Forensics in Spanish
RV: Implantación ISO 17799 UNE 71502 Feb 06 2006 01:29PM
Enrique G. Dutra (edutra puntonetsoluciones com ar)


________________________________

De: Enrique Dutra - Personal [mailto:egdutra (at) arnet.com (dot) ar [email concealed]]
Enviado el: Lunes, 06 de Febrero de 2006 10:29 a.m.
Para: 'forensics-es (at) securityfocus (dot) com [email concealed]'
Asunto: Implantación ISO 17799 UNE 71502

Gente

Les cuento que la cosa ha cambiado desde Diciembre y lo que esta en el site de MS ha quedado desactualizado.

La Norma ISO 17799 ahora es 17799:2005 y se puede certificar. Para ello se debe hacerlo mediante la ISO 27001:2005.

La norma ha cambiado su formato, mide los controles de seguridad teniendo en cuenta:

- el control

- Como lograrlo

- Recomendaciones adicionales

A su vez, ya no son 10 dominios, si no que ahora son 11.

A su vez la 27001:2005 es muy similar a la BS, es decir que hace referencia al SGSI, pero ha cambiado en base a la norma 17799:2005.

Yo les recomendaría antes de hacer nada, actualizar las normas, no son caras y las nuevas versiones me parecen sumamente facil de aplicar.

Saludos cordiales

Enrique Dutra

Socio Gerente

Punto Net Soluciones SRL

Maipú 44 - 5to "B"

(X5000IBB)- Córdoba - Rep. Arg.

e-mail : edutra (at) puntonetsoluciones.com (dot) ar [email concealed] blog:http://seguridadit.blogspot.com/

msn:egdutra (at) hotmail (dot) com [email concealed]

Tel : +54-351-4218426 / 5699963

Cel : +54-351-155921883

www.puntonetsoluciones.com.ar

Este mensaje y todos los archivos adjuntos a el son para uso exclusivo del destinatario y pueden contener informacion confidencial o propietaria, cuya divulgacion es sancionada por ley. Si usted recibio este mensaje erroneamente, por favor notifiquenos respondiendo al remitente, borre el mensaje original y destruya las copias (impresas o grabadas en cualquier medio magnetico) que pueda haber realizado del mismo. Todas las opiniones contenidas en este mail son propias del autor del mensaje y no necesariamente coinciden con las de Punto Net Soluciones o alguna de las empresas asociadas. La publicacion, uso, copia e impresion total o parcial de este mensaje o documentos adjuntos queda prohibida.

________________________________

De: Jose Ramirez [mailto:jose.ramirez (at) dynet.com (dot) mx [email concealed]]
Enviado el: Viernes, 03 de Febrero de 2006 05:06 p.m.
Para: 'Alfredo Oblanca'; forensics-es (at) securityfocus (dot) com [email concealed]
Asunto: RE: Implantación ISO 17799 UNE 71502

Que tal Alfredo,

Actualmente he estado trabajando en este sistema y he encontrado un proceso, no sencillo, pero que permite un seguimiento de todo el proceso de implementación de un SGSI. Aquí en México, bajo iniciativa de Microsoft se ha dado una serie de cursos en línea, llamados Academia Latinoamericana de Seguridad Informática, los cuales me ayudaron al proceso inicial de conocimiento de la norma 17799:2000 o BS7799:1 y BS7799:2.

La liga para este curso es:

http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp

Lo importante de este curso es que te sirva como guía para la implantación, mas no de forma definitiva, ya que en algunos puntos se vuelve un poco confusa. Y posteriormente trabajes en la realización de un procedimiento propio para llevar a cabo la implementación del SGSI.

En lo particular hemos estado trabajando en un proceso que nos permita hacer la implementación del SGSI. El cual consta de las siguientes partes:

* Auditoria de Sistemas

* Esta auditoria me permitirá conocer TODOS mis ámbitos de trabajo de manera completa y detallada.
* Puede ser llevada a cabo en sitio, y/o por medio de herramientas tecnológicas y posteriormente por medio de entrevistas con las personas que conocen el estado actual de la seguridad o que tienen responsabilidad sobre algunos activos.

