Forensics in Spanish
RE: Procesos de seguridad informática Feb 02 2006 11:03AM
jalvare7 cajastur es (1 replies)
Hola,

No se me debe haer entendido, porque veo que la argumentación no responde
a lo que yo planteaba.

Sin duda solo se llega a los objetivos a través de la realización de
cambios, pero para conseguir un objetivo la estrategia y la consideración
de las particularidades del entorno son no ya importantes, sino
imprescindibles. Los casos en los que un proyecto obvia el entorno y trata
de imponerse sobre él se cuentan por fracasos, da igual que sea de
seguridad, de un implantar un ERP, o de construir un columpio (si el niño
no quiere el columpio hasta el mejor de ellos será un fracaso).

Hay que cambiar la cultura de las organizaciones, no arrasar con ella, y
como dije un cambio requiere además de un impulso decidido, tiempo para
aplicarse y consolidarse. Más impulso y más tiempo cuanto más importante
sea el cambio, y en temas de seguridad qué duda cabe que el cambio es de
mucho calado para el estado actual de la mayoría de organizaciones.

Si quiero proteger un millón de los 10.000 que tengo, no me lo planteo
como si protejiera mi único millón, ni estoy dispuesto a pagarle a la
aseguradora lo mismo. La aseguradora pondrá su tarifa, pero existe un
límite de millones en el que ni siquiera lo aseguro (aseguro los 10.000).

Mi planteamiento iba encaminado precisamente que una vez que normas y
frameworks terminan su papel para establecer criterios y orientar la
acción, hay que pisar tierra y enfrentar lo que realmente implica cambiar
una organización para llevarla al nivel de seguridad, que esa y no otra
organización necesita.

Finalmente, es imposible que el valor de la información sea absoluto, hay
quien tiene su coche de 10 años asegurado a todo riesgo y quien tiene el
mismo modelo de coche con los mismos años sólo con responsabilidad ante
terceros, o sin seguro... Eso sí, el precio del seguro a todo riesgo sí
puede ser igual para todos.

Juan

Estimados,

EMHO, no creo que haya que ser tan socio-culturalmente relativista y ser
más pragmático, metódico y universalista en este aspecto, teniendo en
cuenta la aplicación de diferentes políticas y estándares en función de
los activos protegidos, no de los ambientes socioculturales que lo rodean.
Haciendo un paralelo con la seguridad física, un millón de Euros vale un
millón de Euros, esté donde esté. Si lo que vamos a proteger es un millón
de EUROS lo vamos a protejer en todo el mundo con una seríe de estándares
que van a ser los que aprueben las compañías aseguradoras de ese activo a
través de sus análisis de riesgos y revisables a través de auditorías
periódicas.
Con los activos de información debería ocurrir exactamente igual.
Creo que si hay que ser relativista con las políticas y estándares
utilizados, debería aplicarse a los valores absolutos de las cosas y
estos, en lo que a la información se refiere, los marcará el mercado a
través de la oferta, las aseguradoras o los propios dueños de la
información y en función de este valor habrá que aplicar soluciones
estándares completas. Estan deben ser variadas, pero, personalmente, no
creo en este aspecto en soluciones a la carta.

Según lo que comentas, y siendo estrictos, si una organización quiere que
una compañía de seguros asegure sus activos de información, se tiene que
someter a una auditoría que defina el nivel de riesgo que sufren esos
activos. Si la auditoría determina que el riesgo es muy alto y que para
asegurar esos activos la compañía tiene que cambiar, DEBERÁ cambiar. Es
decir, en muchos casos, lo que hay que hacer es CAMBIAR la 'cultura' de la
organización para que sus practicas en TIC sean lan correctas. El CAMBIO
es el motor necesario cuando los procesos habituales chocan con el buen
gobierno de la seguridad.

Terminando, creo uno de los principales valores reside, en que las
compañías protejan los activos de información que poseen en función de su
valor real absoluto. Muchas veces el error se puede producir por una mala
valoración de éste, tanto por defecto como por exceso.

saludos,

--
Luislo

-----Mensaje original-----
De: jalvare7 (at) cajastur (dot) es [email concealed] [mailto:jalvare7 (at) cajastur (dot) es [email concealed]]
Enviado el: jue 2/2/2006 8:19
Para: forensics-es (at) securityfocus (dot) com [email concealed]
CC:
Asunto: RE: Procesos de seguridad informática

>De acuerdo Juan Carlos, lo elementos básicos de la
seguridad son los que
>mencionas, pero los pilares que refiero son los aspectos
fundamentales
que
>deben tener todo modelo de seguridad informática
aplicado a una empresa,
si se
>carece de uno de ellos o uno de ellos falla el modelo se
ve afectado,
esto es:
>el aseguramiento técnico (cacharros: firewalls, IPS,
etc), el personal
(la
>cultura de seguridad de la empresa, la disciplina en
seguridad) y los
procesos
>que mencionaba.
>
>Salu2,

Es una forma de verlo, como hay tantas, para eso en parte
deberían estar
sirviendo
normas y frameworks como ISO17799 o COBIT, pero lo cierto
es que a la hora
de
afrontar los retos de seguridad en cada organización, el
primer auténtico
pilar único
del éxito es dar con su particular modelo de afrontar el
tema.
Antes que nada es necesario absorver a fondo la llamada
"cultura" de la
organización e
incluso la cultura del país o región, más aún la historia
pasada de las
personas claves
en la organización y en la seguridad, desde directivos
hasta
administradores de sistemas
que se reparten los nichos de autoridad que es necesario
a menudo sacudir
para aplicar
las mejores prácticas en materia de seguridad que
frameworks y estándares
patrocinan.
Un enfoque como el que plantea Juan Carlos es claro y
disecciona bien
ámbitos que son
sin duda una buena representación del asunto, e incluso
pueden llevar bien
a acciones
en el plano práctico. Sin embargo yo me he dado cuenta de
que adoptar un
modelo y
empeñarse en aplicarlo es poco fructífero, al final hay
que hacer muchas
renuncias
y afrontar las cosas a menudo de formas que son
diametralmente opuestas a
lo que
cualquiera de nosotros escribiría en unas
recomendaciones.
Pongo un ejemplo; ante una dirección que apoya el
proyecto de reforma del
control de
los sistemas, pero que carece de fuerza suficiente para
aplicar medidas
ejecutivas
radicales, o prefiere prudentemente un cambio paulatino,
la siempre
recomendable
medida de empezar por establecer y difundir una política
general que
refleje los
objetivos de la organización al respecto, puede a veces
parecer un paso
demasiado
largo para empezar. En este caso puede ser más cómodoy
eficaz empezar por
el medio,
o incluso por abajo, estableciendo políticas en temas en
los que ya exista
una
sensibilización.
Cuando el cambio a llevar a cabo en una organización es
grande, da igual
el terreno
al que nos refiramos (finanzas, marketing, seguridad
TI...) siempre es
cierto que
implicará una proporción entre tiempo para asimilar los
cambios y medidas
de fuerza de
la dirección para imponerlos. Si la dirección aplica
menos fuerza hará
falta más
tiempo y viceversa.

