¿Por qué hay que certificar la seguridad informática bajo la norma ISO 27001?

Al momento de explicar por qué certificar una norma internacional enfocada en la gestión de riesgos asociados a la seguridad de la información, como lo es la serie de normas ISO 27000 y en particular su capítulo certificable, es decir la norma ISO 27001, uno podría comenzar justificando su posición desde distintos ángulos.

Por ejemplo, analizando retornos de inversión en distintos escenarios de implementación, ventajas desde el punto de vista de costos, reconocimiento de la marca, aspectos regulatorios, relación entre la norma internacional y otras regulaciones locales, mostrar la sinergia entre distintos sistemas de gestión que probablemente ya se encuentren implementados o en camino de estarlo como ISO 9000, ISO 14000 o ISO 20000 entre otros.

Podríamos comenzar también por algo mucho más complejo: detallando cuáles son los riesgos que la norma ayudaría a mitigar, a partir de los cuales todos los demás aspectos se deducen de forma mucho más sencilla.

¿Pero por qué resultan tan difícil de describir los riesgos? Justamente porque no se quedan quietos, es decir, constantemente evolucionan.

Siempre están latentes, aunque no se dejan ver tan fácilmente.

De esta manera, si el día de hoy, como sugiere la norma, realizáramos una lista de activos, detalláramos todas las amenazas que los afectan, las vulnerabilidades asociadas a esas amenazas, y por último hiciéramos una valoración de los riesgos resultantes en función de su impacto y probabilidad de ocurrencia, podríamos asegurar que al otro día, esa valoración estaría desactualizada.

Y es por ese motivo que la norma comienza definiendo el sistema de gestión que servirá de base para administrar los riesgos, antes de comenzar a tocar siquiera cuestiones relacionadas a la seguridad: sistematizar el descubrimiento, tratamiento y mitigación de los riesgos, y sostener esas actividades en el tiempo, es condición necesaria para considerarse "mínimamente seguro", con todas las dificultades (y críticas justificadas) que expresarlo de esa manera podría acarrear.

Luego de haber implementado un sistema de gestión del riesgo, con todas las consideraciones mencionadas, incluyendo revisiones periódicas de un Comité de Seguridad que asigne recursos, verifique la implementación de los controles, propicie la mejora continua de los procesos, y ajuste políticas organizacionales que complementen las medidas de seguridad incorporándolas a un plan de capacitación y concientización para todos los actores que interactúan con la información de la compañía, tendremos apenas un vistazo a lo que significa contar con ISO 27001 en una organización.

Esta norma se relaciona con todas las áreas y procesos de la empresa, incluyendo Recursos Humanos, Tecnología y Legales, produciendo también uno de los cambios culturales (y políticos) más importantes de los últimos 10 años en las organizaciones en general, que es la separación de funciones entre las áreas de Tecnología y Seguridad, que debe reportar idealmente en forma directa al CEO y/o al Directorio.

Pero el objetivo de la nota no es hablar solamente de ISO 27001, sino también de por qué conviene certificar la implementación de la norma: ¿es que solamente con implementarla no basta?

Desde mi experiencia, la certificación agrega un componente fundamental, que son las auditorías externas: éstas son realizadas (idealmente) por auditores profesionales que día a día van ganando experiencia en auditar organizaciones en distintos mercados, países y tipos de negocio, aportando objetividad al sistema de gestión implementado a través de las observaciones y no conformidades que detectan.

En un sistema de gestión ISO, es deseable que aparezcan aspectos a mejorar, ya que de otra forma para qué desearía uno contar con un sistema basado en la mejora contínua, y cuando solamente se realizan auditorías internas, estamos perdiendo una oportunidad inmejorable para validar la efectividad de las gestión de riesgos.

Ahora sí podemos volver al inicio de la nota y listar todas las ventajas que con seguridad contaremos luego de obtener la certificación, siendo conscientes que detrás de un certificado, hay muchos más beneficios para la organización aunque a veces: "lo esencial es invisible a los ojos.

Fuente:http://tecnologia.iprofesional.com/

Spam ruso. De las novias por correo a las estufas de leña

Cuando hablamos de correo no deseado, a lo largo de los años se han ido creando tendencias o modas recurrentes, tales como la venta de viagra o medicamentos a una fracción de su precio, replicas de artículos de lujo, ofertas de empleo o, en el caso del spam que proviene de países de Europa del este (especialmente Rusia), proposiciones para establecer relaciones sentimentales por parte de señoritas supuestamente en busca de una pareja. Hasta hace pocos meses era frecuente ver como nuestra bandeja de entrada se llenaba de proposiciones de relaciones por parte de bellas jóvenes. Asimismo, era frecuente encontrarnos con una foto adjunta al mensaje que mostraba a la señorita que buscaba su media naranja fuera de su tierra natal.