* Administración de riesgos

* Esta fase me permite, según todo lo que encontraste en la auditoria, realizar una identificación, costeo y priorización de riesgos y sobre todo planificar su gestión.
* A los riesgos yo les he delimitado con 3 tipos de gestión: asumir, transferir o mitigar los riesgos.

* Cada uno de estos procesos deben de tener todo un plan de trabajo.

* SGSI

* Creación de Política de Seguridad

* Esta política de seguridad es VITAL para los siguientes pasos de implementación, ya que si en este documento no reflejas los ámbitos, activos, valores, actividades, etc. de la empresa, además del señalamiento de que dirección esta siempre apoyándote da por liquidado tu trabajo.

* Implementación de soluciones tecnológicas

* En este punto te vas a dedicar a hacer TODAS las correcciones referentes a tecnologías que no tengas implementadas en tu red. Refiriéndolos a firewall, Antivirus, IDS, etc. etc. etc. Todo con su debida documentación

* Elaboración y/o revisión de documentación existente.

* Aquí deberás de revisar TODA la documentación que la norma te pide, y que tu en tu política de seguridad señalaste como necesaria. Y revisar que la documentación existente cubra con los requisitos.

* Revisión final

* Corroborar que todas las implementaciones tecnológicas y los documentos generado tienen los lineamientos que estableciste en la política de seguridad y que se estén llevando a cabo.

* Auditoria periódica

* Este es uno de los pasos importantes la revisión periódica de que lo que se supone que se esta haciendo, en realidad se lleve a cabo. Aquí en México tenemos una frase que dice: "Orden dada y no supervisada, se la lleva la chingada" por lo tanto es muy importante este paso. Obviamente además de continuar con la revisión de tus riesgos, ver como están, si han sufrido modificación y la documentación se ha ajustado, etc.

Este una fracción muy pequeña del proceso que llevo trabajando algunas meses. Espero sea de gran ayuda. Lo más importante de todo es: Que TÚ definas un sistema que se acople a TUS necesidades y sobre todo que tengas compromisos de todos lados, la concientización es vital!

Espero sirva de algo y que los comentarios del resto de los participantes de este foro, colaboren con más. Y sobre todo el doctor Jeimy J. Cano, que es un maestro en esto...

Saludos cordiales,

Jose Ramirez

________________________________

De: Alfredo Oblanca [mailto:aoblanca (at) yahoo (dot) es [email concealed]]
Enviado el: Viernes, 03 de Febrero de 2006 05:17 a.m.
Para: forensics-es (at) securityfocus (dot) com [email concealed]
Asunto: Implantación ISO 17799 UNE 71502

Estimados profesionales,

me encuentro ante la necesidad de abordar la implantación de un sistema de gestión de seguridad de los sistemas de información, y no sé exáctamente por dónde empezar. Dispongo de mucha documentación relativa al tema, pero necesitaría hacer una planificación detallada y con una estimación de tiempos y recursos lo más cercana a la realidad. Si alguno de vosotros tiene experiencia en el desarrollo de este tipo dde plances, os agradecería que me echárais una mano.

Un saludo a todos,

Alfredo Oblanca

________________________________

LLama Gratis a cualquier PC del Mundo.
Llamadas a fijos y móviles desde 1 céntimo por minuto.
http://es.voice.yahoo.com <http://us.rd.yahoo.com/mail/es/tagline/messenger/*http:/es.voice.yahoo.
com/>

