martes, 10 de mayo de 2011

Seguridad informática en la empresa

 
El siguiente diagrama ilustra una idea de cómo debería estar organizada el área de seguridad informática en la empresa.


A continuación explicaremos las áreas con mayor relevancia en la organización.
Líder de área se conoce también como CISO (Chief Information Security Officer – Oficial de Seguridad informática). Entre sus responsabilidades se encuentran:
* Administración del presupuesto de seguridad informática
* Administración del personal
* Definición de la estrategia de seguridad informática (hacia dónde hay que ir y qué hay que hacer) y objetivos
* Administración de proyectos
* Detección de necesidades y vulnerabilidades de seguridad desde el punto de vista del negocio y su solución

La normatividad es el área responsable de la documentación de políticas, procedimientos y estándares de seguridad así como del cumplimiento con estándares internacionales y regulaciones que apliquen a la organización. Dado que debe interactuar de forma directa con otras áreas de seguridad y garantizar cumplimiento, es conveniente que no quede al mismo nivel que el resto de las áreas pero todas reportan al CISO.
Desarrollo responsable del diseño, desarrollo y adecuación de controles de seguridad informática. Entre sus responsabilidades se encuentran:
* Diseño y programación de controles de seguridad (control de acceso, funciones criptográficas, filtros, bitácoras de seguridad de aplicativos, etc.)
* Preparación de librerías con funciones de seguridad para su uso por parte del área.



http://seguinfo.wordpress.com/2007/10/18/la-funcion-de-seguridad-informatica-en-la-empresa/

sábado, 30 de abril de 2011

GRC Solución para Gobierno, gestión de riesgos y conformidad normativa.

Las soluciones de Informática para el gobierno, la gestión de riesgos y el cumplimiento de normativas (GRC) permiten que la organización de TI ayude al negocio a mejorar la visibilidad y transparencia de las actividades de gobierno, gestión de riesgos y cumplimiento de normativas, reduciendo los riesgos de la organización ya que puede contar con datos seguros, oportunos y fiables.

La información corporativa que está sujeta a políticas de gobierno, gestión de riesgos y conformidad normativa y que reside en bases de datos de aplicaciones y datawarehouses, requieren que dichas políticas tengan un procedimiento de conservación legal y eliminación de todos los datos, incluidos los de aplicaciones heredadas, al tiempo que se mantiene el contexto de la aplicación, todo esto teniendo en cuenta la protección de la información.Las mejores prácticas de gestión del ciclo de vida de la información (ILM) ofrecen un marco para abordar los desafíos de gobierno, gestión de riesgos y cumplimiento de normativas (GRC) al manejar contenidos estructurados.

Las soluciones ILM para GRC de Informática están especialmente diseñadas para cumplir estos requisitos, y además proporcionan un mayor ahorro de costes y una reducción de riesgos.

Beneficios de esta solución:

• Identificar con precisión los problemas relacionados con la calidad de datos antes de que afecten a las actividades de gobierno, gestión de riesgos y cumplimiento de normativas (GRC)
• Establecer procesos a escala empresarial que eviten la propagación de los problemas relacionados con la calidad de datos
• Basar las decisiones en datos fiables y de alta calidad
• Obtener una única versión de la realidad de sus datos
• Obtener una visión integral del negocio
• Mantener un acceso continuo a datos archivados
• Reducir la exposición a los riesgos
• Aumentar la confianza en las decisiones

jueves, 28 de abril de 2011

Etapas en el desarrollo de una politica

En la última publicación hablamos sobre lo que se debe tener en cuenta al momento de crear una política de seguridad, pero ¿Por qué es importante tener una política por escrito? Bueno pues unas de las razones es que permite unificar la forma de trabajo de personas en las diferentes áreas, asignando responsabilidades y permite recoger comentarios para atender situaciones anormales, por estas y más razones es esencial dejar un registro escrito de las políticas, para esto se deben seguir unas etapas para su desarrollo.




