Forensics in Spanish
Procesos de seguridad informática Feb 06 2006 02:32PM
Javier Ballesteros López (jballesteros tissat es)
Hola:

He estado leyendo el hilo atentamente y me gustaría aportar mi granito de arena.

Primero resaltar que es muy importante que siempre se cuente con el apoyo de la alta dirección, ya que sin su apoyo cualquier estudio o implementación de seguridad no sirve de nada. Es una cosa con la que se suele "chocar" mucho e influye de manera decisiva en el resultado de la seguridad.

Tras ello quisiera señalar que he observado que intentáis dar con el "método" o "métodos" perfectos para implantar una mayor seguridad en una organización. Yo en este punto en particular no estoy del todo de acuerdo.

En mi humilde opinión, creo que la seguridad de una organización se puede y debe afrontar por pasos:

1- Cumplimiento legal. (LOPD, Propiedad Intelectual)

2- ISO17799 (análisis diferencial e implementación de controles relativos)

3- UNE 71502 + Magerit Versión 2

Existen más puntos, como el de realizar Magerit mediante sistemas certificados (sería un punto 4) o el realizar un análisis de riesgos que tenga en cuenta las relaciones horizontales de los activos (un punto 5). Sobre éste último punto se está investigando bastante por lo que yo sé.

Cada escalón implica un mayor coste de estudio, y además dicho estudio no tiene que necesariamente dar mayor seguridad a la organización. Lo importante aquí es el método que queremos seguir para implantar un SGSI en la organización, es decir, podemos analizar todos los puntos "débiles" de la misma pero no corregirlos.

Lo bueno de las metodologías es que nos permiten saber y cuantificar la seguridad (por lo menos los análisis de riesgos). De nada sirve disponer de un gran presupuesto si no se sabe como gastarlo adecuadamente.

Como conclusión lo primero que uno debe pensar si quiere aumentar la seguridad de una organización y así implantar un SGSI es analizar la situación actual brevemente y después escoger la metodología que le permitirá avanzar más rápidamente hacía el próximo escalón de seguridad. Por ejemplo los gaps de nivel 2 nos pueden aportar mucha o poca seguridad, pero para una organización mediana es lo más prudente para no disparar los costes del propio estudio.

Por último un apunte sobre las políticas de seguridad. Las políticas de seguridad siempre deben existir donde haya un SGSI. Otra cosa es que ante determinadas amenazas prefiramos disminuir su frecuencia de aparición mediante un control físico o lógico o mediante una adecuada política. De hecho, una política adecuada con una normativa y procedimientos adecuados puede ser más efectiva y barata que ciertos controles o salvaguardas (cada cual que use la palabra control o salvaguarda según le guste ;) ).

Saludos a todos,

Javier Ballesteros

------------------------------------------------------------------------
------------------------------------------------------------
Nota Legal: Este correo electrónico puede contener información estrictamente confidencial y es de uso exclusivo del destinatario, quedando prohibida a cualquier otra persona su revelación, copia, distribución, o el ejercicio de cualquier acción relativa a su contenido. Si ha recibido este correo electrónico por error, por favor, conteste al remitente, y posteriormente proceda a borrarlo de su sistema. Gracias por su colaboración.

Confidentiality notice: This e-mail message may contain confidential and/or legally privileged information and is solely for the attention and use of the intended recipient. Any disclosure, copying, distribution or the taking of any action with relation to the contents of this e-mail by any other person is strictly prohibited. If you believe that this e-mail has been mistakenly sent to you, please reply to the sender from whom you received the message in error and then delete the original e-mail from your system. Thank you for your co-operation.
------------------------------------------------------------------------
------------------------------------------------------------

<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<style>
<!--
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:Arial;}
a:link, span.MsoHyperlink
{color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{color:purple;
text-decoration:underline;}
span.EstiloCorreo17
{mso-style-type:personal-compose;
font-family:Arial;
color:windowtext;}
@page Section1
{size:595.3pt 841.9pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.Section1
{page:Section1;}
/* List Definitions */
@list l0
{mso-list-id:1009793307;
mso-list-type:hybrid;
mso-list-template-ids:1651406334 -1795646242 201981977 201981979 201981967 201981977 201981979 201981967 201981977 201981979;}
@list l0:level1
{mso-level-text:%1-;
mso-level-tab-stop:36.0pt;
mso-level-number-position:left;
text-indent:-18.0pt;}
ol
{margin-bottom:0cm;}
ul
{margin-bottom:0cm;}
-->
</style>