<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><o:SmartTagType
namespaceuri="urn:schemas-microsoft-com:office:smarttags" name="PersonName"
downloadurl="http://www.microsoft.com"/>
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Helv;
panose-1:2 11 6 4 2 2 2 3 2 4;}
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
{font-family:Verdana;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman";}
a:link, span.MsoHyperlink
{color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{color:blue;
text-decoration:underline;}
p
{mso-margin-top-alt:auto;
margin-right:0in;
mso-margin-bottom-alt:auto;
margin-left:0in;
font-size:12.0pt;
font-family:"Times New Roman";}
span.EstiloCorreo18
{mso-style-type:personal;
font-family:Verdana;
color:blue;
font-weight:normal;
font-style:normal;
text-decoration:none none;}
span.EstiloCorreo19
{mso-style-type:personal;
font-family:Arial;
color:navy;}
span.EstiloCorreo20
{mso-style-type:personal;
font-family:Arial;
color:navy;}
span.EstiloCorreo22
{mso-style-type:personal-reply;
font-family:Arial;
color:navy;}
@page Section1
{size:595.3pt 841.9pt;
margin:70.85pt 85.05pt 70.85pt 85.05pt;}
div.Section1
{page:Section1;}
/* List Definitions */
@list l0
{mso-list-id:73213215;
mso-list-template-ids:-1718958166;}
@list l0:level1
{mso-level-number-format:bullet;
mso-level-text:\F0B7;
mso-level-tab-stop:.5in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Symbol;}
@list l0:level2
{mso-level-number-format:bullet;
mso-level-text:o;
mso-level-tab-stop:1.0in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:"Courier New";
mso-bidi-font-family:"Times New Roman";}
@list l0:level3
{mso-level-number-format:bullet;
mso-level-text:\F0A7;
mso-level-tab-stop:1.5in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Wingdings;}
@list l1
{mso-list-id:356587937;
mso-list-type:hybrid;
mso-list-template-ids:-628851494 201981953 201981955 201981957 201981953 201981955 201981957 201981953 201981955 201981957;}
@list l1:level1
{mso-level-number-format:bullet;
mso-level-text:\F0B7;
mso-level-tab-stop:.5in;
mso-level-number-position:left;
text-indent:-.25in;
font-family:Symbol;}
@list l1:level2
{mso-level-number-format:bullet;
mso-level-text:o;
mso-level-tab-stop:1.0in;
mso-level-number-position:left;
text-indent:-.25in;
font-family:"Courier New";}
@list l1:level3
{mso-level-number-format:bullet;
mso-level-text:\F0A7;
mso-level-tab-stop:1.5in;
mso-level-number-position:left;
text-indent:-.25in;
font-family:Wingdings;}
@list l1:level4
{mso-level-tab-stop:2.0in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l1:level5
{mso-level-tab-stop:2.5in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l1:level6
{mso-level-tab-stop:3.0in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l1:level7
{mso-level-tab-stop:3.5in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l1:level8
{mso-level-tab-stop:4.0in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l1:level9
{mso-level-tab-stop:4.5in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2
{mso-list-id:1551696612;
mso-list-type:hybrid;
mso-list-template-ids:-1768278812 1163139910 67698691 67698693 67698689 67698691 67698693 67698689 67698691 67698693;}
@list l2:level1
{mso-level-start-at:2;
mso-level-number-format:bullet;
mso-level-text:-;
mso-level-tab-stop:.5in;
mso-level-number-position:left;
text-indent:-.25in;
font-family:Arial;
mso-fareast-font-family:"Times New Roman";}
@list l2:level2
{mso-level-tab-stop:1.0in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level3
{mso-level-tab-stop:1.5in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level4
{mso-level-tab-stop:2.0in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level5
{mso-level-tab-stop:2.5in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level6
{mso-level-tab-stop:3.0in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level7
{mso-level-tab-stop:3.5in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level8
{mso-level-tab-stop:4.0in;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level9
{mso-level-tab-stop:4.5in;
mso-level-number-position:left;
text-indent:-.25in;}
ol
{margin-bottom:0in;}
ul
{margin-bottom:0in;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span lang=ES style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span lang=ES style='font-size:
10.0pt;font-family:Tahoma;font-weight:bold'>De:</span></font></b><font size=2
face=Tahoma><span lang=ES style='font-size:10.0pt;font-family:Tahoma'> Enrique
Dutra - Personal [mailto:egdutra (at) arnet.com (dot) ar [email concealed]] <br>
<b><span style='font-weight:bold'>Enviado el:</span></b> Lunes, 06 de Febrero
de 2006 10:29 a.m.<br>
<b><span style='font-weight:bold'>Para:</span></b>
'forensics-es (at) securityfocus (dot) com [email concealed]'<br>
<b><span style='font-weight:bold'>Asunto:</span></b> Implantación ISO 17799 UNE
71502</span></font><span lang=ES><o:p></o:p></span></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'>Gente<o:p></o:p></
span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'>Les cuento que la cosa ha
cambiado desde Diciembre y lo que esta en el site de MS ha quedado
desactualizado.<o:p></o:p></span></font></p>

