Forensics in Spanish
RE: Procesos de seguridad informática Feb 02 2006 10:48AM
Luis Lopez Sanchez (luis lopez atosorigin com) (2 replies)
RE: Procesos de seguridad informática Feb 02 2006 01:10PM
Vicente M. Terreros R. (vterreros secur-enet com)
Coincido con la mayoría de las opiniones de esta discusión, si bien es
cierto que muchos de nosotros nos inclinamos al detalle técnico no
necesariamente es la respuesta al tema de seguridad.

Por mi formación como administrador y luego por la experiencia que puedo
haber obtenido en el campo de la informática he llegado a la conclusión que
la "Seguridad de la Información" no es un producto sino un proceso
engranado, compuesto por tres principios fundamentales que enumero a
continuación:

1. Cultura organizacional y desarrollo de la organización: El punto mas
debil en cualquier organización es su gente, su compromiso y la forma en que
esta se desenvuelve, es por eso que la definición de políticas y normas
claras son imprescindibles al momento de pensar en la seguridad, ya que
estas se convierten en la base preventiva para cuaquier modelo de seguridad
(si una persona hace lo que debe y como debe, reduce el riesgo de generar
fallas), por esto el incapié de muchos autores en educar al personal. Un
ejemplo de esto es que no son necesarios medios electrónicos para que exista
espionaje industrial o se fugue información de alta importancia para la
empresa.

2. Procesos de Negocios y su valor para la empresa: otro punto importante es
garantizar las operaciones de la empresa y darle sentido a la inversión que
se realice; no es lo mismo proteger la información de una fábrica de
baldosas ceramicas, que la base de datos con la información de las cuentas
de clientes en un banco, en la primera su negocio es fabricar las baldosas
mientras que en el segundo el corazon del negocio son las operaciones
financieras. En este punto podemos considerar entonces los controles que
sugieren la ISO o COBIT a manera establecer un marco de protección de
nuestra información

3. Tecnologías: Traigo a colación un principio bastante viejo y el cual
tengo tiempo que no leo o escucho entre colegas dedicados a la seguridad "No
debe invertirse en proteger un activo de información mas de lo que el mismo
activo cuesta", digo esto porque he visto con preocupación que nos
concentramos en utilizar tenología (propietaria u open source) olvidandonos
muchas veces de los puntos anteriores, no es el hecho del dinero que pueda
costar una solución propietaria o del tiempo necesario para conocer,
instalar y adecuar soluciones open source, sino que la tecnología que
escogimos para proteger nuestra información realmente cumpla con eso
"PROTEGER" la información y no los componentes que la almacenan o manipulan;
todo lo demas es simplemente trabajo técnico.

Pienso que estos son los principios a ser tomados en cuenta cuando se define
una arquitectura conceptual de seguridad de Información para cualquier
empresa independientemente del modelo de Gestión o Técnico que se escoja
para ser implementado

Espero que mi humilde opinión contribuya un poco con la lista

Vicente Terreros
Analista de Seguridad
SecureNet Corp.
Venezuela

-----Original Message-----
From: Luis Lopez Sanchez [mailto:luis.lopez (at) atosorigin (dot) com [email concealed]]
Sent: Jueves, 02 de Febrero de 2006 06:48 a.m.
To: jalvare7 (at) cajastur (dot) es [email concealed]; forensics-es (at) securityfocus (dot) com [email concealed]
Subject: RE: Procesos de seguridad informática

Estimados,

EMHO, no creo que haya que ser tan socio-culturalmente relativista y ser más
pragmático, metódico y universalista en este aspecto, teniendo en cuenta la
aplicación de diferentes políticas y estándares en función de los activos
protegidos, no de los ambientes socioculturales que lo rodean. Haciendo un
paralelo con la seguridad física, un millón de Euros vale un millón de
Euros, esté donde esté. Si lo que vamos a proteger es un millón de EUROS lo
vamos a protejer en todo el mundo con una seríe de estándares que van a ser
los que aprueben las compañías aseguradoras de ese activo a través de sus
análisis de riesgos y revisables a través de auditorías periódicas.
Con los activos de información debería ocurrir exactamente igual.
Creo que si hay que ser relativista con las políticas y estándares
utilizados, debería aplicarse a los valores absolutos de las cosas y estos,
en lo que a la información se refiere, los marcará el mercado a través de la
oferta, las aseguradoras o los propios dueños de la información y en función
de este valor habrá que aplicar soluciones estándares completas. Estan deben
ser variadas, pero, personalmente, no creo en este aspecto en soluciones a
la carta.

