Haga su inventario de Software

¿Sabe usted que programas se utilizan en en las computadoras de su red? y además, ¿conoce cual es la versión de cada uno de ellos y si tienen o no vulnerabilidades explotables?

Muchos problemas de seguridad, incluidos los virus informáticos, aprovechan un simple error de programación o vulnerabilidad de programas comunes como lectores de archivos pdf, editores de texto a de presentaciones además de por supuesto los propios errores de los sistemas operativos, para poder cumplir su cometido. Es aquí donde se hace necesario contar con información sobre que están usando los usuarios con nombre y versión.

La metodología podría ser muy similar a la que se tiene para otro tipos de bienes de la organización. Llevar un inventario (automatizado o manual) sobre estos programas, permitirá rápidamente saber que equipo está potencialmente comprometido.

La tarea de inventario tendría que estar acompañada de una política clara de seguridad que impida que los usuarios instalen cualquier tipo de programas. El área sistemas o bien quién se encargue de las tareas de sistemas (sea interno o tercerizado) tendría que dar autorización y realizar la instalación del programa habiendo podido comprobar que el mismo no representa un riesgo para la seguridad interna.

También requiere que las personas que lleven esta tarea estén informados sobre los informes de seguridad donde se reportan las vulnerabilidades encontradas, las cuales, se informan junto al nombre y versión de los programas de forma que es fácil saber, si se tiene el inventario, donde está ese programa y, así, realizar las medidas correctivas para evitar tener problemas de seguridad.

Este control tiene que ser llevado permanentemente y el inventario tiene que estar actualizado. De nada servirá contar con políticas si no se cuenta con información y viceversa.

Preguntas y respuestas:
P: ¿Cuáles son las Normas de Seguridad?
R: Básicamente son dos: la ISO 27002 (anteriormente ISO 17799) y la ISO 27001.

P: ¿Qué es la ISO 27002?
R: La ISO 27002 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.

P: ¿Es certificable la ISO 27002?
R: Definitivamente no. La ISO 27002 sólo hace recomendaciones sobre el uso de 133 controles de seguridad diferentes aplicados en 11 áreas de control. No establece requisitos cuyo cumplimiento pudiere certificarse.

P: ¿Por qué ha habido cierta confusión en el tema de la certificación?
R: En gran parte se debe a los errores de algunas traducciones. El original en inglés de la ISO 27002 usa la expresión verbal “should”, un término presente en otras normas ISO y también del IETF y del IEEE, que por convención expresa una forma condicional a modo de recomendación y no de imposición, lo que hace precisamente que no sea certificable.

Read More

En algunos medios se ha planteado una suerte de disyuntiva sobre qué mecanismo es mejor o más adecuado para iniciar un plan de seguridad de la información. Y en tal sentido se menciona el BIA (Análisis de Impacto en los Negocios) y RA (Valuación de Riesgos).

La verdad es que ya de las propias palabras que los caracterizan, surge evidente que BIA y RA son cosas distintas, por lo que su comparación no puede hacerse directamente. Incluso hasta se podría decir que RA no se relaciona directamente con el BIA.

Read More

No todo hay que enchufarlo

Se presenta de una manera muy cómoda y permite que se lleve gran cantidad de información en un dispositivo reducido que entra en el bolsillo de cualquiera, el llavero y hasta en relojes.

Los dispositivos de almacenamiento con interfaz USB, mejor conocidos en el mundo como Pen USB o Pen Drive están en todas partes. Muchas empresas hasta los utilizan para difundir campañas de marketing incluyendo contenido de diapositivas y hasta con las funcionalidad de iniciar el programa requerido directamente al conectar el Pen Drive a la computadora.

Y aquí, el lector, se podría comenzar a dar cuenta que esta herramienta puede ser usada para “otros menesteres”.

Imaginen esta situación. Un empleado de su compañía al salir de su casa encuentra un hermoso Pen Drive de 2 GB de capacidad el cual tiene un símbolo de pregunta dibujado en uno de sus lados.
El empleado, recoge el Pen Drive y se dirige a su trabajo preguntándose durante el viaje que tendrá dentro y pensando que ha sido muy afortunado en encontrar un Pen Drive con tanta capacidad. Se imagina guardando sus temas musicales y hasta poder llevar películas enteras desde el trabajo (que tiene mejor ancho de banda ), a su casa.

Read More