<p class=MsoNormal><st1:PersonName ProductID="La Norma ISO" w:st="on"><st1:PersonName
ProductID="La Norma" w:st="on"><font size=2 color=navy face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial;color:navy'>La Norma</span></font></st1:PersonName><font
size=2 color=navy face=Arial><span lang=ES-AR style='font-size:10.0pt;
font-family:Arial;color:navy'> ISO</span></font></st1:PersonName><font size=2
color=navy face=Arial><span lang=ES-AR style='font-size:10.0pt;font-family:
Arial;color:navy'> 17799 ahora es 17799:2005 y se puede certificar. Para ello
se debe hacerlo mediante <st1:PersonName ProductID="la ISO" w:st="on">la ISO</st1:PersonName>
27001:2005.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'>La norma ha cambiado su formato,
mide los controles de seguridad teniendo en cuenta:<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p><
/span></font></p>

<p class=MsoNormal style='margin-left:.5in;text-indent:-.25in;mso-list:l2 level1 lfo2'><![if !supportLists]><font
size=2 color=navy face=Arial><span lang=ES-AR style='font-size:10.0pt;
font-family:Arial;color:navy'><span style='mso-list:Ignore'>-<font size=1
face="Times New Roman"><span style='font:7.0pt "Times New Roman"'>         
</span></font></span></span></font><![endif]><font size=2 color=navy
face=Arial><span lang=ES-AR style='font-size:10.0pt;font-family:Arial;
color:navy'>el control<o:p></o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in;text-indent:-.25in;mso-list:l2 level1 lfo2'><![if !supportLists]><font
size=2 color=navy face=Arial><span lang=ES-AR style='font-size:10.0pt;
font-family:Arial;color:navy'><span style='mso-list:Ignore'>-<font size=1
face="Times New Roman"><span style='font:7.0pt "Times New Roman"'>         
</span></font></span></span></font><![endif]><font size=2 color=navy
face=Arial><span lang=ES-AR style='font-size:10.0pt;font-family:Arial;
color:navy'>Como lograrlo<o:p></o:p></span></font></p>

<p class=MsoNormal style='margin-left:.5in;text-indent:-.25in;mso-list:l2 level1 lfo2'><![if !supportLists]><font
size=2 color=navy face=Arial><span lang=ES-AR style='font-size:10.0pt;
font-family:Arial;color:navy'><span style='mso-list:Ignore'>-<font size=1
face="Times New Roman"><span style='font:7.0pt "Times New Roman"'>         
</span></font></span></span></font><![endif]><font size=2 color=navy
face=Arial><span lang=ES-AR style='font-size:10.0pt;font-family:Arial;
color:navy'>Recomendaciones adicionales<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p><
/span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'>A su vez, ya no son 10
dominios, si no que ahora son 11.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p><
/span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'>A su vez la 27001:2005 es
muy similar a <st1:PersonName ProductID="la BS" w:st="on">la BS</st1:PersonName>,
es decir que hace referencia al SGSI, pero ha cambiado en base a la norma
17799:2005.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'>Yo les recomendaría antes
de hacer nada, actualizar las normas, no son caras y las nuevas versiones me
parecen sumamente facil de aplicar.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p><
/span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'>Saludos cordiales<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p><
/span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>Enrique Dutra<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>Socio Gerente<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>Punto Net Soluciones SRL<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>Maipú 44 - 5to
"B"<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>(X5000IBB)- Córdoba -
Rep. Arg.<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>e-mail :
edutra (at) puntonetsoluciones.com (dot) ar [email concealed] blog:http://seguridadit.blogspot.com/<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>msn:egdutra (at) hotmail (dot) com [email concealed]<o:p><
/o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>Tel : +54-351-4218426 /
5699963<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>Cel : +54-351-155921883<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>www.puntonetsoluciones.com.ar
<o:p></o:p></span></font></p>

