viernes, febrero 26, 2010

Experiencia personal: dificultades en la implementación de un SGSI

Voy a comentar con Ustedes cuales fueron las dificultades que encontré en una de las implementaciones de un SGSI en las cuales participe, las cuales probablemente podrían Ustedes tener igualmente que enfrentar.
  1. Desconocimiento total sobre seguridad de información como tal: Siendo totalmente honestos, el tema de seguridad de la información es manejado solamente por las personas que estan íntimamente relacionadas con el tema, y en Colombia hay pocos segmentos que lo hacen: las empresas consultoras en SGSI, los consultores propiamente dichos, y algunas personas del sector financiero debido a la circular 052 que obliga a toda entidad financiera a implementar un SGSI. Aquí podríamos agregar unas pocas personas que trabajen en ICONTEC y a aquellas que conocen el tema de manera superficial por algún conocido, referencias, etc. Este es sin duda la dificultad mas grande e inclemente de todas: se firman contratos con fechas limite de implementación incoherentes (2 meses para que haya un plan de implementación) y de ahí en adelante todo se convierte en una carrera contra el tiempo y obvio, las malas decisiones.
  2. Al ser una Norma ISO, erróneamente se asocia de inmediato con calidad. Si ya existe un Coordinador de Calidad, que el asuma la responsabilidad de implementar el SGSI. Esto es valido siempre y cuando el Coordinador de Calidad domine temas como políticas de seguridad, análisis de riesgos, seguridad física, planes de continuidad, gestión de incidentes, y un larguísimo etcetera de actividades ligadas ala seguridad de la información. Si hablamos de un equipo ideal de SGSI, seria un Ingeniero de sistemas que maneja la parte netamente técnica y soporte la parte documental, y un Ingeniero Industrial que tenga experiencia en gestión de calidad. Si ya existe un SGC al que se pueda ir añadiendo la documentación del SGSI, perfecto, así con el tiempo se tendra un Sistema de Gestión Integrado que agrupe calidad y seguridad de la información en un solo ente.
  3. Al implementar un SGSI, se deben definir "Áreas Seguras", que son en síntesis zonas en las que se conserva la información confidencial de la Organización y a las que solo pueden acceder aquellas personas que esten autorizadas para ello. Esta "zonas seguras" son quizás la parte mas difícil de controlar por que los empleados quieren acceso a todos los lugares, algunos Jefes se sienten maltratados por que ya no pueden entrar a todas las oficinas, se genera un mal ambiente, etc. y es en esta parte donde empezamos a hablar del cambio cultural en la Organización.
  4. Gestión del Cambio: En toda organización, la resistencia mas grande que pueden presentar todos los empleados es al cambio, y al implementar un SGSI hay muchisimos cambios!!! Por ejemplo, de manera ideal todo empleado debe registrar SIEMPRE sus entradas o salidas de las instalaciones, solo puede ingresar a su puesto de trabajo en horarios permitidos, debe firmar una clausula de confidencialidad que lo responsabiliza por la información a la que tenga acceso, y todo esto solo se logra con una campaña de sensibilización muy fuerte y que se transversal a toda la empresa: desde el cargo mas alto hasta las personas que hacen el aseo, quienes también pueden tener contacto con información confidencial. Hay que involucrar a todo el personal en el SGSI, informarles que cualquier riesgo que involucre la confidencialidad, la integridad y la disponibilidad de la información en su poder no solo los puede afectar a ellos sino a toda la organización y dejar mucha gente sin empleo.
  5. Backups del Personal: En Proyectos críticos que conozco, inclusive hasta el gerente adolece de un adecuado backup que pueda tomar rápidamente su lugar en caso de una enfermedad, o mas drástico aun, una renuncia. Todo cargo que maneje o posea información relevante para la Organización debe primero que nada tener todas sus funciones y responsabilidades documentadas, y segundo pero no menos importante, contar con un backup para que la Organización siga prestando sus servicios de manera ininterrumpida. Por favor asegúrense a la hora de implementar un SGSI de que en su Empresa los cargos críticos tengan un adecuado backup, o como mínimo que haya una muy buena segregación de responsabilidades.