No obstante, estos últimos días hemos recibido en nuestro laboratorio un nuevo tipo de correo no deseado desde Rusia que apela a nuestra caridad. Veamos un ejemplo:






Como vemos, el engaño clásico que consistía en entablar una relación a distancia con una joven rusa y, seguidamente, enviarle dinero para que pudiese salir de su país (cosa que nunca se producía) se ha visto sustituido por una historia bastante más dramática. Esto puede ser debido a la disminución del éxito del engaño anterior o a una prueba en el cambio de estrategia. En el mensaje se observan detalles, como la inclusión de una nota que explica el lenguaje usado, el no indicar de que localidad es la afectada, la mención de sucesos recientes como los incendios acontecidos en Rusia este verano y, por último, se juega con el temor al inminente invierno y las gélidas temperaturas que acarrea en esas latitudes.

Asimismo, la cantidad solicitada se especifica desde el principio y esta es menor que las solicitadas con los engaños anteriores. Es posible que este tipo de spam sea una prueba estacional, buscando depurar las técnicas usadas en este tipo de engaños, y que los ciberdelincuentes estén lanzando estos correos a modo de sonda, para ver si los beneficios son mayores que usando el método anterior.

De cualquier forma, desde el laboratorio de ESET en Ontinet.com aconsejamos a nuestros lectores que no caigan estos engaños ya que solo buscan apelar a nuestros sentimientos para hacernos caer en la trampa y estafarnos.


Fuente:http://blogs.protegerse.com/laboratorio/

Europa quiere proteger a los usuarios de Internet

La irrupción de las redes sociales online en el panorama tecnológico y social ha motivado grandes polémicas respecto a la privacidad de sus usuarios, además de establecer un nuevo panorama ante el que, muchas veces, las legislaciones nacionales e internacionales no han estado a la altura de su evolución en todos los momentos.

El proceso que se encuentra cerca de culminar, empezó en 2002 y terminará con la reescritura de la directiva europea de protección de datos, marco que cada país adapta en su propia legislación dando lugar, por ejemplo y entre otras, a la LOPD (Ley Oficial de Protección de Datos) española.

En un documento de unas 20 páginas que puede consultarse en el sitio web de la Unión Europea (http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_es.pdf), se resumen los principales retos que afronta la protección de datos actualmente y que no se daban en la anterior redacción de la ley marco europea (que data de 1995). Principalmente, estos consisten en las redes sociales, la publicidad online y el cloud computing.

En el documento, titulado Un enfoque global de la protección de los datos personales en la Unión Europea, se indica la forma en que se propone que los servicios online avisen de la recolección y tratamiento de la información a los internautas, así como las obligaciones que tendrán en cuanto al tratamiento y la seguridad de los datos y las condiciones de baja de un usuario.

En el caso de sufrir una filtración que lleve a hacer públicos datos personales de los usuarios del servicio o que estos caigan en manos de terceras partes, la propuesta de nueva legislación obliga a la empresa a dar a conocer públicamente el incidente.

El creciente uso de los servicios online de todo tipo, lo que se ha dado en llamar computación en nube o cloud computing, también ha provocado un fuerte cambio en el panorama de la privacidad de los datos de los internautas, puesto que ahora servicios como Google Docs o similares, pueden contener no solamente datos como nombres, apellidos y números de documentos nacionales de identidad, si no textos que hagan, incluso, referencia a terceras personas, situaciones e informaciones sobre empresas y organizaciones.

“Los métodos de recogida de los datos personales son cada vez más complicados y se detectan con más dificultad”, afirma el documento elaborado por la Comisión Europea, lo que da a entender que, actualmente, existe una gran actividad “oscura” de recopilación de datos, no informada ni al propio interesado ni a las autoridades. El documento europeo busca acabar con dicha actividad o, por lo menos, tener más y mejores armas contra aquellos quienes la practiquen.

Los servicios que emplean geoposicionamiento son también un fenómeno reciente que permite a las empresas conocer la situación del usuario y, por lo tanto, penetrar mucho más en su intimidad que solamente con el conocimiento de unos pocos datos. La propuesta de directiva europea también repara en dichos servicios.

Este documento será discutido, interpretado, reinterpretado y reconstruido para, finalmente, ser presentado al Parlamento Europeo para su discusión y aprobación. Es por ello que aún nos queda bastante hasta que el trabajo de la Comisión Europea se concrete en un marco legislativo, y más aún para que los diferentes estados que componen la Unión lo adapten a sus respectivas legislaciones. Estaremos hablando de unos ¿cuatro años, tal vez?

Como siempre, la presente iniciativa topará con el escollo de los servicios online cuyos servidores y sedes sociales se encuentren fuera de las fronteras de la Unión Europea.

Fuente: http://es.imatica.org/