<p class=MsoNormal style='text-autospace:none'><font size=2 face=Arial><span
lang=ES-AR style='font-size:10.0pt;font-family:Arial'>Este mensaje y todos los
archivos adjuntos a el son para uso exclusivo del destinatario y pueden
contener informacion confidencial o propietaria, cuya divulgacion es sancionada
por ley. Si usted recibio este mensaje erroneamente, por favor notifiquenos
respondiendo al remitente, borre el mensaje original y destruya las copias
(impresas o grabadas en cualquier medio magnetico) que pueda haber realizado
del mismo. Todas las opiniones contenidas en este mail son propias del autor
del mensaje y no necesariamente coinciden con las de Punto Net Soluciones o
alguna de las empresas asociadas. </span></font><font size=2 face=Arial><span
style='font-size:10.0pt;font-family:Arial'>La publicacion, uso, copia e
impresion total o parcial de este mensaje o documentos adjuntos queda
prohibida.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span lang=ES-AR
style='font-size:10.0pt;font-family:Arial;color:navy'><o:p> </o:p><
/span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span lang=ES style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span lang=ES style='font-size:
10.0pt;font-family:Tahoma;font-weight:bold'>De:</span></font></b><font size=2
face=Tahoma><span lang=ES style='font-size:10.0pt;font-family:Tahoma'> Jose
Ramirez [mailto:jose.ramirez (at) dynet.com (dot) mx [email concealed]] <br>
<b><span style='font-weight:bold'>Enviado el:</span></b> Viernes, 03 de Febrero
de 2006 05:06 p.m.<br>
<b><span style='font-weight:bold'>Para:</span></b> 'Alfredo Oblanca';
forensics-es (at) securityfocus (dot) com [email concealed]<br>
<b><span style='font-weight:bold'>Asunto:</span></b> RE: Implantación ISO 17799
UNE 71502</span></font><span lang=ES><o:p></o:p></span></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'>Que tal Alfredo,<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'>Actualmente he estado
trabajando en este sistema y he encontrado un proceso, no sencillo, pero que
permite un seguimiento de todo el proceso de implementación de un SGSI. Aquí en
México, bajo iniciativa de Microsoft se ha dado una serie de cursos en línea,
llamados Academia Latinoamericana de Seguridad Informática, los cuales me
ayudaron al proceso inicial de conocimiento de la norma 17799:2000 o BS7799:1 y
BS7799:2. <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'>La liga para este curso
es: <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'><a
href="http://www.mslatam.com/latam/technet/cso/Html-ES/home.asp">http://
www.mslatam.com/latam/technet/cso/Html-ES/home.asp</a><o:p></o:p></span>
</font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'>Lo importante de este
curso es que te sirva como guía para la implantación, mas no de forma
definitiva, ya que en algunos puntos se vuelve un poco confusa. Y
posteriormente trabajes en la realización de un procedimiento propio para
llevar a cabo la implementación del SGSI.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'><o:p> </o:p
></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'>En lo particular hemos
estado trabajando en un proceso que nos permita hacer la implementación del
SGSI. El cual consta de las siguientes partes:<o:p></o:p></span></font></p>