Según lo que comentas, y siendo estrictos, si una organización quiere que
una compañía de seguros asegure sus activos de información, se tiene que
someter a una auditoría que defina el nivel de riesgo que sufren esos
activos. Si la auditoría determina que el riesgo es muy alto y que para
asegurar esos activos la compañía tiene que cambiar, DEBERÁ cambiar. Es
decir, en muchos casos, lo que hay que hacer es CAMBIAR la 'cultura' de la
organización para que sus practicas en TIC sean lan correctas. El CAMBIO es
el motor necesario cuando los procesos habituales chocan con el buen
gobierno de la seguridad.

Terminando, creo uno de los principales valores reside, en que las compañías
protejan los activos de información que poseen en función de su valor real
absoluto. Muchas veces el error se puede producir por una mala valoración de
éste, tanto por defecto como por exceso.

saludos,

--
Luislo

-----Mensaje original-----
De: jalvare7 (at) cajastur (dot) es [email concealed] [mailto:jalvare7 (at) cajastur (dot) es [email concealed]]
Enviado el: jue 2/2/2006 8:19
Para: forensics-es (at) securityfocus (dot) com [email concealed]
CC:
Asunto: RE: Procesos de seguridad informática

>De acuerdo Juan Carlos, lo elementos básicos de la seguridad son
los que
>mencionas, pero los pilares que refiero son los aspectos
fundamentales
que
>deben tener todo modelo de seguridad informática aplicado a una
empresa,
si se
>carece de uno de ellos o uno de ellos falla el modelo se ve
afectado,
esto es:
>el aseguramiento técnico (cacharros: firewalls, IPS, etc), el
personal
(la
>cultura de seguridad de la empresa, la disciplina en seguridad) y
los
procesos
>que mencionaba.
>
>Salu2,

Es una forma de verlo, como hay tantas, para eso en parte deberían
estar
sirviendo
normas y frameworks como ISO17799 o COBIT, pero lo cierto es que a
la hora
de
afrontar los retos de seguridad en cada organización, el primer
auténtico
pilar único
del éxito es dar con su particular modelo de afrontar el tema.
Antes que nada es necesario absorver a fondo la llamada "cultura" de
la
organización e
incluso la cultura del país o región, más aún la historia pasada de
las
personas claves
en la organización y en la seguridad, desde directivos hasta
administradores de sistemas
que se reparten los nichos de autoridad que es necesario a menudo
sacudir
para aplicar
las mejores prácticas en materia de seguridad que frameworks y
estándares
patrocinan.
Un enfoque como el que plantea Juan Carlos es claro y disecciona
bien
ámbitos que son
sin duda una buena representación del asunto, e incluso pueden
llevar bien
a acciones
en el plano práctico. Sin embargo yo me he dado cuenta de que
adoptar un
modelo y
empeñarse en aplicarlo es poco fructífero, al final hay que hacer
muchas
renuncias
y afrontar las cosas a menudo de formas que son diametralmente
opuestas a
lo que
cualquiera de nosotros escribiría en unas recomendaciones.
Pongo un ejemplo; ante una dirección que apoya el proyecto de
reforma del
control de
los sistemas, pero que carece de fuerza suficiente para aplicar
medidas
ejecutivas
radicales, o prefiere prudentemente un cambio paulatino, la siempre
recomendable
medida de empezar por establecer y difundir una política general que
refleje los
objetivos de la organización al respecto, puede a veces parecer un
paso
demasiado
largo para empezar. En este caso puede ser más cómodoy eficaz
empezar por
el medio,
o incluso por abajo, estableciendo políticas en temas en los que ya
exista
una
sensibilización.
Cuando el cambio a llevar a cabo en una organización es grande, da
igual
el terreno
al que nos refiramos (finanzas, marketing, seguridad TI...) siempre
es
cierto que
implicará una proporción entre tiempo para asimilar los cambios y
medidas
de fuerza de
la dirección para imponerlos. Si la dirección aplica menos fuerza
hará
falta más
tiempo y viceversa.