  6. Entregas de cargo: ya que estamos hablando de Gestión de Personal, este tema también es muy delicado: cuando hay rotaciones, renuncias o despidos, las entregas de cargo son muy deficientes, o inexistentes. Debe contarse con un formato que incluya cuales son las responsabilidades a cargo; que archivos, folders, y carpetas se reciben; usuarios y contraseñas (que deben ser cambiados tan pronto se reciba el cargo); que informes se entregan y en que fechas, que tareas hay pendientes, etc. logrando asi que el cambio de una persona sea lo menos traumatica para una Organización.
  7. Seguridad del personal: Un tema que causa escozor en la Alta Dirección, pues de inmediato se habla de costos, el Estudio de Seguridad para cada uno de los empleados que laboren en la organización. Este estudio es realizado por empresas dedicadas a este servicio, quienes hacen una visita domiciliaria, una entrevista al futuro empleado, contactan a los vecinos, a los Jefes anteriores y brinda un panorama completo del ambiente en el que se desenvuelve una persona, dando asi (en teoría) una base solida para que una empresa contrate sin preocupaciones (de nuevo, en teoría) al o los empleados que necesite para su correcto funcionamiento. Aquí vale la pena mencionar que en algunos casos, hay empresas que exigen además del estudio de seguridad, pruebas de polígrafo para ingresar, o en cualquier momento durante el tiempo de duración del contrato, cuya realización es completamente a discreción de la empresa, y obvio, la asistencia esta a discreción del trabajador
  8. Responsabilidad por un SGSI: Como mencione previamente en el Numeral 4), el SGSI no puede ser responsabilidad de una sola persona, pues si asi lo fuera ey exagerando un poco, estaríamos hablando prácticamente de una empresa unipersonal. Todos y cada uno de los empleados en una Organización deben ser informados por medio de una clausula de confidencialidad que deben firmar (puede ser parte del contrato de trabajo o un documento independiente) de cuales son sus responsabilidades con la información que manejen y cuales serian las consecuencias en caso de incumplirlas, debe haber una permanente campaña de sensibilización, los empleados deben reportar todos los incidentes de seguridad, la alta dirección debe estar enterada de los resultados de tales reportes, en fin, el tema es de todo el personal de la Organización, la seguridad de la información es responsabilidad de todos!!
  9. Documentación: todos los documentos que hagan parte del SGSI deben ser administrados por una sola persona, asi esta no los llegue a utilizar en sus labores diarias. He visto casos en los que por ejemplo el Grupo de Sistemas de una Organización tiene su "propia" versión de un documento que el administrador del SGSI desconoce por completo, lo cual se constituye en un riesgo de seguridad de la información y si llegase a ser detectado por una auditoría las consecuencias van a ser funestas. hay que asegurarse de que todo el personal participe en la documentación, pero también de que esten enterados de que todo documento oficial del SGSI debe salir de las manos del administrador del SGSI.
  10. Para terminar hablemos de dinero. No se puede hablar de dinero sin haber hecho previamente una adecuada evaluación de riesgos la cual nos indique a que amenazas esta expuesta la Organización, y allí si determinar cuales serian los controles a implementar sabiendo obviamente cuales costos van a representar. Este tema si va en un solo sentido: no se puede hablar primero de dinero y luego de controles.
Espero que les haya gustado esta entrada, y ojala en el futuro pueda compartir con Uds. mas experiencias semejantes y mejor aun, como solucionarlas.