<ul style='margin-top:0in' type=disc>
<li class=MsoNormal style='color:blue;mso-list:l1 level1 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Auditoria de Sistemas<o:p></o:p></span></font></li>
<ul style='margin-top:0in' type=circle>
<li class=MsoNormal style='color:blue;mso-list:l1 level2 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Esta auditoria me permitirá conocer TODOS mis ámbitos de trabajo
de manera completa y detallada.<o:p></o:p></span></font></li>
<li class=MsoNormal style='color:blue;mso-list:l1 level2 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Puede ser llevada a cabo en sitio, y/o por medio de herramientas
tecnológicas y posteriormente por medio de entrevistas con las personas
que conocen el estado actual de la seguridad o que tienen responsabilidad
sobre algunos activos.<o:p></o:p></span></font></li>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l1 level1 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Administración de riesgos<o:p></o:p></span></font></li>
<ul style='margin-top:0in' type=circle>
<li class=MsoNormal style='color:blue;mso-list:l1 level2 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Esta fase me permite, según todo lo que encontraste en la
auditoria, realizar una identificación, costeo y priorización de riesgos
y sobre todo planificar su gestión.<o:p></o:p></span></font></li>
<li class=MsoNormal style='color:blue;mso-list:l1 level2 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>A los riesgos yo les he delimitado con 3 tipos de gestión: asumir,
transferir o mitigar los riesgos.<o:p></o:p></span></font></li>
<ul style='margin-top:0in' type=square>
<li class=MsoNormal style='color:blue;mso-list:l1 level3 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;
font-family:Verdana'>Cada uno de estos procesos deben de tener todo un
plan de trabajo.<o:p></o:p></span></font></li>
</ul>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l1 level1 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>SGSI<o:p></o:p></span></font></li>
<ul style='margin-top:0in' type=circle>
<li class=MsoNormal style='color:blue;mso-list:l1 level2 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Creación de Política de Seguridad<o:p></o:p></span></font></li>
<ul style='margin-top:0in' type=square>
<li class=MsoNormal style='color:blue;mso-list:l1 level3 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;
font-family:Verdana'>Esta política de seguridad es VITAL para los
siguientes pasos de implementación, ya que si en este documento no
reflejas los ámbitos, activos, valores, actividades, etc. de la empresa,
además del señalamiento de que dirección esta siempre apoyándote da por
liquidado tu trabajo.<o:p></o:p></span></font></li>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l1 level2 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Implementación de soluciones tecnológicas<o:p></o:p></span></font></li>
<ul style='margin-top:0in' type=square>
<li class=MsoNormal style='color:blue;mso-list:l1 level3 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;
font-family:Verdana'>En este punto te vas a dedicar a hacer TODAS las
correcciones referentes a tecnologías que no tengas implementadas en tu
red. Refiriéndolos a firewall, Antivirus, IDS, etc. etc. etc. Todo con
su debida documentación<o:p></o:p></span></font></li>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l1 level2 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Elaboración y/o revisión de documentación existente.<o:p></o:p></span></font></li>
<ul style='margin-top:0in' type=square>
<li class=MsoNormal style='color:blue;mso-list:l1 level3 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;
font-family:Verdana'>Aquí deberás de revisar TODA la documentación que
la norma te pide, y que tu en tu política de seguridad señalaste como
necesaria. Y revisar que la documentación existente cubra con los
requisitos.<o:p></o:p></span></font></li>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l1 level2 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Revisión final<o:p></o:p></span></font></li>
<ul style='margin-top:0in' type=square>
<li class=MsoNormal style='color:blue;mso-list:l1 level3 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;
font-family:Verdana'>Corroborar que todas las implementaciones
tecnológicas y los documentos generado tienen los lineamientos que
estableciste en la política de seguridad y que se estén llevando a cabo.<o:p></o:p></span></font></li>
</ul>
</ul>
<li class=MsoNormal style='color:blue;mso-list:l1 level1 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Auditoria periódica<o:p></o:p></span></font></li>
<ul style='margin-top:0in' type=circle>
<li class=MsoNormal style='color:blue;mso-list:l1 level2 lfo5'><font size=2
color=blue face=Verdana><span lang=ES style='font-size:10.0pt;font-family:
Verdana'>Este es uno de los pasos importantes la revisión periódica de
que lo que se supone que se esta haciendo, en realidad se lleve a cabo.
Aquí en México tenemos una frase que dice: “Orden dada y no
supervisada, se la lleva la chingada” por lo tanto es muy
importante este paso. Obviamente además de continuar con la revisión de
tus riesgos, ver como están, si han sufrido modificación y la
documentación se ha ajustado, etc.<o:p></o:p></span></font></li>
</ul>
</ul>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'><o:p> </o:p
></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'>Este una fracción muy
pequeña del proceso que llevo trabajando algunas meses. Espero sea de gran
ayuda. Lo más importante de todo es: Que TÚ definas un sistema que se acople a
TUS necesidades y sobre todo que tengas compromisos de todos lados, la
concientización es vital!<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'><o:p> </o:p
></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'>Espero sirva de algo y
que los comentarios del resto de los participantes de este foro, colaboren con
más. Y sobre todo el doctor Jeimy J. Cano, que es un maestro en esto…<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'><o:p> </o:p
></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'>Saludos cordiales,<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=blue face=Verdana><span lang=ES
style='font-size:10.0pt;font-family:Verdana;color:blue'><o:p> </o:p
></span></font></p>

