Forensics in Spanish
RE: Procesos de seguridad informática Feb 02 2006 07:19AM
jalvare7 cajastur es
>De acuerdo Juan Carlos, lo elementos básicos de la seguridad son los que
>mencionas, pero los pilares que refiero son los aspectos fundamentales
que
>deben tener todo modelo de seguridad informática aplicado a una empresa,
si se
>carece de uno de ellos o uno de ellos falla el modelo se ve afectado,
esto es:
>el aseguramiento técnico (cacharros: firewalls, IPS, etc), el personal
(la
>cultura de seguridad de la empresa, la disciplina en seguridad) y los
procesos
>que mencionaba.
>
>Salu2,

Es una forma de verlo, como hay tantas, para eso en parte deberían estar
sirviendo
normas y frameworks como ISO17799 o COBIT, pero lo cierto es que a la hora
de
afrontar los retos de seguridad en cada organización, el primer auténtico
pilar único
del éxito es dar con su particular modelo de afrontar el tema.
Antes que nada es necesario absorver a fondo la llamada "cultura" de la
organización e
incluso la cultura del país o región, más aún la historia pasada de las
personas claves
en la organización y en la seguridad, desde directivos hasta
administradores de sistemas
que se reparten los nichos de autoridad que es necesario a menudo sacudir
para aplicar
las mejores prácticas en materia de seguridad que frameworks y estándares
patrocinan.
Un enfoque como el que plantea Juan Carlos es claro y disecciona bien
ámbitos que son
sin duda una buena representación del asunto, e incluso pueden llevar bien
a acciones
en el plano práctico. Sin embargo yo me he dado cuenta de que adoptar un
modelo y
empeñarse en aplicarlo es poco fructífero, al final hay que hacer muchas
renuncias
y afrontar las cosas a menudo de formas que son diametralmente opuestas a
lo que
cualquiera de nosotros escribiría en unas recomendaciones.
Pongo un ejemplo; ante una dirección que apoya el proyecto de reforma del
control de
los sistemas, pero que carece de fuerza suficiente para aplicar medidas
ejecutivas
radicales, o prefiere prudentemente un cambio paulatino, la siempre
recomendable
medida de empezar por establecer y difundir una política general que
refleje los
objetivos de la organización al respecto, puede a veces parecer un paso
demasiado
largo para empezar. En este caso puede ser más cómodoy eficaz empezar por
el medio,
o incluso por abajo, estableciendo políticas en temas en los que ya exista
una
sensibilización.
Cuando el cambio a llevar a cabo en una organización es grande, da igual
el terreno
al que nos refiramos (finanzas, marketing, seguridad TI...) siempre es
cierto que
implicará una proporción entre tiempo para asimilar los cambios y medidas
de fuerza de
la dirección para imponerlos. Si la dirección aplica menos fuerza hará
falta más
tiempo y viceversa.

Saludos

>-----------------------------------------------------------------------
---
>Richard G.
>
>Quoting XTREME Juan Carlos Davila <jdavila (at) xtreme-networks.com (dot) mx [email concealed]>:
>
>
> > Sin más no recuerdo los elementos básicos de la seguridad son:
> >
> >
> >
> > Confidencialidad
> >
> > Integridad
> >
> > Disponibilidad
> >
> >
> >
> > Existen dos elementos más que no son cuantificados como básicos en un
> > proceso de seguridad:
> >
> >
> >
> > Auditoria
> >
> > Identidad
> >
> > Puedes obtener información sobre mejores practicas en el sitio del
SANS.
> >
> > Saludos
> >
> >
> >
> > -----Original Message-----
> > From: Richard Douglas García Rondon [mailto:ric-
> > garc (at) uniandes.edu (dot) co [email concealed]] Sent: Miércoles, 01 de Febrero de 2006 10:44
a.m.
> > To: forensics-es (at) securityfocus (dot) com [email concealed]
> > Subject: Procesos de seguridad informática
> >
> >
> >
> > Hola a todos,
> >
> >
> >
> > En la seguridad informática una de las funciones primordiales del
> > OSI es la
> >
> > administración y mantenimiento de los procesos de seguridad
> > informática, y
> >
> > estos procesos es bien sabido son unos de los tres pilares de la
> > materia y son
> >
> > trasversales a los demás procesos de una empresa. Alguien me podría
> > confirmar
> >
> > cuales son estos procesos, ya que he visto que los aspectos casi
siempre
> >
> > mencionados en el tema de seguridad como control de acceso,
> > contingencia,
> >
> > atención de incidente, etc. son referidos e implementados como temas
> > mas que
> >
> > como procesos trasversales a otros procesos de negocio de la empresa.
> >
> >
> >
> > Gracias,
> >
> >
> >
> >
------------------------------------------------------------------------
--
> >
> > Richard García Rondón.
> >
> >
> >
> >
> >
> >
> >
> > Nadie hace héroes a los que evitan los problemas, solo a los que
> > tapan el agujero.
> >
> >
> >
> > Juan Carlos Davila Ortiz
> >
> > Networking Consultant
> >
> > 04433 3569 7294
> >
> > jdavila (at) xtreme-networks.com (dot) mx [email concealed]
> >
> > Móvil: 3335697294 (at) rek2.com (dot) mx [email concealed]
>
>
> Juan Carlos Davila Ortiz
> Networking Consultant
> 04433 3569 7294
> jcdavila (at) xtreme-networks.com (dot) mx [email concealed]
> Móvil: 3335697294 (at) rek2.com (dot) mx [email concealed]
>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus