los incidentes pueden variar de los menores, que pueden tener un impacto en el negocio de manera aislada, a un incidente grave, que afecta a todos los sistemas empresariales. Algunos de los incidentes tienen el efecto de perturbar a la organización y al uso de los recursos de su negocio de 24 a 72 horas o más, por una gran pérdida y / o destrucción de datos y otros pueden ser delitos graves. ISO / IEC 27035:2011 ofrece una solución. "

ISO / IEC 27035:2011, que sustituye al informe técnico ISO / IEC TR 18044:2004, es compatible con los conceptos generales especificados en la norma ISO / IEC 27001:2005, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad - 

Requisitos.
La nueva norma es aplicable a cualquier organización, independientemente de su tamaño. Cubre una amplia gama de incidentes de seguridad de la información, ya sean deliberados o accidentales, y ya sea causada por medios técnicos o físicos.

ISO / IEC 27035:2011, Tecnología de la información - Técnicas de seguridad – Gestión de Riesgos de Seguridad de la Información, fue desarrollada por el Comité Técnico Conjunto ISO / IEC JTC 1, Tecnología de la Información, subcomité SC 27, Técnicas de seguridad de TI. La norma está disponible en los institutos nacionales miembros de ISO. También se puede obtener a través de la web de ISO.

*Fuente iso.org
Publicadas por a la/s 2:01 PM 0 comentarios
Etiquetas: ,

miércoles, julio 13, 2011

Desafíos En Seguridad De La Información: La amenaza latente de empleados inconformes y/o exempleados

En cualquier organización mantener la información segura es todo un reto, especialmente si el clima laboral es adverso o si se presentó una situación que termino con el despido de uno o varios empleados. Actualmente la situación laboral multiplica dicha dificultad pues muchas empresas han tenido que hacer reducciones de personal para tratar de sobrevivir y mantenerse operativas, generando así exempleados altamente inconformes dispuestos a revelar información sensible a la competencia como “venganza” por haber sido víctimas de dichas restructuraciones. Ante esta situación, ¿Estan sus Empresas protegidas adecuadamente para proteger la información sensible de empleados molestos o exempleados con algún resentimiento?

Si la respuesta es NO, o inclusive un si, aquí algunas consideraciones a tener en cuenta:

El Poder de una política
Hay que contar con una política escrita. Esta política puede incluir leyes y regulaciones aplicables a su incumplimiento, pero también debe incluir medidas de seguridad relacionadas a los diferentes procesos de la Organización.
Incluyan las consecuencias de filtrar información. Enfatice que cualquier fuga de información sensible de la Compañía por un empleado o exempleado no será tolerada.
Defina los permisos de acceso para cada uno de los miembros de su Organización.
Limite la cantidad de información a la que pueda acceder cada uno de los empleados de su Organización, actividad que contribuye a disminuir la cantidad de información que pueda filtrarse fuera de la Organización.
Como ocurre con cualquier política corporativa, entrene a los empleados en su aplicación y cumplimiento.
Actualice las políticas frecuentemente, dependiendo principalmente de los nuevos riesgos que sean detectados.
Rapidez y permisos son claves para proteger sus Organizaciones de fugas de información. Una vez se finalice un contrato de trabajo, haga que recursos humanos informe a sistemas para que elimine todos los permisos que tenia ese empleado y restrinja el acceso de esas personas a la Organización. Muchos empleados copian información en sus teléfonos móviles, equipos portátiles, memorias USB, etc. asi que solicite la inmediata devolución de todas esos archivos. Conozco casos de primera mano en lo que a un empleado que se le finalice el contrato laboral son escoltados fuera de las instalaciones de la Organización y un superior le hace entrega posteriormente de todas las pertenencias que dejo en su puesto de trabajo., una medida sumamente extrema pero altamente efectiva pues minimiza al máximo la posibilidad de fugas de información reciente.