<div>

<p class=MsoNormal><st1:PersonName ProductID="Jose Ramirez" w:st="on"><strong><b><font
size=4 color=blue face=Verdana><span lang=ES style='font-size:13.5pt;
font-family:Verdana;color:blue'>Jose Ramirez</span></font></b></strong></st1:PersonName><font
color=blue><span lang=ES style='color:blue'><o:p></o:p></span></font></p>

</div>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span lang=ES style='font-size:12.0pt'>

<hr size=2 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span lang=ES style='font-size:
10.0pt;font-family:Tahoma;font-weight:bold'>De:</span></font></b><font size=2
face=Tahoma><span lang=ES style='font-size:10.0pt;font-family:Tahoma'> Alfredo
Oblanca [mailto:aoblanca (at) yahoo (dot) es [email concealed]] <br>
<b><span style='font-weight:bold'>Enviado el:</span></b> Viernes, 03 de Febrero
de 2006 05:17 a.m.<br>
<b><span style='font-weight:bold'>Para:</span></b>
forensics-es (at) securityfocus (dot) com [email concealed]<br>
<b><span style='font-weight:bold'>Asunto:</span></b> Implantación ISO 17799 UNE
71502</span></font><span lang=ES><o:p></o:p></span></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=ES
style='font-size:12.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=3 face=Helv><span lang=ES style='font-size:12.0pt;
font-family:Helv'> </span></font><span lang=ES> <o:p></o:p></span></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=ES
style='font-size:12.0pt'>Estimados profesionales,<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=ES
style='font-size:12.0pt'> <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=ES
style='font-size:12.0pt'>me encuentro ante la necesidad de abordar la
implantación de un sistema de gestión de seguridad de los sistemas de
información, y no sé exáctamente por dónde empezar. Dispongo de mucha
documentación relativa al tema, pero necesitaría hacer una planificación
detallada y con una estimación de tiempos y recursos lo más cercana a <st1:PersonName
ProductID="la realidad. Si" w:st="on">la realidad. Si</st1:PersonName> alguno
de vosotros tiene experiencia en el desarrollo de este tipo dde plances, os
agradecería que me echárais una mano.<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=ES
style='font-size:12.0pt'>Un saludo a todos,<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=ES
style='font-size:12.0pt'> <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=ES
style='font-size:12.0pt'>Alfredo Oblanca<o:p></o:p></span></font></p>

</div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span lang=ES style='font-size:12.0pt'>

<hr size=1 width="100%" align=center>

</span></font></div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=ES
style='font-size:12.0pt'><br>
</span></font><font size=1 face=Verdana><span lang=ES style='font-size:7.5pt;
font-family:Verdana'>LLama Gratis a cualquier PC del Mundo.<br>
Llamadas a fijos y móviles desde 1 céntimo por minuto.<br>
<a
href="http://us.rd.yahoo.com/mail/es/tagline/messenger/*http:/es.voice.y
ahoo.com/">http://es.voice.yahoo.com</a></span></font><span
lang=ES><o:p></o:p></span></p>

</div>

</body>

</html>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus