Forensics in Spanish
RE: Procesos de seguridad informática Feb 02 2006 11:03AM
jalvare7 cajastur es (1 replies)
RE: Procesos de seguridad informática Feb 03 2006 11:07AM
fabian.chiera (at) e-risk.com (dot) ar [email concealed] (fabian chiera e-risk com ar) (1 replies)
Buenos días!

Obviamente estoy de acuerdo con gran parte de las cuestiones planteadas.

Quisiera solamente aportar algunas consideraciones más.

Al comenzar a hablar de information security, es claro y casi indiscutible
que
el apoyo de la Alta Gerencia de una compañía es fundamental para la
implementación de los controles de seguridad sean éstos lógicos/técnicos,
físicos o administrativos.

Es importante también tener bien en claro y estar conciente de lo que
buscamos
cuando llevamos a adelante un programa de seguridad. Lo que buscamos es
conocer los riesgos a los que estamos expuestos y luego, gerenciarlo, o sea,
mitigarlo mediante la aplicación de controles, aceptarlo solamente (sin
implementar nada) o transferirlo, por ej, como lo que hacían mención de los
seguros. Siempre nuestro objetivo es estar más seguros que antes, mejora
continua.

Quienes manejan la información de las compañías es el personal de la misma.
Tenemos 2 formas entonces de las personas se adhieran y cumplan las políticas
de seguridad: en forma compulsiva o con métodos de aprendizaje para que vayan
asimilando los conceptos y los vayan incorporando a los procedimientos como
algo habitual de su trabajo.

El management de seguridad no es más que otro tipo de management más. Y el
cumplimiento de seguridad es eso, algo más que tenemos que cumplir. Una
correcta implementación de un programa de seguridad tendría que tener
asociado
un programa de concientización para poder adecuar la cultura organizacional.
Del mismo modo, al momento de establecer, diseñar un programa de seguridad,
debemos tener en cuenta la cultura de la organización. Ambas cosas deben ser
flexibles. Nuestra tarea, encontrar el punto de equilibrio (encontrar una
estrategia de implementación en nuesto plan). Cuando lo logremos estaremos,
no nos habremos enterado, ya que la seguridad se ha incorporado como
cualquier
otra tarea en cada uno de nosotros y del resto del personal. Sin duda, que
por el significado propio de seguridad, y cómo las organizaciones estaban
siendo gerenciadas hasta ahora, el cambio va a ser profundo. Pero tener un
buen feeling va a determinar el éxito de este cambio.

Con respecto al valor de la información como cualquier otro activo de una
compañía, lo determina la misma compañía. Es probable que un mismo activo
para distintas compañías tengan el mismo valor, pero no es algo común. Cada
compañía define su valor, ya que está determinado por muchas aspectos, como
cuánto le costaría a la compañía recuperarlo en caso de perderlo, qué valor
le
puede dar la competencia a ese activo, cuánto nos costó "implementarlo",
todas
estas cuestiones como vemos, varían de compañía a compañía.

Saludos cordiales a todos!

Fabián G. Chiera
CISSP , NSP
ISSA Argentina Co-Founder Member
Information Security Specialist
www.e-risk.com.ar