Lista de Chequeo en Seguridad
Es una gran idea tener una lista de chequeo con las actividades a realizar una vez que sale un empleado de la Compañía. Cada vez que esot ocurra, hay que actuar rápidamente bloqueando todos los accesos que tuviera dicho empleado a la información de la Compañía, y puede tener muchos accesos principal razón para tener una lista de chequeo con tal fin. Una vez preparada la lista, asignen responsables diferentes para la realización de las tareas incluidas, lo cual acelerara el bloqueo al acceso de la información. Una lista básica debe incluir las siguientes categorías:

  1. Asegurarse de que el exempleado no pueda reingresar a las instalaciones de la Organizacion.
  2. Eliminación de los permisos de entrada a las instalaciones de la Compañía: tarjetas de acceso, cambiar contraseñas de sistemas, eliminación de permisos de red, desactivar accesos remotos, eliminar su cuenta de email, cancelación de tarjetas de crédito, etc.
  3. Monitorear el equipo del exempleado para detectar posibles intrusiones.
  4. Minimizar cualquier atractivo existente las posibilidades de que el exempleado intente acceder a la información que manejaba en la Organización.

Para mas detalles en la definición de la lista de chequeo los pueden encontrar en este LINK.
Publicadas por a la/s 2:57 PM 0 comentarios
Etiquetas: , ,

lunes, febrero 28, 2011

ISC2 - Estudio sobre Profesionales en Seguridad de la Información (Global Information Security Workforce Study)


Comparto con Ustedes el informe desarrollado por Frost & Sullivan titulado The 2011 (ISC)²® Global Information Security Workforce Study sobre la fuerza de trabajo en seguridad de la información. Algunos de los resultados:
  • Las vulnerabilidades a las aplicaciones son la amenaza numero uno en todas las organizaciones. Mas del 20% de los profesionales en seguridad de la información reportan desarrollos de software para controlar esta amenaza.
  • Los dispositivos moviles son la segunda preocupacion para las Organizaciones, aun cuando se hayan desarrollado politicas y aplicaciones para defenderse de amenazas moviles. 
  • Los profesionales aun no se encuentran listos para amenazas que se originan en las redes sociales. Los participantes en este estudio manifestaron la existencia de políticas inconsistentes y medidas insuficientes de control para el acceso a este tipo de sitios; y un poco menos del 30% reporta que no existe ningún tipo de bloqueo para el acceso a estos sitios.  
  • Debido a la velocidad con la que surgen y se implementan nuevas tecnologías, los profesionales en seguridad de la información requieren continuamente  de nuevas habilidades. Este estudio repetidamente muestra que el desarrollo y aplicación de nuevas tecnologías es compensada con una mayor demanda en capacitación en estas nuevas tecnologías.
  • Los profesionales en seguridad de la información superaron la recesión económica: 3 de 5 encuestados reportaron un incremento salarial en el 2010. En términos generales los salarios  de los profesionales en seguridad de la información se incrementaron, siendo la región asiática la que mostró el incremento mas alto con un18%. ¿Como estará Colombia en este aspecto?
  • El manejo de "la computación en la nube" marca la diferencia mas alta entre implementación y capacidad de defensa real. Mas del 50% de los profesionales en seguridad de la información reportan la creación de nubes privadas, y mas del 40% reportaron el uso de software de seguridad; pero mas del 70% de los profesionales reportaron la necesidad de adquirir nuevos conocimientos para brindar una adecuada seguridad en el uso de esta tecnología.
  • Los países en desarrollo muestran oportunidades de crecimiento con profesionales en seguridad de la información con mas educación y experiencia. En promedio, los profesionales de países en desarrollo tienen poco mas de dos años de experiencia adicional sobre profesionales de países en desarrollo; Adicionalmente invierten mas tiempo en gestión de la seguridad y menos tiempo en asuntos internos que los profesionales de países en desarrollo.
  • La fuerza de trabajo relacionada con seguridad de la información continua mostrando fuertes señales de crecimiento. Para el 2010, se estima que habrán 2,28 millones de profesionales en seguridad de la información a nivel mundial, cifra que se espera crezca hasta los 4,2 millones para el 2015.
El link al informe es el siguiente: Informe (En Ingles)
Publicadas por a la/s 10:31 AM 0 comentarios
Etiquetas: ,

jueves, enero 20, 2011

Roban y luego "aparece" USB con información CONFIDENCIAL de restitución de tierras

No deja aun de impactarme el alcance de una noticia que en otros países no dejaría de ser mas que una anécdota, pero que tristemente en el nuestro se interpreta de inmediato como la condena a muerte de los representantes de las miles de victimas existentes por el tema (y drama?) de la restitución de tierras. ¿Como es posible que esa información se manipule en una USB facilitando así su robo? Quizás no sea mas que un delincuente común que la robo, la formateo y hasta ahí llegue la noticia, pero por otro lado, ¿Que tal no sea así?