Saludos


>-----------------------------------------------------------------------
---
>Richard G.
>
>Quoting XTREME Juan Carlos Davila
<jdavila (at) xtreme-networks.com (dot) mx [email concealed]>:
>
>
> > Sin más no recuerdo los elementos básicos de la
seguridad son:
> >
> >
> >
> > Confidencialidad
> >
> > Integridad
> >
> > Disponibilidad
> >
> >
> >
> > Existen dos elementos más que no son cuantificados
como básicos en un
> > proceso de seguridad:
> >
> >
> >
> > Auditoria
> >
> > Identidad
> >
> > Puedes obtener información sobre mejores practicas
en el sitio del
SANS.
> >
> > Saludos
> >
> >
> >
> > -----Original Message-----
> > From: Richard Douglas García Rondon [mailto:ric-
> > garc (at) uniandes.edu (dot) co [email concealed]] Sent: Miércoles, 01 de Febrero
de 2006 10:44
a.m.
> > To: forensics-es (at) securityfocus (dot) com [email concealed]
> > Subject: Procesos de seguridad informática
> >
> >
> >
> > Hola a todos,
> >
> >
> >
> > En la seguridad informática una de las funciones
primordiales del
> > OSI es la
> >
> > administración y mantenimiento de los procesos de
seguridad
> > informática, y
> >
> > estos procesos es bien sabido son unos de los tres
pilares de la
> > materia y son
> >
> > trasversales a los demás procesos de una empresa.
Alguien me podría
> > confirmar
> >
> > cuales son estos procesos, ya que he visto que los
aspectos casi
siempre
> >
> > mencionados en el tema de seguridad como control de
acceso,
> > contingencia,
> >
> > atención de incidente, etc. son referidos e
implementados como temas
> > mas que
> >
> > como procesos trasversales a otros procesos de
negocio de la empresa.
> >
> >
> >
> > Gracias,
> >
> >
> >
> >

------------------------------------------------------------------------
--
> >
> > Richard García Rondón.
> >
> >
> >
> >
> >
> >
> >
> > Nadie hace héroes a los que evitan los problemas,
solo a los que
> > tapan el agujero.
> >
> >
> >
> > Juan Carlos Davila Ortiz
> >
> > Networking Consultant
> >
> > 04433 3569 7294
> >
> > jdavila (at) xtreme-networks.com (dot) mx [email concealed]
> >
> > Móvil: 3335697294 (at) rek2.com (dot) mx [email concealed]
>
>
> Juan Carlos Davila Ortiz
> Networking Consultant
> 04433 3569 7294
> jcdavila (at) xtreme-networks.com (dot) mx [email concealed]
> Móvil: 3335697294 (at) rek2.com (dot) mx [email concealed]
>

------------------------------------------------------------------
This e-mail and the documents attached are confidential and intended
solely
for the addressee; it may also be privileged. If you receive this e-mail
in error, please notify the sender immediately and destroy it.
As its integrity cannot be secured on the Internet, the Atos Origin group
liability cannot be triggered for the message content. Although the
sender endeavours to maintain a computer virus-free network, the sender
does
not warrant that this transmission is virus-free and will not be liable
for
any damages resulting from any virus transmitted.

Este mensaje y los ficheros adjuntos pueden contener informacion
confidencial destinada solamente a la(s) persona(s) mencionadas
anteriormente. Pueden estar protegidos por secreto profesional Si usted
recibe este correo electronico por error, gracias de informar
inmediatamente
al remitente y destruir el mensaje.
Al no estar asegurada la integridad de este mensaje sobre la red, Atos
Origin no se hace responsable por su contenido. Su contenido no constituye
ningun compromiso para el grupo Atos Origin, salvo ratificacion escrita
por
ambas partes.
Aunque se esfuerza al maximo por mantener su red libre de virus, el emisor
no puede garantizar nada al respecto y no sera responsable de cualesquiera
danos que puedan resultar de una transmision de virus
------------------------------------------------------------------

[ reply ]
RE: Procesos de seguridad informática Feb 03 2006 11:07AM
fabian.chiera (at) e-risk.com (dot) ar [email concealed] (fabian chiera e-risk com ar) (1 replies)
RE: Procesos de seguridad informática y algo mas... Feb 03 2006 06:08PM
Anatoy A. Pedemonte Ku (apedemonte gmail com) (2 replies)
RE: Procesos de seguridad informática y algo mas... Feb 06 2006 09:31AM
Fredes Insa/Cybex (finsa cybex es)
RE: Procesos de seguridad informática y algomas... Feb 03 2006 10:21PM
Angel Alberto Briceño Obregón (linux peruviansoft com)


 

Privacy Statement
Copyright 2010, SecurityFocus