Saludos


>-----------------------------------------------------------------------
---
>Richard G.
>
>Quoting XTREME Juan Carlos Davila <jdavila (at) xtreme-networks.com (dot) mx [email concealed]>:
>
>
> > Sin más no recuerdo los elementos básicos de la seguridad son:
> >
> >
> >
> > Confidencialidad
> >
> > Integridad
> >
> > Disponibilidad
> >
> >
> >
> > Existen dos elementos más que no son cuantificados como básicos
en un
> > proceso de seguridad:
> >
> >
> >
> > Auditoria
> >
> > Identidad
> >
> > Puedes obtener información sobre mejores practicas en el sitio
del
SANS.
> >
> > Saludos
> >
> >
> >
> > -----Original Message-----
> > From: Richard Douglas García Rondon [mailto:ric-
> > garc (at) uniandes.edu (dot) co [email concealed]] Sent: Miércoles, 01 de Febrero de 2006
10:44
a.m.
> > To: forensics-es (at) securityfocus (dot) com [email concealed]
> > Subject: Procesos de seguridad informática
> >
> >
> >
> > Hola a todos,
> >
> >
> >
> > En la seguridad informática una de las funciones primordiales
del
> > OSI es la
> >
> > administración y mantenimiento de los procesos de seguridad
> > informática, y
> >
> > estos procesos es bien sabido son unos de los tres pilares de la
> > materia y son
> >
> > trasversales a los demás procesos de una empresa. Alguien me
podría
> > confirmar
> >
> > cuales son estos procesos, ya que he visto que los aspectos casi
siempre
> >
> > mencionados en el tema de seguridad como control de acceso,
> > contingencia,
> >
> > atención de incidente, etc. son referidos e implementados como
temas
> > mas que
> >
> > como procesos trasversales a otros procesos de negocio de la
empresa.
> >
> >
> >
> > Gracias,
> >
> >
> >
> >

------------------------------------------------------------------------
--
> >
> > Richard García Rondón.
> >
> >
> >
> >
> >
> >
> >
> > Nadie hace héroes a los que evitan los problemas, solo a los que
> > tapan el agujero.
> >
> >
> >
> > Juan Carlos Davila Ortiz
> >
> > Networking Consultant
> >
> > 04433 3569 7294
> >
> > jdavila (at) xtreme-networks.com (dot) mx [email concealed]
> >
> > Móvil: 3335697294 (at) rek2.com (dot) mx [email concealed]
>
>
> Juan Carlos Davila Ortiz
> Networking Consultant
> 04433 3569 7294
> jcdavila (at) xtreme-networks.com (dot) mx [email concealed]
> Móvil: 3335697294 (at) rek2.com (dot) mx [email concealed]
>

------------------------------------------------------------------
This e-mail and the documents attached are confidential and intended solely
for the addressee; it may also be privileged. If you receive this e-mail in
error, please notify the sender immediately and destroy it.
As its integrity cannot be secured on the Internet, the Atos Origin group
liability cannot be triggered for the message content. Although the sender
endeavours to maintain a computer virus-free network, the sender does not
warrant that this transmission is virus-free and will not be liable for any
damages resulting from any virus transmitted.

Este mensaje y los ficheros adjuntos pueden contener informacion
confidencial destinada solamente a la(s) persona(s) mencionadas
anteriormente. Pueden estar protegidos por secreto profesional Si usted
recibe este correo electronico por error, gracias de informar inmediatamente
al remitente y destruir el mensaje.
Al no estar asegurada la integridad de este mensaje sobre la red, Atos
Origin no se hace responsable por su contenido. Su contenido no constituye
ningun compromiso para el grupo Atos Origin, salvo ratificacion escrita por
ambas partes.
Aunque se esfuerza al maximo por mantener su red libre de virus, el emisor
no puede garantizar nada al respecto y no sera responsable de cualesquiera
danos que puedan resultar de una transmision de virus
------------------------------------------------------------------

[ reply ]
RE: Procesos de seguridad informática Feb 02 2006 11:34AM
Paco García (fgl andorra ad)


 

Privacy Statement
Copyright 2010, SecurityFocus