Denuncian robo de USB con información confidencial de restitución de tierras

Representantes de víctimas en Apartadó (Antioquia) temen por su seguridad. El Ministerio de Agricultura pidió al director de la Policía, general Óscar Naranjo, que investigue los hechos.
Jueves 20 Enero 2011

El proceso de restitución de tierras tiene muchos enemigos “legales e ilegales” ha dicho el investigador especialista en temas sociales Luis Jorge Garay. Por esta razón es previsible que las iniciativas del Gobierno, no sólo de hacer una ley que garantice la reparación de las víctimas, sino también de restituir por la vía administrativa a los campesinos despojados, se enfrenten a la reacción violenta de los grupos ilegales. Este jueves se conoció una carta dirigida al director de la Policía, el general Óscar Naranjo, en la que el Ministro de Agricultura, Juan Camilo Restrepo, da cuenta de esa preocupación.

En la carta Restrepo advierte que el pasado 17 de enero en Apartadó fue asaltada la sede de la Asociación de Víctimas para la Restitución y el Acceso a Tierras: tierra y vida. “Del lugar fue robada una memoria USB que contenía información confidencial del proceso de restitución de tierras”, informó la cartera de Agricultura a través de un comunicado.

Según la denuncia allegada al Ministerio: “un hombre irrumpió en las instalaciones de la Asociación de Víctimas para la Restitución y el Acceso a Tierra: tierra y vida, con sede en el municipio de Apartadó, y después de preguntar por la abogada de la Asociación, aprovechó que la secretaria se encontraba sola y le arrebató una memoria USB que contenía información confidencial del proceso de restitución de tierras”.

La denuncia fue presentada ante las autoridades. Sin embargo, los representantes de las víctimas temen por su seguridad. Algunos expresan que han sido amenazados. La ONG al servicio de las víctimas teme que la información contenida en la USB, datos personales, entre otros, pueda ser utilizada en contra de las víctimas.

El Ministerio recordó que “durante el 2010 fueron asesinados dos líderes de la Asociación de Víctimas para la Restitución de Tierras del Urabá: Alberto Valdez Martínez en mayo y Hernando Torres en septiembre”.

“Adicionalmente, otro líder, Fernando León Enamorado fue víctima de un serio atentado en la misma región en donde también fue asesinado Óscar Mausa, otro dirigente campesino”, agregó. 

 Por el bien de las victimas y sus representantes, esperemos que este fallo de seguridad de la información no haya sido mas que un robo de una memoria USB y no la condena a muerte de estas personas. 

LINKS A LA NOTICIA:


UPDATE: La memoria USB apareció:
Encuentran USB robada con información sobre víctimas de 'paras'

La memoria fue encontrada en la casa de la secretaría de la ONG de donde fue hurtada.

Según el coronel Jaime Ávila Ramírez, comandante de la policía de Urabá, la memoria USB apareció en la casa de la secretaria de la Asociación de Víctimas para la Restitución y el Acceso a Tierras: Tierra y Vida, Apartadó (Antioquia), Ayineth Pérez Galán.

El oficial relató que Pérez Galán realizó una llamada este sábado a las 11:30 a.m. a funcionarios del CTI de Apartadó para que se dirigieran al barrio Los Fundadores, donde se encuentra la sede de la asociación, de donde robaron la memoria, el pasado 17 de enero.

Ávila dice que cuando comenzaron las pesquisas, la secretaria había mencionado que no podía reconocer, ni hacer un retrato hablado del agresor.

Cuando los funcionarios del CTI llegaron a Los Fundadores se encontraron con Carmen Palencia, directora de la asociación, en compañía de la  secretaria Ayineth. Informaron que el hijo de la secretaria encontró la USB abandonada en las escaleras de la casa.

La Fiscalía evalúa qué información fue sustraída o alterada en la USB, cuyo hallazgo era considerado una prioridad por el Gobierno y la Policía.

El hurto fue denunciado por el ministro de Agricultura, Juan Camilio Restrepo,  a través de una carta enviada al director de la Policía Nacional, general Oscar Naranjo.

Del lugar fue robada una memoria USB que contenía información confidencial del proceso de restitución de tierras y la identidad de todas las víctimas de los paramilitares que aspiran a recuperar sus parcelas.

