¿Por qué hay que certificar la seguridad informática bajo la norma ISO 27001?

Al momento de explicar por qué certificar una norma internacional enfocada en la gestión de riesgos asociados a la seguridad de la información, como lo es la serie de normas ISO 27000 y en particular su capítulo certificable, es decir la norma ISO 27001, uno podría comenzar justificando su posición desde distintos ángulos.

Por ejemplo, analizando retornos de inversión en distintos escenarios de implementación, ventajas desde el punto de vista de costos, reconocimiento de la marca, aspectos regulatorios, relación entre la norma internacional y otras regulaciones locales, mostrar la sinergia entre distintos sistemas de gestión que probablemente ya se encuentren implementados o en camino de estarlo como ISO 9000, ISO 14000 o ISO 20000 entre otros.

Podríamos comenzar también por algo mucho más complejo: detallando cuáles son los riesgos que la norma ayudaría a mitigar, a partir de los cuales todos los demás aspectos se deducen de forma mucho más sencilla.

¿Pero por qué resultan tan difícil de describir los riesgos? Justamente porque no se quedan quietos, es decir, constantemente evolucionan.

Siempre están latentes, aunque no se dejan ver tan fácilmente.

De esta manera, si el día de hoy, como sugiere la norma, realizáramos una lista de activos, detalláramos todas las amenazas que los afectan, las vulnerabilidades asociadas a esas amenazas, y por último hiciéramos una valoración de los riesgos resultantes en función de su impacto y probabilidad de ocurrencia, podríamos asegurar que al otro día, esa valoración estaría desactualizada.

Y es por ese motivo que la norma comienza definiendo el sistema de gestión que servirá de base para administrar los riesgos, antes de comenzar a tocar siquiera cuestiones relacionadas a la seguridad: sistematizar el descubrimiento, tratamiento y mitigación de los riesgos, y sostener esas actividades en el tiempo, es condición necesaria para considerarse "mínimamente seguro", con todas las dificultades (y críticas justificadas) que expresarlo de esa manera podría acarrear.

Luego de haber implementado un sistema de gestión del riesgo, con todas las consideraciones mencionadas, incluyendo revisiones periódicas de un Comité de Seguridad que asigne recursos, verifique la implementación de los controles, propicie la mejora continua de los procesos, y ajuste políticas organizacionales que complementen las medidas de seguridad incorporándolas a un plan de capacitación y concientización para todos los actores que interactúan con la información de la compañía, tendremos apenas un vistazo a lo que significa contar con ISO 27001 en una organización.

Esta norma se relaciona con todas las áreas y procesos de la empresa, incluyendo Recursos Humanos, Tecnología y Legales, produciendo también uno de los cambios culturales (y políticos) más importantes de los últimos 10 años en las organizaciones en general, que es la separación de funciones entre las áreas de Tecnología y Seguridad, que debe reportar idealmente en forma directa al CEO y/o al Directorio.

Pero el objetivo de la nota no es hablar solamente de ISO 27001, sino también de por qué conviene certificar la implementación de la norma: ¿es que solamente con implementarla no basta?

Desde mi experiencia, la certificación agrega un componente fundamental, que son las auditorías externas: éstas son realizadas (idealmente) por auditores profesionales que día a día van ganando experiencia en auditar organizaciones en distintos mercados, países y tipos de negocio, aportando objetividad al sistema de gestión implementado a través de las observaciones y no conformidades que detectan.

En un sistema de gestión ISO, es deseable que aparezcan aspectos a mejorar, ya que de otra forma para qué desearía uno contar con un sistema basado en la mejora contínua, y cuando solamente se realizan auditorías internas, estamos perdiendo una oportunidad inmejorable para validar la efectividad de las gestión de riesgos.

Ahora sí podemos volver al inicio de la nota y listar todas las ventajas que con seguridad contaremos luego de obtener la certificación, siendo conscientes que detrás de un certificado, hay muchos más beneficios para la organización aunque a veces: "lo esencial es invisible a los ojos.

Fuente:http://tecnologia.iprofesional.com/

Spam ruso. De las novias por correo a las estufas de leña

Cuando hablamos de correo no deseado, a lo largo de los años se han ido creando tendencias o modas recurrentes, tales como la venta de viagra o medicamentos a una fracción de su precio, replicas de artículos de lujo, ofertas de empleo o, en el caso del spam que proviene de países de Europa del este (especialmente Rusia), proposiciones para establecer relaciones sentimentales por parte de señoritas supuestamente en busca de una pareja. Hasta hace pocos meses era frecuente ver como nuestra bandeja de entrada se llenaba de proposiciones de relaciones por parte de bellas jóvenes. Asimismo, era frecuente encontrarnos con una foto adjunta al mensaje que mostraba a la señorita que buscaba su media naranja fuera de su tierra natal.

No obstante, estos últimos días hemos recibido en nuestro laboratorio un nuevo tipo de correo no deseado desde Rusia que apela a nuestra caridad. Veamos un ejemplo:






Como vemos, el engaño clásico que consistía en entablar una relación a distancia con una joven rusa y, seguidamente, enviarle dinero para que pudiese salir de su país (cosa que nunca se producía) se ha visto sustituido por una historia bastante más dramática. Esto puede ser debido a la disminución del éxito del engaño anterior o a una prueba en el cambio de estrategia. En el mensaje se observan detalles, como la inclusión de una nota que explica el lenguaje usado, el no indicar de que localidad es la afectada, la mención de sucesos recientes como los incendios acontecidos en Rusia este verano y, por último, se juega con el temor al inminente invierno y las gélidas temperaturas que acarrea en esas latitudes.

Asimismo, la cantidad solicitada se especifica desde el principio y esta es menor que las solicitadas con los engaños anteriores. Es posible que este tipo de spam sea una prueba estacional, buscando depurar las técnicas usadas en este tipo de engaños, y que los ciberdelincuentes estén lanzando estos correos a modo de sonda, para ver si los beneficios son mayores que usando el método anterior.

De cualquier forma, desde el laboratorio de ESET en Ontinet.com aconsejamos a nuestros lectores que no caigan estos engaños ya que solo buscan apelar a nuestros sentimientos para hacernos caer en la trampa y estafarnos.


Fuente:http://blogs.protegerse.com/laboratorio/

Europa quiere proteger a los usuarios de Internet

La irrupción de las redes sociales online en el panorama tecnológico y social ha motivado grandes polémicas respecto a la privacidad de sus usuarios, además de establecer un nuevo panorama ante el que, muchas veces, las legislaciones nacionales e internacionales no han estado a la altura de su evolución en todos los momentos.

El proceso que se encuentra cerca de culminar, empezó en 2002 y terminará con la reescritura de la directiva europea de protección de datos, marco que cada país adapta en su propia legislación dando lugar, por ejemplo y entre otras, a la LOPD (Ley Oficial de Protección de Datos) española.

En un documento de unas 20 páginas que puede consultarse en el sitio web de la Unión Europea (http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_es.pdf), se resumen los principales retos que afronta la protección de datos actualmente y que no se daban en la anterior redacción de la ley marco europea (que data de 1995). Principalmente, estos consisten en las redes sociales, la publicidad online y el cloud computing.

En el documento, titulado Un enfoque global de la protección de los datos personales en la Unión Europea, se indica la forma en que se propone que los servicios online avisen de la recolección y tratamiento de la información a los internautas, así como las obligaciones que tendrán en cuanto al tratamiento y la seguridad de los datos y las condiciones de baja de un usuario.

En el caso de sufrir una filtración que lleve a hacer públicos datos personales de los usuarios del servicio o que estos caigan en manos de terceras partes, la propuesta de nueva legislación obliga a la empresa a dar a conocer públicamente el incidente.

El creciente uso de los servicios online de todo tipo, lo que se ha dado en llamar computación en nube o cloud computing, también ha provocado un fuerte cambio en el panorama de la privacidad de los datos de los internautas, puesto que ahora servicios como Google Docs o similares, pueden contener no solamente datos como nombres, apellidos y números de documentos nacionales de identidad, si no textos que hagan, incluso, referencia a terceras personas, situaciones e informaciones sobre empresas y organizaciones.

“Los métodos de recogida de los datos personales son cada vez más complicados y se detectan con más dificultad”, afirma el documento elaborado por la Comisión Europea, lo que da a entender que, actualmente, existe una gran actividad “oscura” de recopilación de datos, no informada ni al propio interesado ni a las autoridades. El documento europeo busca acabar con dicha actividad o, por lo menos, tener más y mejores armas contra aquellos quienes la practiquen.

Los servicios que emplean geoposicionamiento son también un fenómeno reciente que permite a las empresas conocer la situación del usuario y, por lo tanto, penetrar mucho más en su intimidad que solamente con el conocimiento de unos pocos datos. La propuesta de directiva europea también repara en dichos servicios.

Este documento será discutido, interpretado, reinterpretado y reconstruido para, finalmente, ser presentado al Parlamento Europeo para su discusión y aprobación. Es por ello que aún nos queda bastante hasta que el trabajo de la Comisión Europea se concrete en un marco legislativo, y más aún para que los diferentes estados que componen la Unión lo adapten a sus respectivas legislaciones. Estaremos hablando de unos ¿cuatro años, tal vez?

Como siempre, la presente iniciativa topará con el escollo de los servicios online cuyos servidores y sedes sociales se encuentren fuera de las fronteras de la Unión Europea.

Fuente: http://es.imatica.org/

Facebook revela ventas de datos de usuarios y bloquea aplicaciones

Algunos desarrolladores sobre la plataforma de Facebook han estado vendiendo Facebook UIDs o identificadores de usuario, lo que permitía personalizar la publicidad que se servía a los usuarios de los cuales se tuviera el UID. Según parece, Facebook descubrió esto mientras investigaba un bug de algunos navegadores.

Lo sorprendente es que la reacción de Facebook ante esto ha sido la de "bloquear 6 meses los servicios de Facebook" a los que trapichearon con información de los usuarios (cosa que por otra parte que podría ser delito). En la el comunicado de Facebook se dice que no se filtraron datos privados de usuarios por este mecanismo. ¿Será verdad esto? Sea como sea, es evidente el peligro de confiar la información privada a terceros cuya intención primaria no es salvaguardarla.

Pero Facebook quiere tener seguridad de que no pueden compartirlas con empresas publicitarias, por eso ha desarrollado una funcionalidad, que estará disponible la próxima semana, que evita acceder a datos personales a través de la ID. Facebook urge a todos los desarrolladores a pasarse a él antes de primero de año.

Facebook va a iniciar durante este tiempo de bloqueo una investigación y solicitará a estos desarrolladores que les faciliten sus prácticas de tratamiento de datos para realizar una auditoría que confirme que cumplen de nuevo con sus políticas de privacidad.

La red social que este bloqueo va a afectar a una docena de aplicaciones nada más, y que ninguna de ellas están en el top 10 de las más utilizadas. Desmiente así el rumor de que juegos tan populares como FarmVille esté implicado, aunque no da los nombres de las aplicaciones a las que se les va a impedir el acceso.



Leer más: Noticias de Seguridad Informática - Segu-Info http://blog.segu-info.com.ar/#ixzz14Dha2E00

Cursos online SGS Deusto muy interesantes

La Cátedra SGS Deusto a través de su plataforma online, ofrece unos cursos sobre:
1) Gestión de la calidad en las organizaciones (ISO 9001): http://www.setival.com/mailing/Ficha_Curso_Gestion_de_la_Calidad_Rev_MKT.pdf
2)Una visión práctica de la LOPD y el RD 1720/2007:
http://www.setival.com/mailing/Ficha_Curso_LOPD_Rev_MKT.pdf
3)Sistemas de Gestión de la Seguridad de la Información ISO 27001 y LOPD:
http://www.setival.com/mailing/Ficha_Curso_SGSI_y_LOPD_Rev_MKT.pdf
4)Hacking ético:
http://www.setival.com/mailing/Ficha_Curso_Hacking_Etico_Rev_MKT.pdf

Animaros y echarles un vistazo,no os arrepentireis!

El nuevo curso de HACKING ETICO de SGs y DEUSTO proporciona una visión técnica de la seguridad de la información, utilizando técnicas usuales como la recopilación de información y detección de la vulnerabilidad, tanto dentro como fuera de una red empresarial, así, la prevención se convierte en una herramienta eficaz para fortalecer la seguridad de la información en las empresas.
En la ultima Jornada de Seguridad al cuadrado el responsable de seguridad de telefónica menciono que esta comprobado que el 3% de la población tiene problemas sociales, cuantas de estos estaran trabjando en tu empresa?

Ley Organica de protección de Datos

La información se ha convertido en uno de los activos mas críticos de las empresas. Dentro de la información de naturaleza confidencial encontramos una especialmente sensible, los datos de carácter personal; así, todos los tratamientos de datos personales realizados por parte de las empresas deben acogerse a una serie de medidas de seguridad, establecidas tanto por la Ley Orgánica de Protección de Datos como por su Reglamento de desarrollo.

Asimismo, hay datos especialmente sensibles, como por ejemplo los datos de menores que requieren de un tratamiento complejo y el consentimiento paterno, o como los datos relativos a la salud de las personas, los cuales son clasificados de nivel alto . En este sentido, la casuística en la que se pueden encontrar las organizaciones sería muy prolija de enumerar.

Es necesario reflexionar sobre los datos que maneja nuestra empresa, así como el flujo de entrada-salida de los mismos para poder aplicar las medidas legales, técnicas y organizativas para protegerlos y, de esta manera, salvaguardar a la propia compañía de situaciones que pueden acarrear un incumplimiento de la ley, minimizando las mismas. En caso de incumplimiento y en función de la clasificación de los datos tratados puede acarrear a la empresa sanciones acumulativas que individualmente pueden alcanzar 600.000 Euros.

Por otro lado, a menudo se omite la formación a empleados en materia de seguridad, siendo esta cuestión uno de los principales de focos de incumplimiento de la normativa vigente. Para paliar esta situación, el nuevo Reglamento de Desarrollo de la LOPD especifica lo siguiente, según reza el siguiente artículo del mismo: Art. 89.2 “el responsable del fichero o tratamiento adoptará las medidas para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”.


http://www.setival.com/mailing/Ficha_Curso_LOPD_Rev_MKT.pdf