</head>

<body lang=ES link=blue vlink=purple>

<div class=Section1>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Hola:<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>He
estado leyendo el hilo atentamente y me gustaría aportar mi granito de arena.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Primero
resaltar que es muy importante que siempre se cuente con el apoyo de la alta
dirección, ya que sin su apoyo cualquier estudio o implementación de seguridad
no sirve de nada. Es una cosa con la que se suele “chocar” mucho e
influye de manera decisiva en el resultado de la seguridad.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Tras
ello quisiera señalar que he observado que intentáis dar con el “método”
o “métodos” perfectos para implantar una mayor seguridad en una
organización. Yo en este punto en particular no estoy del todo de acuerdo.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>En mi
humilde opinión, creo que la seguridad de una organización se puede y debe
afrontar por pasos:<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal style='margin-left:36.0pt;text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><font
size=2 face=Arial><span style='font-size:10.0pt'><span style='mso-list:Ignore'>1-<font
size=1 face="Times New Roman"><span style='font:7.0pt "Times New Roman"'>      
</span></font></span></span></font><![endif]>Cumplimiento legal. (LOPD,
Propiedad Intelectual)<o:p></o:p></p>

<p class=MsoNormal style='margin-left:36.0pt;text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><font
size=2 face=Arial><span style='font-size:10.0pt'><span style='mso-list:Ignore'>2-<font
size=1 face="Times New Roman"><span style='font:7.0pt "Times New Roman"'>      
</span></font></span></span></font><![endif]>ISO17799 (análisis diferencial e
implementación de controles relativos)<o:p></o:p></p>

<p class=MsoNormal style='margin-left:36.0pt;text-indent:-18.0pt;mso-list:l0 level1 lfo1'><![if !supportLists]><font
size=2 face=Arial><span style='font-size:10.0pt'><span style='mso-list:Ignore'>3-<font
size=1 face="Times New Roman"><span style='font:7.0pt "Times New Roman"'>      
</span></font></span></span></font><![endif]>UNE 71502 + Magerit Versión 2<o:p></o:p></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Existen
más puntos, como el de realizar Magerit mediante sistemas certificados (sería
un punto 4) o el realizar un análisis de riesgos que tenga en cuenta las
relaciones horizontales de los activos (un punto 5). Sobre éste último punto se
está investigando bastante por lo que yo sé.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Cada escalón
implica un mayor coste de estudio, y además dicho estudio no tiene que
necesariamente dar mayor seguridad a la organización. Lo importante aquí es el
método que queremos seguir para implantar un SGSI en la organización, es decir,
podemos analizar todos los puntos “débiles” de la misma pero no corregirlos.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Lo
bueno de las metodologías es que nos permiten saber y cuantificar la seguridad
(por lo menos los análisis de riesgos). De nada sirve disponer de un gran
presupuesto si no se sabe como gastarlo adecuadamente.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Como
conclusión lo primero que uno debe pensar si quiere aumentar la seguridad de
una organización y así implantar un SGSI es analizar la situación actual
brevemente y después escoger la metodología que le permitirá avanzar más rápidamente
hacía el próximo escalón de seguridad. Por ejemplo los gaps de nivel 2 nos
pueden aportar mucha o poca seguridad, pero para una organización mediana es lo
más prudente para no disparar los costes del propio estudio.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Por
último un apunte sobre las políticas de seguridad. Las políticas de seguridad
siempre deben existir donde haya un SGSI. Otra cosa es que ante determinadas
amenazas prefiramos disminuir su frecuencia de aparición mediante un control físico
o lógico o mediante una adecuada política. De hecho, una política adecuada con
una normativa y procedimientos adecuados puede ser más efectiva y barata que
ciertos controles o salvaguardas (cada cual que use la palabra control o
salvaguarda según le guste ;) ).<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Saludos
a todos,<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoNormal><font size=2 face=Arial><span style='font-size:10.0pt'>Javier
Ballesteros<o:p></o:p></span></font></p>

</div>

</body>

<!--[object_id=#tissat.es#]--><P><STRONG>
<HR>
</STRONG><FONT size=2><FONT size=2><STRONG>Nota Legal:</STRONG></FONT><FONT size=2> Este correo electrónico puede contener información estrictamente confidencial y es de uso exclusivo del destinatario, quedando prohibida a cualquier otra persona su revelación, copia, distribución, o el ejercicio de cualquier acción relativa a su contenido. Si ha recibido este correo electrónico por error, por favor, conteste al remitente, y posteriormente proceda a borrarlo de su sistema. Gracias por su colaboración.</FONT></P>
<P><FONT size=2><STRONG>Confidentiality notice:</STRONG> This e-mail message may contain confidential and/or legally privileged information and is solely for the attention and use of the intended recipient. Any disclosure, copying, distribution or the taking of any action with relation to  the contents of this e-mail by any other person is strictly prohibited. If you believe that this e-mail has been mistakenly sent  to you,<BR>please reply to the sender from whom you received the message in error and then delete the original e-mail from your system. Thank you for your co-operation.</FONT></FONT>
<HR>

<P></P>
<P></P>
<P></P></html>

[ reply ]


 

Privacy Statement
Copyright 2010, SecurityFocus