El general Naranjo respondió que era "una altísima prioridad para las autoridades, capturar a los autores del hurto de la USB" y señaló que no permitiría que el proceso de restitución de tierras fuera obstruido por miembros de mafias y ex paramilitares.
En una sola palabra: patético!!! Igual, solo el tiempo dirá si esa información cayo en manos de quien no debía y empiezan a aparecer las consecuencias de esta perdida: una lista de campesinos sin tierras y sin vida...
Publicadas por a la/s 6:25 PM 0 comentarios
Etiquetas: ,

domingo, enero 02, 2011

ADVERTENCIA: Extra precaución al usar cajeros automaticos

Les comparto una experiencia que tuve hoy en el centro comercial Santafe.

Estaba por sacar dinero de uno de los cajeros, pero había un empleado del aseo sacando la basura del cajero que iba a utilizar (3 piso cerca a la plazoleta de comidas). Hasta  allí nada raro, una persona haciendo aseo por que la caneca efectivamente estaba repleta. La sorpresa fue ver que el tipo sacaba manotadas de recibos, los revisaba y separaba un grupo de pocos recibos, y hacia esto una y otra vez hasta que desocupo la canequita del cajero. Una vez la termino, la cerro y se sentó al lado a seguir revisando los recibos del cajero.

¿Para que hace una persona eso? Sinceramente no se me ocurre ninguna idea aparte de planear algún robo, guardar los recibos con mayores saldos e intentar averiguar los números de la cuenta de esas personas. ¿O ustedes tienen alguna otra idea de por que una persona va a revisar los recibos de cajero que encuentra en la basura?

Intente grabar un vídeo pero mi celular resulto ser un desastre para ello, pero quedo grabado claramente el nombre de la empresa al a que supuestamente pertenece este sujeto: PROGRAMA DE SERVICIOS 333 8890



Esta foto es de uno de los momentos en los que el sujeto esta revisando y separando recibos, y lo mas curioso del asunto es que la gente desaprobaba la acción pero nadie decía nada. Una vez el sujeto se alejo del cajero, yo le comente el hecho a uno de los vigilantes quien me comento que ese personaje estaba autorizado por el centro comercial para entrar, a lo que le dije que si la autorización también le permitía escoger los recibos de cajero que mas le gustaran, por que eso solo lo hace un ladrón. Ahí llamo por radio a alguien mas, y realmente hasta ahí llegue yo, ¿Que mas podía hacer?

Por si les interesa el vídeo: http://www.youtube.com/watch?v=bgJh7Pejx6Y con mala calidad pero aun así se puede apreciar que el sujeto revisa y separa algunos de los recibos que saca de la basura.

Ahora, para salir completamente de dudas llame a la Compañía PROGRAMA DE SERVICIOS y pregunte por esa situación y esta fue la respuesta que me dieron:  Es normal que los empleados revisen UNO de los recibos ya que en estos sale impreso el código del cajero donde hicieron la limpieza, pero revisarlo en mas de uno ya no es normal. Gracias por su informe. Una respuesta razonable pero que igual deja abierta la duda de por que revisar y separar un buen numero de recibos de los demás,estaré siendo ya demasiado prevenido?

Paranoia o no, de todo esto solo sale una recomendación para quien no lo haga: JAMAS boten los recibos de sus retiros en las mismas canecas de los cajeros, quien sabe que nueva modalidad de robo se están inventando los delincuentes. 
Publicadas por a la/s 9:12 PM 2 comentarios
Etiquetas:

lunes, octubre 11, 2010

Porque son necesarias las políticas de seguridad?


La planeación y administración de sistemas de seguridad son el lado humano de la seguridad electrónica. Inclusive en el más confiable sistema, la seguridad no es automática. Los administradores necesitan una guía escrita que especifique que pasos seguir y que procedimientos ejecutar para cumplir con los requerimientos planeados de seguridad. Los ataques con éxito a sistemas confiables son recurrentes, vulnerabilidades son descubiertas en todos los sistemas operativos, y los atacantes se encuentran dentro o fuera de las organizaciones. Si existe algo seguro en el cambiante mundo de la seguridad, no lo encontraremos en lo que el software o hardware puedan hacer por nosotros, sino en lo que hacemos por nosotros mismos. El primer paso en mantener los niveles de seguridad es desarrollar políticas de seguridad para nuestras organizaciones, y después promulgarlas y velar por su cumplimiento, lo cual tiene que realizarse de manera transversal a toda la Organización.