miércoles, febrero 24, 2010

Publicada la ISO 27003: 2010 "Guia para la implementación de un Sistema de Gestion de Seguridad de la Informacion"

Acaba de ser publicada una de las normas mas importantes dentro de la familia 27000, y es la 27003, la cual se constituye en la "Guia oficial de implementación de un SGSI" en cualquier Organización.

La norma ISO 27003:2010 se centra en los aspectos críticos necesarios para el exitoso diseño e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO / IEC 27001:2005. Describe el proceso de delimitación de un SGSI, y el diseño y puesta en marcha de diferentes planes de implementación. Igualmente incluye el proceso para obtener la aprobación de la Gerencia para implementar un SGSI, define un alcance inicial del SGSI, y proporciona una guia de como hacer desde la planeación inicial hasta la implementación final de un proyecto de SGSI.

El siguiente es el contenido de esta nueva norma:

  1. Alcance
  2. Referencias Normativas
  3. Terminos y Definiciones
  4. Estructura de esta Norma Internacional
  5. Obteniendo la aprobación de la alta dirección para iniciar un SGSI
  6. Definir el alcance del SGSI, limites y políticas
  7. Evaluación de los requerimientos de seguridad de la información
  8. Evaluación de Riesgos y Plan de tratamiento de riesgos
  9. Diseño del SGSI
  10. Anexo A: lista de chequeo para la implementación de un SGSI.
  11. Anexo B: Roles y responsabilidades en seguridad de la información
  12. Anexo C: Información sobre auditorías internas.
  13. Anexo D: Estructura de las políticas de seguridad.
  14. Anexo E: Monitoreo y seguimiento del SGSI.
(Los anexos son informativos)

Sin duda esta nueva norma se convierte en una compra obligatoria para neofitos o expertos en el tema, pues la implementación de un SGSI hasta ahora adolecia de una guia estandarizada para su correcta ejecución.

martes, febrero 23, 2010

Marco legal de Seguridad de la Información en Colombia


Siempre que se desea implementar un Sistema de Gestión, toda organización debe obligatoriamente cumplir con todas las leyes, normas, decretos, etc que sean aplicables en el desarrollo de sus actividades. De manera general puedo mencionar el tema de seguridad social, cumplir con la Cámara de Comercio, permisos, licencias de construcción, etc, etc; pero en lo que se refiere específicamente a Seguridad de la Información, estas son las Leyes vigentes al día de hoy:

Derechos de Autor

Propiedad Industrial

Propiedad Intelectual

Comercio Electrónico y Firmas Digitales


Para finalizar, el 5 de Enero de 2009 se decreto la Ley 1273 de 2009, la cual añade dos nuevos capítulos al Código Penal Colombiano:
  1. Capitulo Primero: De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos;
  2. Capitulo Segundo: De los atentados informáticos y otras infracciones.
Como se puede ver en el primer capitulo, esta Ley esta muy ligada a la ISO27000, lo cual coloca al País a la vanguardia en legislación de seguridad de la información, abriendo así la posibilidad de nuevas entradas con este tema.




ACTUALIZACIÓN AGOSTO 2013

LEY 603 DE 2000

Esta ley se refiere a la protección de los derechos de autor en Colombia. Recuerde: el software es un activo, además está protegido por el Derecho de Autor y la Ley 603 de 2000 obliga a las empresas a declarar si los problemas de software son o no legales. Ver esta ley.



LEY ESTATUTARIA 1266 DEL 31 DE DICIEMBRE DE 2008

Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Ver esta ley.

LEY 1273 DEL 5 DE ENERO DE 2009

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Ver esta ley .

LEY 1341 DEL 30 DE JULIO DE 2009

Por la cual se definen los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones.


 LEY ESTATUTARIA 1581 DE 2012

Entró en vigencia la Ley 1581 del 17 de octubre 2012 de PROTECCIÓN DE DATOS PERSONALES, sancionada siguiendo los lineamientos establecidos por el Congreso de la República y la Sentencia C-748 de 2011 de la Corte Constitucional.

Como resultado de la sanción de la anunciada ley toda entidad pública o privada, cuenta con un plazo de seis meses para crear sus propias políticas internas de manejo de datos personales, establecer procedimientos adecuados para la atención de peticiones, quejas y reclamos, así como ajustar todos los procesos, contratos y autorizaciones a las disposiciones de la nueva norma.

Aspectos claves de la normatividad:

  1. Cualquier ciudadano tendrá la posibilidad de acceder a su información personal y solicitar la supresión o corrección de la misma frente a toda base de datos en que se encuentre registrado.
  2. Establece los principios que deben ser obligatoriamente observados por quienes hagan uso, de alguna manera realicen el tratamiento o mantengan una base de datos con información personal, cualquiera que sea su finalidad.
  3. Aclara la diferencia entre clases de datos personales construyendo las bases para la instauración de los diversos grados de protección que deben presentar si son públicos o privados, así como las finalidades permitidas para su utilización.
  4. Crea una especial protección a los datos de menores de edad.
  5. Establece los lineamientos para la cesión de datos entre entidades y los procesos de importación y exportación de información personal que se realicen en adelante.
  6. Define las obligaciones y responsabilidades que empresas de servicios tercerizados tales como Call y Contact Center, entidades de cobranza y, en general, todos aquellos que manejen datos personales por cuenta de un tercero, deben cumplir en adelante.
  7. Asigna la vigilancia y control de las bases de datos personales a la ya creada Superintendencia Delegada para la Protección de Datos Personales, de la Superintendencia de Industria y Comercio.
  8. Crea el Registro Nacional de Bases de Datos.
  9. Establece una serie de sanciones de carácter personal e institucional dirigidas a entidades y funcionarios responsables del cumplimiento de sus lineamientos.
DECRETO 1377 DE 2013


Protección de Datos, decreto por el cual se reglamenta parcialmente la Ley 1581 de 2012.

sábado, febrero 20, 2010

Certificaciones en Seguridad: CISSP, CISA, ABCP, GSEC, CISM, Auditor Lider, BCLS 2000 y PMI-RMP

El tema es sencillo: hablar de estas certificaciones, que significan sus siglas y donde podríamos inscribirnos para certificarnos como tal.

CISSP (Certified Information Systems Security Professional)
La certificación CISSP es la primera credencial acreditada ANSI ISO en el campo de la seguridad de la información, es objetiva e independiente, otorgada por (ISC)2 (www.isc2.org) y acredita el conocimiento, la especialización y la experiencia de los profesionales del sector tecnológico en Seguridad Informática, de la cual forman parte los más reconocidos expertos en seguridad de todo el mundo.

Estos son los campos de conocimiento certificados para un profesional CISSP, Common Body of Knowledge (CBK):
  • Sistema de Control de Acceso & Metodología
  • Seguridad en el Desarrollo de Sistemas y Aplicaciones
  • Plan de Continuidad del Negocio (BCP) & Plan de Recuperación Ante Desastres (DRP).
  • Criptografía
  • Leyes
  • Investigaciones y Ética
  • Seguridad de Operaciones
  • Seguridad Física
  • Arquitectura de Seguridad
  • Seguridad de Redes y Telecomunicaciones
Para obtener una certificación CISSP, se debe aprobar el examen administrado por (ISC)2 y tener mínimo cinco años de experiencia laboral en uno o más dominios del CBK. Como se puede apreciar de acuerdo al CBK esta certificación es un híbrido entre la parte técnica y la parte estratégica (Gestión de la Seguridad de la Información).

Actualmente en Colombia existen cerca de 30 profesionales certificados CISSP, los cuales laboran en empresas del estado, en bancos, Telcos y otros en empresas de consultoría.

Para mantener la certificación hay que demostrar entrenamiento continuo anualmente.


ISACA CISM (Certified Information Security Manager®)
Esta es una certificación expedida por ISACA (www.isaca.org) y es un programa de certificación desarrollado para gerentes de la seguridad de la información o personas que tengan responsabilidades asociadas con la administración de la seguridad de la
información en una organización.

Es una certificación orientada a los profesionales que realicen tareas de Administración, diseño, revisión y/o evaluación de un sistema de seguridad empresarial.

Esta certificación pretende demostrar que el profesional posee los conocimientos y experiencia necesaria en la administración de sistemas de seguridad de la información y consultoría, por lo cual exige que se tenga como mínimo 3 años de experiencia en administración de seguridad de la información y 2 años en otras actividades de seguridad. El examen se basa en las mejores prácticas desarrolladas por y para administradores de la seguridad de la información.

El examen mide y evalúa las siguientes áreas de conocimiento:
  • Information Security Governance (21%)
  • Risk Management (21%)
  • Information Security Program(me) Management (21%)
  • Information Security Management (24%)
  • Response Management (13%)
Para mantener la certificación hay que demostrar entrenamiento continuo anualmente.


CISA (Certified Information Systems Auditor)
Es uno de los programa de certificación de más trayectoria y reconocimiento a nivel mundial, desde 1978 el programa representado por ISACA® (Information Systems Audit and Control Association® - www.isaca.org), ha sido mundialmente aceptado como
un estándar de reconocimiento para los profesionales en auditoría de sistemas, control y seguridad.

Las áreas de conocimiento que se certifican mediante CISA son:
  • Management, Planning, and Organization of IS (11%)
  • Technical Infrastructure and Operational Practices (13%)
  • Protection of Information Assets (25%)
  • Disaster Recovery and Business Continuity (10%)
  • Business Application System Development, Acquisition, Implementation, and maintenance (16%)
  • Business Process Evaluation and Risk Management (15%)
  • The IS Audit Process (10%)
Para obtener la certificación el profesional debe aprobar un riguroso examen que evalúa las áreas de conocimiento anteriormente expuestas, además se debe demostrar un mínimo de 5 años de experiencia profesional en auditoría de sistemas de información, control o experiencia en seguridad de la información.

Poseer la designación CISA demuestra el nivel de competencia y constituye la pauta para medir la preparación, los conocimientos y experiencia en auditoría, control, aseguramiento y seguridad de SI.


ABCP (Associate Business Continuity Professional)
ABCP es una certificación que reconoce el conocimiento que posee el profesional en planeación de continuidad del negocio y en desarrollo de estrategias de recuperación ante desastres y creación de un completo programa de continuidad para una compañía. Esta certificación hace parte de un grupo de certificaciones en la cual ABCP es la certificación de entrada que exige unos niveles mínimos de experiencia en este campo.

Sin embargo a nivel de Colombia son aun pocos los profesionales los que tienen esta certificación.


Lead Auditor BS7799-2 ó ISO 27001
Esta es una certificación ofrecida por el Instituto Británico de Estándares BSI quien es el ente que a nivel internacional a publicado normas tan importantes como BS 17799 y BS 7799-2.

El profesional acreditado con esta certificación se somete a un curso y a un examen riguroso en donde se mide el nivel de competencia en cuanto al conocimiento de cómo se verifica el nivel de cumplimiento de una organización con respecto a la implementación de su SGSI (Sistema de Gestión de la Seguridad de la Información)
y como auditarlo.

Este tipo de acreditación es la que poseen los profesionales que lideran un grupo de auditoría de una entidad certificadora nacional o internacional (Por ejemplo ICONTEC, BSI), este profesional también puede laborar como consultor o auditor interno en una organización.


BCLS 2000

Este curso esta diseñado para profesionales responsables de las funciones de administración de planes de recuperación de desastres o planes de continuidad del negocio. Beneficia a los planificadores y coordinadores de recuperación de desastres, gerentes de operaciones, gerentes de comunicaciones, gerentes de informática, administradores de riesgo y miembros de equipos de recuperación de desastres y planes de Contingencias.

“El DRII es una organización líder en el establecimiento de estándares internacionales para la “Administración de continuidad de negocios”. Fue fundada en 1988 y ha contribuido decisivamente en el desarrollo de una base de conocimientos y estándares profesionales para el desarrollo de planes estructurados de recuperación de desastres y continuidad de los negocios. Los cursos y certificaciones del DRII son reconocidos internacionalmente como el estándar mundial”


PMI - RMP

La presión para completar un proyecto con cronogramas muy apretados en tiempo y la necesidad de constante innovación para mantenerse al frente de la competencia son algunas de las razones por las que se hacen necesarios dentro de los equipos de los proyectos los profesionales en la administración de riesgos. El PMI reconoce la importancia y capacidades especiales que se requieren para ser un profesional en administración del riesgo. La certificación PMI-RMP reconocerá el conocimiento, habilidades y experiencia en esta área.

Los Directores de proyecto interesados en obtener esta certificación deben visitar PMI.org para obtener más información y descargar la solicitud de aplicación.

Para ser candidato a presentar el examen de PMI-RMP, deben de contar con carrera profesional o un equivalente global, 3 a 5 años de experiencia laboral profesional, con 3,000 horas de experiencia en administración de riesgos, junto con 30 horas de educación formal en administración de riesgos.


Importancia de una Certificación
  • “La marca de la excelencia de un programa de certificación profesional está en el valor y reconocimiento que se concede al individuo que la obtiene.” “ISACA –CISA”
  • “Demostrar el conocimiento para trabajar en seguridad de la información,confirmando el cumplimiento de lo desarrollado en su profesión” ISC2 – CISSP.
  • “Es la forma en la cual un profesional se diagnostica y se evalúa a sí mismo para determinar su grado actual de competencia y experiencia en una o más áreas de conocimiento” Fabián Cárdenas – NewNet S.A”

viernes, febrero 19, 2010

ESET presenta su informe sobre seguridad informática en Latinoamérica



La empresa desarrolladora de ESET NOD32 Antivirus y ESET Smart Security publica su informe ESET Security Report, con el objetivo de ofrecer información de análisis y estadística sobre el panorama de seguridad en las empresas de América Latina.
ESET, proveedor global de soluciones antimalware de última generación, anuncia el lanzamiento de la tercera edición de ESET Security Report , un informe regional y periódico que informa sobre cuáles son las principales preocupaciones en materia de seguridad informática para los diferentes integrantes de las empresas del mercado latino.

Los resultados del ESET Security Report están basados en las encuestas realizadas en diferentes países de Latinoamérica a lo largo del 2009. En esta oportunidad fueron realizadas más de 947 encuestas a gerentes de empresas y profesionales del área TI y de la seguridad de la información, durante los eventos en los que participó ESET: Segurinfo en Argentina y Chile, Technology Day en Costa Rica, Honduras, Guatemala, República Dominicana, El Salvador y Nicaragua e Infosecurity Perú. El ESET Security Report constituye una herramienta de análisis que nos permite disponer de un mayor conocimiento sobre el estado de la seguridad informática en las distintas empresas de la región. De esta manera, contamos con datos actualizados que reflejan cuál es la situación real para poder brindar el apoyo necesario y adecuado con el fin de solucionar las problemáticas actuales de las empresas y de sus ejecutivos”, comenta Ignacio Sbampato, Vicepresidente de ESET Latinoamérica. (Tristemente, pareciera que en el 2009 no hubo ni un solo evento de seguridad en Colombia, o peor aun en Brasil)

Con el principal objetivo de dar a conocer cuáles son los problemas y desafíos así como también el alcance de las soluciones y la inversión y costos involucrados en su implementación, ESET Latinoamérica advierte una serie de preocupaciones que abarca al conjunto de los entrevistados.

Entre las temáticas analizadas y reflejadas en ESET Security Report, se destacan las siguientes:


Los niveles de preocupación según la amenaza a la seguridad de la empresa


Identificada por el 58,08 % de los entrevistados, la amenaza más relevante es la pérdida de datos. Este resultado es un claro indicador del grado de madurez alcanzado por parte de las empresas que comprendieron que los datos e información que poseen constituyen un valor de suma importancia para la organización.


En línea directa con esta preocupación, los ataques de malware y las vulnerabilidades del software ocupan el segundo y tercer lugar respectivamente, con el 57,13% y el 51,32%.
Estas tres amenazas también se han ubicado como las más relevantes en los informes presentados anteriormente por ESET para Argentina y para Centroamérica.

Asignación del presupuesto a seguridad informática


En cuanto al presupuesto, los resultados totales indican que más de la mitad de los encuestados - 57,86 % - afirmaron que menos del 5% del presupuesto para IT es utilizado para seguridad, siendo tan sólo un 15,95% de las personas las que manifestaron que en sus empresas asignan más del 10% del presupuesto a la seguridad de la información.


Entre los países que más invierten su presupuesto a seguridad informática se encuentra Argentina con un 35 % mientras que Perú y Nicaragua, son los países que arrojaron el porcentaje más bajo de inversión en materia de seguridad, el 7,5%.


