Forensics in Spanish
RE: Procesos de seguridad informática Feb 02 2006 10:48AM
Luis Lopez Sanchez (luis lopez atosorigin com) (2 replies)
Estimados,

EMHO, no creo que haya que ser tan socio-culturalmente relativista y ser más pragmático, metódico y universalista en este aspecto, teniendo en cuenta la aplicación de diferentes políticas y estándares en función de los activos protegidos, no de los ambientes socioculturales que lo rodean. Haciendo un paralelo con la seguridad física, un millón de Euros vale un millón de Euros, esté donde esté. Si lo que vamos a proteger es un millón de EUROS lo vamos a protejer en todo el mundo con una seríe de estándares que van a ser los que aprueben las compañías aseguradoras de ese activo a través de sus análisis de riesgos y revisables a través de auditorías periódicas.

Con los activos de información debería ocurrir exactamente igual.

Creo que si hay que ser relativista con las políticas y estándares utilizados, debería aplicarse a los valores absolutos de las cosas y estos, en lo que a la información se refiere, los marcará el mercado a través de la oferta, las aseguradoras o los propios dueños de la información y en función de este valor habrá que aplicar soluciones estándares completas. Estan deben ser variadas, pero, personalmente, no creo en este aspecto en soluciones a la carta.

Según lo que comentas, y siendo estrictos, si una organización quiere que una compañía de seguros asegure sus activos de información, se tiene que someter a una auditoría que defina el nivel de riesgo que sufren esos activos. Si la auditoría determina que el riesgo es muy alto y que para asegurar esos activos la compañía tiene que cambiar, DEBERÁ cambiar. Es decir, en muchos casos, lo que hay que hacer es CAMBIAR la 'cultura' de la organización para que sus practicas en TIC sean lan correctas. El CAMBIO es el motor necesario cuando los procesos habituales chocan con el buen gobierno de la seguridad.

Terminando, creo uno de los principales valores reside, en que las compañías protejan los activos de información que poseen en función de su valor real absoluto. Muchas veces el error se puede producir por una mala valoración de éste, tanto por defecto como por exceso.

saludos,

--

Luislo

-----Mensaje original-----

De: jalvare7 (at) cajastur (dot) es [email concealed] [mailto:jalvare7 (at) cajastur (dot) es [email concealed]]

Enviado el: jue 2/2/2006 8:19

Para: forensics-es (at) securityfocus (dot) com [email concealed]

CC:

Asunto: RE: Procesos de seguridad informática

>De acuerdo Juan Carlos, lo elementos básicos de la seguridad son los que

>mencionas, pero los pilares que refiero son los aspectos fundamentales

que

>deben tener todo modelo de seguridad informática aplicado a una empresa,

si se

>carece de uno de ellos o uno de ellos falla el modelo se ve afectado,

esto es:

>el aseguramiento técnico (cacharros: firewalls, IPS, etc), el personal

(la

>cultura de seguridad de la empresa, la disciplina en seguridad) y los

procesos

>que mencionaba.

>

>Salu2,

Es una forma de verlo, como hay tantas, para eso en parte deberían estar

sirviendo

normas y frameworks como ISO17799 o COBIT, pero lo cierto es que a la hora

de

afrontar los retos de seguridad en cada organización, el primer auténtico

pilar único

del éxito es dar con su particular modelo de afrontar el tema.

Antes que nada es necesario absorver a fondo la llamada "cultura" de la

organización e

incluso la cultura del país o región, más aún la historia pasada de las

personas claves

en la organización y en la seguridad, desde directivos hasta

administradores de sistemas

que se reparten los nichos de autoridad que es necesario a menudo sacudir

para aplicar

las mejores prácticas en materia de seguridad que frameworks y estándares

patrocinan.

Un enfoque como el que plantea Juan Carlos es claro y disecciona bien

ámbitos que son

sin duda una buena representación del asunto, e incluso pueden llevar bien

a acciones

en el plano práctico. Sin embargo yo me he dado cuenta de que adoptar un

modelo y

empeñarse en aplicarlo es poco fructífero, al final hay que hacer muchas

renuncias

y afrontar las cosas a menudo de formas que son diametralmente opuestas a

lo que

cualquiera de nosotros escribiría en unas recomendaciones.

Pongo un ejemplo; ante una dirección que apoya el proyecto de reforma del

control de

los sistemas, pero que carece de fuerza suficiente para aplicar medidas

ejecutivas

radicales, o prefiere prudentemente un cambio paulatino, la siempre

recomendable

medida de empezar por establecer y difundir una política general que

refleje los

objetivos de la organización al respecto, puede a veces parecer un paso

demasiado

largo para empezar. En este caso puede ser más cómodoy eficaz empezar por

el medio,

o incluso por abajo, estableciendo políticas en temas en los que ya exista

una

sensibilización.

Cuando el cambio a llevar a cabo en una organización es grande, da igual

el terreno

al que nos refiramos (finanzas, marketing, seguridad TI...) siempre es

cierto que

implicará una proporción entre tiempo para asimilar los cambios y medidas

de fuerza de

la dirección para imponerlos. Si la dirección aplica menos fuerza hará

falta más

tiempo y viceversa.

Saludos

>-----------------------------------------------------------------------
---

>Richard G.

>

>Quoting XTREME Juan Carlos Davila <jdavila (at) xtreme-networks.com (dot) mx [email concealed]>:

>

>

> > Sin más no recuerdo los elementos básicos de la seguridad son:

> >

> >

> >

> > Confidencialidad

> >

> > Integridad

> >

> > Disponibilidad

> >

> >

> >

> > Existen dos elementos más que no son cuantificados como básicos en un

> > proceso de seguridad:

> >

> >

> >

> > Auditoria

> >

> > Identidad

> >

> > Puedes obtener información sobre mejores practicas en el sitio del

SANS.

> >

> > Saludos

> >

> >

> >

> > -----Original Message-----

> > From: Richard Douglas García Rondon [mailto:ric-

> > garc (at) uniandes.edu (dot) co [email concealed]] Sent: Miércoles, 01 de Febrero de 2006 10:44

a.m.

> > To: forensics-es (at) securityfocus (dot) com [email concealed]

> > Subject: Procesos de seguridad informática

> >

> >

> >

> > Hola a todos,

> >

> >

> >

> > En la seguridad informática una de las funciones primordiales del

> > OSI es la

> >

> > administración y mantenimiento de los procesos de seguridad

> > informática, y

> >

> > estos procesos es bien sabido son unos de los tres pilares de la

> > materia y son

> >

> > trasversales a los demás procesos de una empresa. Alguien me podría

> > confirmar

> >

> > cuales son estos procesos, ya que he visto que los aspectos casi

siempre

> >

> > mencionados en el tema de seguridad como control de acceso,

> > contingencia,

> >

> > atención de incidente, etc. son referidos e implementados como temas

> > mas que

> >

> > como procesos trasversales a otros procesos de negocio de la empresa.

> >

> >

> >

> > Gracias,

> >

> >

> >

> >

------------------------------------------------------------------------
--

> >

> > Richard García Rondón.

> >

> >

> >

> >

> >

> >

> >

> > Nadie hace héroes a los que evitan los problemas, solo a los que

> > tapan el agujero.

> >

> >

> >

> > Juan Carlos Davila Ortiz

> >

> > Networking Consultant

> >

> > 04433 3569 7294

> >

> > jdavila (at) xtreme-networks.com (dot) mx [email concealed]

> >

> > Móvil: 3335697294 (at) rek2.com (dot) mx [email concealed]

>

>

> Juan Carlos Davila Ortiz

> Networking Consultant

> 04433 3569 7294

> jcdavila (at) xtreme-networks.com (dot) mx [email concealed]

> Móvil: 3335697294 (at) rek2.com (dot) mx [email concealed]

>

------------------------------------------------------------------

This e-mail and the documents attached are confidential and intended solely

for the addressee; it may also be privileged. If you receive this e-mail

in error, please notify the sender immediately and destroy it.

As its integrity cannot be secured on the Internet, the Atos Origin group

liability cannot be triggered for the message content. Although the

sender endeavours to maintain a computer virus-free network, the sender does

not warrant that this transmission is virus-free and will not be liable for

any damages resulting from any virus transmitted.

Este mensaje y los ficheros adjuntos pueden contener informacion

confidencial destinada solamente a la(s) persona(s) mencionadas

anteriormente. Pueden estar protegidos por secreto profesional Si usted

recibe este correo electronico por error, gracias de informar inmediatamente

al remitente y destruir el mensaje.

Al no estar asegurada la integridad de este mensaje sobre la red, Atos

Origin no se hace responsable por su contenido. Su contenido no constituye

ningun compromiso para el grupo Atos Origin, salvo ratificacion escrita por

ambas partes.

Aunque se esfuerza al maximo por mantener su red libre de virus, el emisor

no puede garantizar nada al respecto y no sera responsable de cualesquiera

danos que puedan resultar de una transmision de virus

------------------------------------------------------------------

[ reply ]
RE: Procesos de seguridad informática Feb 02 2006 01:10PM
Vicente M. Terreros R. (vterreros secur-enet com)
RE: Procesos de seguridad informática Feb 02 2006 11:34AM
Paco García (fgl andorra ad)


 

Privacy Statement
Copyright 2010, SecurityFocus