Asumiendo que estamos en una Organización que tiene una estructura de seguridad en la que se cuenta jerárquicamente con un Gerente y un Administrador de Seguridad (Donde no haya estos cargos se deben aclarar roles y responsabilidades entre las opciones disponibles), los administradores de seguridad cumplen con las políticas en términos de detección y protección, la Gerencia debe suscribir la política, y los usuarios cumplirla, siendo supervisados por el Líder de Seguridad quien detectara y sancionara a los infractores por su incumplimiento.

Por ejemplo, la política de seguridad de una Organización estipula que se requiere la realización periódica de backups, pero finalmente es el Administrador quien ejecuta esos backups. Una vez que los Administradores entrenan a los usuarios para copiar sus archivos a servidores o discos duros protegidos, el Gerente de Seguridad lidiara con los incumplimientos. De manera similar, los Administradores deben entrenar a los usuarios para que eviten escribir sus contraseñas y pegadas quizás debajo de su teclado, pero el Gerente de Seguridad tiene que sancionar a los infractores de dicha política.

El área mas critica de todas las capas de seguridad es unificar la respuesta a incidentes una vez que ocurre una violación de seguridad. Decisiones sobre la conservación de evidencias, notificación a las autoridades (cuales de ellas?), y que acción tomar tuvieron que ser analizadas antes de que se presentara cualquier falla. Todas estas acciones tuvieron que ser escritas y distribuidas a todo el personal que pueda afectar la ocurrencia de ese incidente.

La política de seguridad es un documento viviente que debe ser revisado y actualizado periódicamente. El entrenamiento de usuarios, contraseñas de administrador, sistema de backups para información crítica, programación de firewalls y sistemas de detección de intrusos, evaluación de logs, etc se encuentran dentro de las múltiples formas de traducir el contenido de una política en hechos reales y palpables por el Administrador de Seguridad.

La seguridad en una organización disminuye cuando se incumplen las políticas de seguridad. Administrativamente esto significa que la Gerencia debe crear y mantener la demanda de acciones que deben ser realizadas de acuerdo a ciertas normas y niveles. Esto requiere de la categorización y priorización de riesgos, así como una evaluación del costo de la infraestructura a proteger con respecto al costo de su protección.

Las políticas de seguridad requieren de procedimientos. Estos procedimientos deben incluir la realización de auditorias periódicas, así como la implementación de reglas de separación de funciones. Para asegurarse de que las personas conozcan claramente como ejecutar procedimientos de seguridad, debe realizarse un muy buen entrenamiento. Para asegurarse de que los empleados realmente cumplen con las políticas, se requiere de supervisión y llamados de atención por parte del Gerente de Seguridad, quien es el que inicialmente estableció las políticas de seguridad.
Publicadas por a la/s 7:18 AM 4 comentarios
Etiquetas:

viernes, septiembre 24, 2010

Top 10 de Sugerencias para seguridad al usar un Computador


Siendo tan frecuentes las noticias del incremento de fraudes online, saben Uds la principal razón de ese crecimiento? Aunque parezca mentira, es por que la gran mayoría de usuarios de PC no se protege adecuadamente.
  1. Es un hecho que el 75% de los usuarios no tienen su antivirus actualizado a la fecha, software que revisa el PC buscando software malicioso, y cuando encuentra alguno, decide si tenerlo en cuarentena o eliminarlo. Hay inclusive antivirus que escanean las páginas que Uds visitan y detectan ataques de phishing. La oferta en el mercado de antivirus es tan amplia, que inclusive existe un gran catalogo de aplicaciones gratuitas.
  2. Todos los usuarios de Internet necesitan un firewall para protegerse. Este es un software que previene ataques externos a su computador, ya sea en casa o en su puesto de trabajo, y que funciona en su PC en segundo plano. Básicamente su función es bloquear los puertos de nuestros computadores que son las puertas que usan los hackers para acceder a los computadores de sus victimas. Al igual que con los antivirus, existen muchos firewalls disponibles en el mercado.
  3. Tiene el Sistema Operativo de su PC (Ej: Windows, Linux, Leopard) todas las actualizaciones disponibles hasta la fecha? Cuando realizo la ultima actualización? la respuesta de la gran mayoría de personas es “Nunca”. La principal razón por la que las empresas desarrolladoras de software como Microsoft o Mac realizan estas actualizaciones es para mejorar la seguridad de sus Sistemas Operativos, por este motivo es necesario aplicar las actualizaciones cuando estén disponibles. La mejor recomendación en este caso es activar la actualización automática de actualizaciones, así el PC descargara e instalara por si solo todas las actualizaciones que se vayan liberando para su Sistema Operativo. Aquí es importantísimo aclarar que estas actualizaciones están solamente disponibles para equipos cuyo software haya sido adquirido legalmente.
  4. Las páginas de ataques de Phishing son páginas creadas para verse idénticas a las de un banco, o sitios de transacciones en línea como por ejemplo, PAYPAL. Lo mas probable es que todos nosotros alguna vez hayamos recibido un email de nuestro banco informándonos que hubo un riesgo de seguridad y que es necesario loguearnos para cambiar la clave o cualquier otra situación similar. El email viene de una vez con un link supuestamente al banco, pero conduce a una página falsa en la que ingenuamente podremos dar nuestro usuario y contraseña, completándose así el ataque por parte de estos delincuentes quienes harán uso de estos datos en la pagina real del banco y desocuparan la cuenta bancaria de la victima de turno. Como verificar la autenticidad de una pagina de un banco? Todas las paginas legales tienen un logo en forma de candado que se puede ver en la barra de navegación de cualquier navegador (Internet Explorer, Firefox, Safari, etc), el cual indica que la pagina es una pagina autentica y que no representa ningún riesgo para las personas que la utilicen. En cualquier caso de duda, contactar con el banco es quizás la solución mas acertada.
  5. Si se ve en la obligación de utilizar un PC de un sitio publico, revíselo detalladamente con el fin de detectar posibles keyloggers que estén instalados en dicho aparato. Un Keylogger puede ser un software o un aparato diminuto que graba todas y cada una de las teclas que Ud utilice cuando usa ese computador, por lo que si ud accede a su banco, este Keylogger grabara su usuario y contraseña para la persona que lo haya instalado, quien solo tendrá que descargar la información grabada y podrá desocupar su cuenta bancaria con un par de clicks. Como ya mencione, pueden existir keyloggers en forma de aparatos diminutos, por lo que si el teclado del PC antes de estar conectado al PC como tal esta conectado a un aparato extraño, puede ser uno de estos indeseables aparatos. Adicionalmente, cuando utilice un equipo publico, siempre salga de las paginas con los links que allí se encuentren pues cerrar la ventana en algunos casos es insuficiente, y nunca guarde passwords en un equipo publico, Nunca!!!
  6. Asegúrese de que las conexiones WiFi publicas son en verdad publicas!!! Verifique siempre que no es otro PC actuando como puerta de acceso a la red, pues de ser asi U destara entregando toda la información que utilice a ese PC, por lo que mientras Ud puede estar enviando emails, la persona dueña de ese PC puede estar haciendo compras online o transferencias desde su cuenta.
  7. Evite compartir juegos, pues este es el medio favorito de transmisión de muchísimos virus de computador a computador. Siempre revise con un antivirus todos los CDs y Vds. Que introduzca en su PC.
  8. No deje que cualquier desconocido introduzca una USB en su PC, pues tan pronto lo haga un virus puede contagiar su PC (aun sin la intención de infectarlo), pudiendo extraer información de su PC, o inclusive enviarla por email posteriormente.
  9. La seguridad física en casa y en el trabajo es esencial para prevenir que su PC y la información allí almacenada caiga en manos equivocadas. Los PCs de escritorio tienen una estructura metálica cuyo diseño evita el recalentamiento, y además contribuye a su seguridad permitiendo que sean atornillados a los puestos de trabajo o paredes para evitar que sean extraídos de las instalaciones.
  10. Para los equipos portátiles, siempre procure utilizar una guaya de seguridad asegurando el equipo a un mueble más grande con lo cual evitara también que su equipo e información caigan en manos equivocadas.
Siguiendo una a una estas recomendaciones, lo más probable es que Ud descubra cuales son sus riesgos y pueda minimizar el riesgo de que estos se materialicen.
Publicadas por a la/s 7:09 AM 1 comentarios
Etiquetas: ,
Suscribirse a: Entradas (Atom)