Preguntas y respuestas:
P: ¿Cuáles son las Normas de Seguridad?
R: Básicamente son dos: la ISO 27002 (anteriormente ISO 17799) y la ISO 27001.

P: ¿Qué es la ISO 27002?
R: La ISO 27002 es una guía de buenas prácticas de seguridad de la información que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la seguridad IT sino que hace una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de una organización en cuanto a la seguridad de la información que maneja. Este concepto marca la diferencia con el de seguridad informática que, en la práctica, se vino convirtiendo en equivalente de seguridad de sistemas IT, mientras que la norma considera también los riesgos organizacionales, operacionales y físicos de una empresa, con todo lo que esto implica.

P: ¿Es certificable la ISO 27002?
R: Definitivamente no. La ISO 27002 sólo hace recomendaciones sobre el uso de 133 controles de seguridad diferentes aplicados en 11 áreas de control. No establece requisitos cuyo cumplimiento pudiere certificarse.

P: ¿Por qué ha habido cierta confusión en el tema de la certificación?
R: En gran parte se debe a los errores de algunas traducciones. El original en inglés de la ISO 27002 usa la expresión verbal “should”, un término presente en otras normas ISO y también del IETF y del IEEE, que por convención expresa una forma condicional a modo de recomendación y no de imposición, lo que hace precisamente que no sea certificable.

Read More

La diversidad de ambientes que vienen formando experiencia especialmente desde principios de esta década, muestra algunas visiones diferenciales y en parte contrastantes en temas de gran importancia para una empresa.

Seguridad Informática
Uno de esos temas, entre los más significativos, es que la mayoría de los “especialistas en seguridad” basan sus conocimientos y experticia solamente en el aspecto técnico tradicional de la seguridad, es decir del área IT, aunque una parte de ellos también consideran las cuestiones propias del “nuevo” aspecto de las comunicaciones y que ha hecho que hoy se hable de ICT o TIC.

Pero además del enfoque básicamente técnico, dichos especialistas en realidad sólo se manejan con vulnerabilidades y en parte también con amenazas bajo la forma de ataques, todo lo cual no es suficiente para hablar de los riesgos correspondientes.

Para un análisis o valuación de riesgos (risk assessment, RA) aunque se refieran a lo técnico, es necesario realizar también valuaciones de los activos, así como una identificación de las amenazas que puedan aprovechar y explotar las vulnerabilidades de esos activos. Recién entonces se pueden determinar los riesgos a partir de los tres factores mencionados, activos, vulnerabilidades y amenazas, cada uno medido en rangos apropiados de niveles (típicamente 3 para vulnerabilidades, 3 a 5 para amenazas, y 5 a 8 o aún más para activos).

Y si luego se trata de determinar qué se hace con los riesgos, en la mayoría de los casos corresponde mitigarlos a un nivel aceptable, para lo cual habrá que implementar determinadas medidas de seguridad.

El proceso es tal que, a partir de tales riesgos de características técnicas el enfoque más eficiente es realizar un análisis gap contra por ejemplo estándares técnicos como los establecidos por NIST en su serie 800, o bien una norma de enfoque corporativo como la ISO 27002 (anteriormente ISO 17799), para establecer qué controles y a qué nivel se los debe implementar para reducir aquellos riesgos a niveles aceptables.

Read More

Hablemos de Seguridad

Si le preguntamos sobre aspectos de seguridad a un administrador de sistemas de una empresa X (políticas, planes de contingencia, impacto en la organización, etc, etc) posiblemente obtengamos diversas respuestas. Desde el desconocimiento y confesión de inexistencia de alguno de esos aspectos, pasando por profesionales con las manos atadas por el ajetreo laboral cotidiano y llegando a los que están muy conscientes de la problemática y que toman cartas en el asunto.

Ahora bien, si alguna de estas preguntas se las hacemos a un usuario de la organización, lo más probable y en un alto porcentaje sera que exprese “¿lo que?”. Y no solo si le hacemos preguntas especificas del área. Si le preguntamos si conoce los riesgos de aceptar adjuntos de personas desconocidas, o si se fijan al momento de poner datos personales o de la organización en un sitio si el mismo posee alguna medida de seguridad que le de alguna garantía de que sus datos no pasaran a formar parte de la mercancía de algún vendedor de datos, la expresión seguirá siendo similar.

Es verdad que cada área tiene sus círculos de interés y por supuesto, no se pretende que los usuarios sean expertos en aspectos de seguridad. Pero existe una gran desinformación entre los mismo y esto a la corta o a la larga producirá problemas que impactarán en los sistemas de información de la organización, con el consecuente dolor de cabeza para el administrador, el directorio y los propios empleados.

En AltoSec nos tomamos una sana costumbre desde hace tiempo que nos ha dado buenos frutos para la realización de nuestra actividad. Charlar con los Usuarios sobre temas de seguridad. Si, así de simple. Esta actividad que en principio la realizamos a nuestros clientes como agregado a nuestros servicios de consultoría y gerenciamiento de sistemas y seguridad se transformo luego en un servicio en si mismo.

Read More

AltoSec Blog

En el día de la fecha hemos puesto oficialmente on-line el blog de AltoSec donde pondremos a disposición del público novedades sobre el ámbito de la seguridad de la información, novedades propias de la empresa y notas originales de sus miembros.

La URL del blog es http://blog.altosec.com.ar y está montado utilizando WordPress