On Thu, 2 Feb 2006 12:03:33 +0100, jalvare7 wrote
> Hola,
>
> No se me debe haer entendido, porque veo que la argumentación no
> responde a lo que yo planteaba.
>
> Sin duda solo se llega a los objetivos a través de la realización de
> cambios, pero para conseguir un objetivo la estrategia y la
> consideración de las particularidades del entorno son no ya
> importantes, sino imprescindibles. Los casos en los que un proyecto
> obvia el entorno y trata de imponerse sobre él se cuentan por
> fracasos, da igual que sea de seguridad, de un implantar un ERP, o
> de construir un columpio (si el niño no quiere el columpio hasta el
> mejor de ellos será un fracaso).
>
> Hay que cambiar la cultura de las organizaciones, no arrasar con
> ella, y como dije un cambio requiere además de un impulso decidido,
> tiempo para aplicarse y consolidarse. Más impulso y más tiempo
> cuanto más importante sea el cambio, y en temas de seguridad qué
> duda cabe que el cambio es de mucho calado para el estado actual de
> la mayoría de organizaciones.
>
> Si quiero proteger un millón de los 10.000 que tengo, no me lo
> planteo como si protejiera mi único millón, ni estoy dispuesto a
> pagarle a la aseguradora lo mismo. La aseguradora pondrá su tarifa,
> pero existe un límite de millones en el que ni siquiera lo aseguro
> (aseguro los 10.000).
>
> Mi planteamiento iba encaminado precisamente que una vez que normas
> y frameworks terminan su papel para establecer criterios y orientar
> la acción, hay que pisar tierra y enfrentar lo que realmente implica
> cambiar una organización para llevarla al nivel de seguridad, que
> esa y no otra organización necesita.
>
> Finalmente, es imposible que el valor de la información sea absoluto,
> hay quien tiene su coche de 10 años asegurado a todo riesgo y quien
> tiene el mismo modelo de coche con los mismos años sólo con
> responsabilidad ante terceros, o sin seguro... Eso sí, el precio del
> seguro a todo riesgo sí puede ser igual para todos.
>
> Juan
>
> Estimados,
>
> EMHO, no creo que haya que ser tan socio-culturalmente relativista y
> ser más pragmático, metódico y universalista en este aspecto,
> teniendo en cuenta la aplicación de diferentes políticas y
> estándares en función de los activos protegidos, no de los ambientes
> socioculturales que lo rodean. Haciendo un paralelo con la seguridad
> física, un millón de Euros vale un millón de Euros, esté donde esté.
> Si lo que vamos a proteger es un millón de EUROS lo vamos a protejer
> en todo el mundo con una seríe de estándares que van a ser los que
> aprueben las compañías aseguradoras de ese activo a través de sus
> análisis de riesgos y revisables a través de auditorías periódicas.
> Con los activos de información debería ocurrir exactamente igual.
> Creo que si hay que ser relativista con las políticas y estándares
> utilizados, debería aplicarse a los valores absolutos de las cosas y
> estos, en lo que a la información se refiere, los marcará el mercado
> a través de la oferta, las aseguradoras o los propios dueños de la
> información y en función de este valor habrá que aplicar soluciones
> estándares completas. Estan deben ser variadas, pero, personalmente,
> no creo en este aspecto en soluciones a la carta.
>
> Según lo que comentas, y siendo estrictos, si una organización
> quiere que una compañía de seguros asegure sus activos de
> información, se tiene que someter a una auditoría que defina el
> nivel de riesgo que sufren esos activos. Si la auditoría determina
> que el riesgo es muy alto y que para asegurar esos activos la
> compañía tiene que cambiar, DEBERÁ cambiar. Es decir, en muchos
> casos, lo que hay que hacer es CAMBIAR la 'cultura' de la
> organización para que sus practicas en TIC sean lan correctas. El
> CAMBIO es el motor necesario cuando los procesos habituales chocan
> con el buen gobierno de la seguridad.
>
> Terminando, creo uno de los principales valores reside, en que las
> compañías protejan los activos de información que poseen en función
> de su valor real absoluto. Muchas veces el error se puede producir
> por una mala valoración de éste, tanto por defecto como por exceso.
>
> saludos,
>
> --
> Luislo
>
> -----Mensaje original-----
> De: jalvare7 (at) cajastur (dot) es [email concealed]
> [mailto:jalvare7 (at) cajastur (dot) es [email concealed]] Enviado el: jue
> 2/2/2006 8:19 Para: forensics-es (at) securityfocus (dot) com [email concealed]
> CC: Asunto: RE: Procesos de
> seguridad informática
>
> >De acuerdo Juan Carlos, lo elementos básicos de la
> seguridad son los que
> >mencionas, pero los pilares que refiero son los
> aspectos fundamentales que >deben
> tener todo modelo de seguridad informática aplicado a una empresa,
> si se >carece de uno de ellos o uno de
> ellos falla el modelo se ve afectado, esto es:
> >el aseguramiento técnico (cacharros: firewalls, IPS, etc),
> el personal
> (la >cultura de seguridad de la
> empresa, la disciplina en seguridad) y los procesos
> >que mencionaba. >
> >Salu2,
>
> Es una forma de verlo, como hay tantas, para eso en
> parte deberían estar sirviendo
> normas y frameworks como ISO17799 o COBIT, pero lo cierto es que a
> la hora de afrontar los retos de
> seguridad en cada organización, el primer auténtico
> pilar único del éxito es dar con su particular
> modelo de afrontar el tema. Antes que nada es
> necesario absorver a fondo la llamada "cultura" de la
> organización e incluso la cultura del país o región,
> más aún la historia pasada de las personas claves
> en la organización y en la seguridad, desde directivos
> hasta administradores de sistemas
> que se reparten los nichos de autoridad que es necesario a menudo sacudir
> para aplicar
> las mejores prácticas en materia de seguridad que
> frameworks y estándares
> patrocinan.
> Un enfoque como el que plantea Juan Carlos es claro
> y disecciona bien ámbitos que son