La importancia en la concientización del personal


Se nota una clara discrepancia en las respuestas respecto a la educación en seguridad que los usuarios reciben en la empresa. A pesar de que la mayoría de los encuestados – 53,55% - manifestó que la concientización del personal es fundamental, sólo el 37,94% de los encuestados realiza periódicamente actividades con el objetivo de capacitar al personal en materia de seguridad de la información y protección contra amenazas.


Entre los países que más realizan capacitaciones periódicas se encuentran Chile con el 50% y El Salvador con el 51,06 %.
El análisis de los resultados de la opinión de los distintos profesionales demuestra que en materia de seguridad aún resta mucho trabajo por hacer. Sin embargo, a medida que se consiga madurez en el campo, será posible mejorar la gestión de la seguridad en las compañías. En ESET creemos que la concientización de toda la organización es fundamental para avanzar en ese camino. Esta tarea es la que, desde hace años, ESET viene realizando en países latinoamericanos a través de sus recursos de capacitación y educación”, concluye Cristian Borghello, Director de Educación de ESET Latinoamérica.

Descarga del Informe (Hay que diligenciar un formulario, y luego abrir un email con el link para descargarlo)

jueves, febrero 18, 2010

Estudio: Colombia lider de Gobierno Electronico en America latina y el Caribe ( ONU )


Ocupa el primer lugar entre 33 países de la región, según el ranking de las Naciones Unidas. La Organización de las Naciones Unidas le ha dado una excelente noticia a Colombia, al revelar esta semana un nuevo reporte mundial de Gobierno Electrónico. Colombia se ubicó como el país más avanzado en América Latina y el Caribe. Pasó del puesto 7 al 1 en la región y del 52 al 31 en el mundo, mejorando en 21 posiciones frente a la medición anterior.

La Ministra de Tecnologías de la Información y las Comunicaciones, María del Rosario Guerra, destacó la importancia de este resultado. “Es el mejor lugar que hemos ocupado desde que la ONU creó el reporte hace siete años y la primera vez en que somos el líder de la región. Nos habíamos propuesto ser los primeros, para lo cual debíamos superar a países como México, Brasil y Chile”, afirmó: “Este es un gran logro para el país y, en especial, para todas las entidades públicas que han realizado grandes esfuerzos” manifestó la funcionaria, cuya cartera coordina la implementación de la Estrategia de Gobierno en línea, con el fin de hacer cada vez más fácil la relación de los colombianos con el Estado, mediante el aprovechamiento de las tecnologías.

En los últimos dos años, explicó la Ministra Guerra, se han dado pasos importantes, con unos lineamientos claros y plazos concretos sobre cómo debe avanzar la administración pública en materia de Gobierno en línea. “Tenemos más de 700 trámites y servicios totalmente en línea, a los que se puede acceder a través de www.gobiernoenlinea.gov.co, pero sabemos que todavía nos falta camino por recorrer”, señaló.

De acuerdo con el ranking, Chile (34) se ubica en el segundo puesto de América Latina y el Caribe, seguido por Uruguay (36) y Barbados (40). Otros países que se encontraban en mejor lugar que Colombia y cayeron posiciones son México (56), Argentina (48) y Brasil (61).

El liderazgo mundial de Gobierno Electrónico, entre 192 países evaluados, pasó de Suecia a Corea del Sur, seguido de Estados Unidos, Canadá, Reino Unido e Irlanda del Norte, Países Bajos, Noruega, Dinamarca, Australia, España y Francia. El país que mayores avances presentó es Palaos (+80, del 183 al 103) mientras que Suráfrica es el que más posiciones perdió (-36, del 61 al 97).

Otro ranking que revela este reporte es el de Participación Electrónica. De acuerdo con los datos publicados, Colombia también obtiene la primera posición en América Latina y el Caribe, seguido por México y Chile. En la medición anterior Colombia ocupaba el 4º lugar, después de México, Brasil y
Argentina.

