La diversidad de ambientes que vienen formando experiencia especialmente desde principios de esta década, muestra algunas visiones diferenciales y en parte contrastantes en temas de gran importancia para una empresa.

Seguridad Informática
Uno de esos temas, entre los más significativos, es que la mayoría de los “especialistas en seguridad” basan sus conocimientos y experticia solamente en el aspecto técnico tradicional de la seguridad, es decir del área IT, aunque una parte de ellos también consideran las cuestiones propias del “nuevo” aspecto de las comunicaciones y que ha hecho que hoy se hable de ICT o TIC.

Pero además del enfoque básicamente técnico, dichos especialistas en realidad sólo se manejan con vulnerabilidades y en parte también con amenazas bajo la forma de ataques, todo lo cual no es suficiente para hablar de los riesgos correspondientes.

Para un análisis o valuación de riesgos (risk assessment, RA) aunque se refieran a lo técnico, es necesario realizar también valuaciones de los activos, así como una identificación de las amenazas que puedan aprovechar y explotar las vulnerabilidades de esos activos. Recién entonces se pueden determinar los riesgos a partir de los tres factores mencionados, activos, vulnerabilidades y amenazas, cada uno medido en rangos apropiados de niveles (típicamente 3 para vulnerabilidades, 3 a 5 para amenazas, y 5 a 8 o aún más para activos).

Y si luego se trata de determinar qué se hace con los riesgos, en la mayoría de los casos corresponde mitigarlos a un nivel aceptable, para lo cual habrá que implementar determinadas medidas de seguridad.

El proceso es tal que, a partir de tales riesgos de características técnicas el enfoque más eficiente es realizar un análisis gap contra por ejemplo estándares técnicos como los establecidos por NIST en su serie 800, o bien una norma de enfoque corporativo como la ISO 27002 (anteriormente ISO 17799), para establecer qué controles y a qué nivel se los debe implementar para reducir aquellos riesgos a niveles aceptables.

Read More

AltoSec Blog

Es un privilegio para el Blog de AltoSec contar con los aportes del Señor Carlos Ormella Meyer, Ingeniero Electrónico, quién a partir de ahora nos brindará parte de su saber en articulo publicaremos en este espacio.

El Sr. Ormella Meyer ha sido Profesor universitario y de Maestría. Es consultor, analista y auditor en seguridad de la información, redes inalámbricas e Internet, con especial dedicación al análisis y gestión de riesgos, cumplimiento/certificación de normas ISO 27002/ISO 27001, y protección de datos personales. Especializado en implementación de medidas de seguridad en sistemas de Continuidad de Negocios, para tratamiento de Riesgos Operacionales en entidades financieras según Basilea II, y conformidad Sarbanes-Oxley. De la misma manera se desempeña en trabajos de evaluación económica-financiera y administración de proyectos. Desde hace 30 años viene participando en Venezuela y Argentina en la implementación y dirección de sistemas de telecomunicaciones por microondas terrestres y satelitales, sistemas de control de estaciones no atendidas, teleproceso, acceso remoto, LAN, WAN, LANs Inalámbricas, sistemas de seguridad de la información, y planificación de continuidad de negocios y planes de contingencia. Los últimos años los ha dedicado en gran parte a la implementación de las normas en diferentes empresas, entre ellas , el grupo Aluar/Fate, donde Aluar es una de las plantas de aluminio más grandes de Latinoamérica, y Fate es una de las principales fábricas de neumáticos de Argentina. Desde 1985 viene dictando cursos y conferencias en Argentina, Venezuela, Paraguay, Perú, El Salvador y Uruguay. Ha sido editor de la revista LAN & WAN donde ha publicado varios centenares de artículos de tecnología.

En la actualidad las empresas producen un 60% más de información por año y el número de ataques a la misma se incrementa a pasos agigantados, sin embargo en muchos casos se sigue sin implementar políticas acorde a este crecimiento. Sin dudas, la información que genera una empresa es uno de los activos más importantes que esta posee. Tener control de las actividades que comprenden uso y generación de información requiere de políticas bien definidas en virtud de garantizar disponibilidad, integridad y confiabilidad de la misma así como contar con una persona que pueda llevar a cabo la planificación de las actividades necesarias para lograr estos objetivos.

De acuerdo a la Encuesta Global 2007 de Seguridad & Privacidad de la consultora Deloitte, el 80 % de los ataques que una organización recibe procede de errores humanos.
Al ranking de las brechas de seguridad lo lideran los ataques vía e-mail con un 52%. Luego más abajo se encuentra las actividades víricas, un 40%, las actividades de phishing con un 35%, la mala conducta de los empleados con un 31%, el spyware con 26% y la ingeniería social (17%). Es importante destacar que el informe menciona que la efectividad de los ataques internos producidos por los propios empleados es de un 39%.
Read More