> sin duda una buena representación del asunto, e incluso pueden
> llevar bien a acciones en el plano
> práctico. Sin embargo yo me he dado cuenta de que adoptar un
> modelo y empeñarse en aplicarlo es poco
> fructífero, al final hay que hacer muchas renuncias
> y afrontar las cosas a menudo de formas que son
> diametralmente opuestas a lo que
> cualquiera de nosotros escribiría en unas recomendaciones.
> Pongo un ejemplo; ante una dirección que apoya el proyecto de
> reforma del control de los sistemas,
> pero que carece de fuerza suficiente para aplicar medidas
> ejecutivas radicales, o prefiere prudentemente
> un cambio paulatino, la siempre recomendable
> medida de empezar por establecer y difundir una política
> general que refleje los objetivos de
> la organización al respecto, puede a veces parecer un paso
> demasiado largo para empezar. En este caso
> puede ser más cómodoy eficaz empezar por el medio,
> o incluso por abajo, estableciendo políticas en temas
> en los que ya exista una sensibilización.
> Cuando el cambio a llevar a cabo en una
> organización es grande, da igual el terreno
> al que nos refiramos (finanzas, marketing, seguridad TI...)
> siempre es cierto que implicará una
> proporción entre tiempo para asimilar los cambios y medidas
> de fuerza de la dirección para imponerlos. Si
> la dirección aplica menos fuerza hará falta más
> tiempo y viceversa.
>
> Saludos
>
> >-----------------------------------------------------------------------
---
> >Richard G.
> >
> >Quoting XTREME Juan Carlos Davila
> <jdavila (at) xtreme-networks.com (dot) mx [email concealed]>:
> >
> >
> > > Sin más no recuerdo los elementos básicos de la
> seguridad son:
> > >
> > >
> > >
> > > Confidencialidad
> > >
> > > Integridad
> > >
> > > Disponibilidad
> > >
> > >
> > >
> > > Existen dos elementos más que no son
> cuantificados como básicos en un > > proceso de seguridad:
> > >
> > >
> > >
> > > Auditoria
> > >
> > > Identidad
> > >
> > > Puedes obtener información sobre mejores
> practicas en el sitio del SANS. > >
> > > Saludos > > > >
> > > > > -----Original Message-----
> > > From: Richard Douglas García Rondon [mailto:ric-
> > > garc (at) uniandes.edu (dot) co [email concealed]] Sent: Miércoles, 01 de Febrero
> de 2006 10:44
> a.m. > > To: forensics-es (at) securityfocus (dot) com [email concealed]
> > > Subject: Procesos de seguridad informática
> > >
> > >
> > >
> > > Hola a todos,
> > >
> > >
> > >
> > > En la seguridad informática una de las
> funciones primordiales del > > OSI es la
> > > > > administración y mantenimiento de los
> procesos de seguridad > > informática, y
> > > > > estos procesos es bien sabido son unos
> de los tres pilares de la > > materia y son
> > > > > trasversales a los demás procesos de
> una empresa. Alguien me podría > > confirmar
> > > > > cuales son estos procesos, ya que he
> visto que los aspectos casi siempre
> > > > > mencionados en el tema de seguridad como
> control de acceso, > > contingencia,
> > > > > atención de incidente, etc. son referidos e
> implementados como temas > > mas que
> > > > > como procesos trasversales a otros procesos
> de negocio de la empresa. > > > >
> > > > > Gracias, > >
> > > > > > >
>
> ------------------------------------------------------------------------
--
> > >
> > > Richard García Rondón.
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > > Nadie hace héroes a los que evitan los
> problemas, solo a los que > > tapan el agujero.
> > > > > > >
> > > Juan Carlos Davila Ortiz > > >
> > Networking Consultant > > > >
> 04433 3569 7294 > > > >
> jdavila (at) xtreme-networks.com (dot) mx [email concealed] > > >
> > Móvil: 3335697294 (at) rek2.com (dot) mx [email concealed] > >
> > Juan Carlos Davila Ortiz >
> Networking Consultant > 04433 3569 7294
> > jcdavila (at) xtreme-networks.com (dot) mx [email concealed] > Móvil:
3335697294 (at) rek2.com (dot) mx [email concealed]
> >
>
> ------------------------------------------------------------------
> This e-mail and the documents attached are confidential and intended
> solely
> for the addressee; it may also be privileged. If you receive this e-mail
> in error, please notify the sender immediately and destroy it.
> As its integrity cannot be secured on the Internet, the Atos Origin group
> liability cannot be triggered for the message content. Although the
> sender endeavours to maintain a computer virus-free network, the
> sender does not warrant that this transmission is virus-free and
> will not be liable for any damages resulting from any virus transmitted.
>
> Este mensaje y los ficheros adjuntos pueden contener informacion
> confidencial destinada solamente a la(s) persona(s) mencionadas
> anteriormente. Pueden estar protegidos por secreto profesional Si usted
> recibe este correo electronico por error, gracias de informar
> inmediatamente
> al remitente y destruir el mensaje.
> Al no estar asegurada la integridad de este mensaje sobre la red,
> Atos Origin no se hace responsable por su contenido. Su contenido
> no constituye ningun compromiso para el grupo Atos Origin, salvo
> ratificacion escrita por ambas partes. Aunque se esfuerza al maximo
> por mantener su red libre de virus, el emisor no puede garantizar
> nada al respecto y no sera responsable de cualesquiera danos que
> puedan resultar de una transmision de virus
> ------------------------------------------------------------------

[ reply ]
RE: Procesos de seguridad informática y algo mas... Feb 03 2006 06:08PM
Anatoy A. Pedemonte Ku (apedemonte gmail com) (2 replies)
RE: Procesos de seguridad informática y algo mas... Feb 06 2006 09:31AM
Fredes Insa/Cybex (finsa cybex es)
RE: Procesos de seguridad informática y algomas... Feb 03 2006 10:21PM
Angel Alberto Briceño Obregón (linux peruviansoft com)


 

Privacy Statement
Copyright 2010, SecurityFocus