Seguridad de la Informacion y Seguridad Informatica

Al involucrarse en el mundo de la ISO 27000, una de las situaciones mas recurrentes se presenta cuando se trata de diferenciar seguridad informática con seguridad de la información. Aunque su significado e implicaciones no es el mismo, ambas persiguen un fin común: proteger la información; pero lo hacen de manera diferente. Veamos por que...


Seguridad Informática:

  • Se centra en proteger las infraestructuras tecnológicas y de comunicación que soportan la operación de una organización (se centra básicamente en hardware y software), y que estas sean utilizadas de la manera indicada por la Organización.
  • Su análisis de riesgos se centra en vulnerabilidades del hardware o software, y llevar el nivel de riesgo a nivel aceptable por la organización.


Seguridad de la Información:

  • La seguridad de la información tiene como propósito proteger la información de una Organización, independientemente del lugar en que se localice: impresos en papel, en los discos duros de las computadoras 0 incluso en la memoria de las personas que la conocen.
  • La Seguridad de la Información tiene tres principios fundamentales: Confidencialidad, Integridad y Disponibilidad de la información.
  • Su radio de acción cubre Análisis de Riesgos, Seguridad del Personal, Seguridad física y del entorno, Gestión de comunicaciones, Desarrollo y Mantenimiento de Sistemas, Control de Accesos, Gestión de Incidentes, y Continuidad de Negocio entre otros (de acuerdo a la ISO 27000)
  • Busca mantener el riesgo en la gestión de la información por debajo del nivel asumible por la propia organización.

Quizás por medio de una gráfica se pueda diferenciar con mayor claridad la diferencia en alcance de seguridad de la información y seguridad informática. Todas las áreas aquí ilustradas se encuentran dentro del alcance de la seguridad de la información de acuerdo a la ISO 27000, pero las áreas con color amarillo son las que se encuentran dentro del alcance de la seguridad informática (dependiendo de los recursos con los que cuente la Organización); claro que esto puede estar sujeto a infinidad de discusiones pero es evidente que el alcance de la seguridad de la información es mucho mas amplio que el de la seguridad informática.









miércoles, febrero 17, 2010

Libros recomendados para implementar un Sistema de Gestion de Seguridad de la informacion

En Colombia, o mas específicamente en idioma español la literatura disponible sobre este tema es muy escasa. Si nos centramos en el tema de estándares, encontramos por parte de ICONTEC las normas NTC ISO 27001 y NTC ISO 27002 que estan centradas específicamente en la seguridad de la información; y adicionalmente encontramos la NTC 5254 la cual es una Norma basada en la AS/NZS 4360 sobre gestión del riesgo (análisis, evaluación, tratamiento, comunicación y monitoreo de los riesgos)

Ahora, saliéndonos del contexto de estándares encontramos un libro que es muy útil e interesante cuando una organización se encuentra planeando la implementación de un SGSI: Diseño de un sistema de gestión de seguridad de información. Óptica ISO 27001:2005 de Alberto G. Alexander, el cual se constituye en el único manual existente a la fecha en el mercado colombiano para la implementación de un SGSI.

Solo nos queda esperar que con el previsible auge que tiene y va a tener la seguridad de la información, se aumente el catalogo de libros y estándares disponibles en nuestro idioma.

Curso Gratuito de Seguridad de Información

Que mejor para empezar un blog de seguridad de la información que un completisimo curso al respecto? INTECO - Instituto Nacional de Tecnologías de la Comunicación de España, ha publicado un curso introductorio a los Sistemas de Gestión de Seguridad de la Información (SGSI) o Information Security Management System (ISMS) de acuerdo a la Norma ISO 27001.



El curso es una muy buena introducción al usuario en la gestión de seguridad de la información, conceptos básicos, implementación, definición de políticas, Gestión de Riesgos, Continuidad del Negocio, Proceso de Certificación, y como si fuera poco, entregan una guia practica de implementación en empresas, en fin, un curso completisimo y lo mejor de todo: GRATIS. Para terminar, les informo que este curso tiene una duracion de 20 horas!!!

Ahora si, lo anunciado: Curso SGSI por INTECO