Fase de desarrollo: durante esta fase la política es creada, revisada y aprobada.
Fase de implementación: en esta fase la política es comunicada y acatada.
Fase de mantenimiento: los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se debe actualizar.
Fase de eliminación: la política se retira si deja de ser útil para la organización.

lunes, 11 de abril de 2011

Politicas de seguridad

El objetivo de implantar políticas informáticas en la organización es proporcionarle directrices para el soporte y orientación en el proceso de seguridad de la empresa, es decir deben expresar el enfoque de la organización para manejar y controlar la seguridad de la información existente.

Al momento de crear una política de seguridad se debe tener en cuenta:

• Reglas, normas procedimientos que describan la forma en que la organización previene, protege y maneja los riesgos teniendo en cuenta:
o La infraestructura.
o Software y la información que almacenan.
o Usuarios del sistema.

• Planes para satisfacer las expectativas de disponibilidad de los recursos del sistema.
• Directrices para adquirir tecnología de seguridad con las características deseadas.
• Sanciones para quienes infrinjan la política.
• Nombre y cargo del que la aprueba y del que la propone.
• Quien debe acatar la política, es decir a quien esta dirigida.
• Indicadores para determinar si se esta cumpliendo.
• Describir pasos para solicitar cambios en la política.
• Información suficiente de las personas que se pueden contactar en caso de preguntas.


Políticas de seguridad, ultima consulta 11 de abril del 2011, disponible en: http://eslared.org.ve/walc2004/apc-aa/archivos-aa/1e60354f4717edb9fb793dbc5219499d/politica2004.pdf

Guía para la elaboración de políticas de seguridad, ultima consulta 11 de abril del 2011, disponible en: http://www.uniquindio.edu.co/uniquindio/meci/informacion/guia_para_elaborar_politicas_v1_0.pdf

domingo, 3 de abril de 2011

Ley para delitos Informáticos en Colombia



La Ley 1273 de 2009 denominada “De la Protección de la información y de los datos” contiene tipos penales relacionados con delitos informáticos y la protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales vigentes. Esta ley tipifica como delitos conductas relacionadas con el manejo de datos personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evitar incurrir en alguno de estos tipos penales.
No olvidemos que los avances tecnológicos y el empleo de los mismos para apropiarse ilícitamente del patrimonio de terceros a través de clonación de tarjetas bancarias, vulneración y alteración de los sistemas de cómputo para recibir servicios y transferencias electrónicas de fondos mediante manipulación de programas y afectación de los cajeros automáticos, entre otras, son conductas cada vez más usuales en todas partes del mundo. por ello es importante tener una buena gestión de todo tipo de riesgos que  pueda afectar nuestra integridad, en Colombia ha aumentado el tráfico de bases de datos y en el mercado negro se puede conseguir, por ejemplo, información sobre los ciudadanos como todo un directorio telefónico o datos sobre las personas.
De ahí la importancia de esta ley divida en dos capítulos: “De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos” y de los sistemas informáticos” y “De los atentados informáticos y otras infracciones”.
En esta ley de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos podemos encontrar los siguientes:
  • Acceso abusivo a un sistema informático.
  • Obstaculización ilegítima de sistema informático o red de telecomunicación.
  • Interceptación de datos informáticos.
  • Daño Informático.
  • Uso de software malicioso.
  • Violación de datos personales.
  • Suplantación de sitios web para capturar datos personales.
Y en el capítulo  de los atentados informáticos y otras infracciones podemos encontrar:
  • Hurto por medios informáticos y semejantes.
  • Transferencia no consentida de activos.
En cada una de ellas podemos encontrar la penalización por incurrir en alguno de ellos.

lunes, 28 de marzo de 2011

Auditoria Informática


Una auditoria informática consiste en recoger, clasificar y evaluar evidencias para determinar si un sistema esta en la capacidad de guardar los activos de la compañía de manera segura (mantener la integridad de los datos, utilización eficiente de los recursos y cumplimiento de las regulaciones establecidas).
La auditoria responde a la pregunta ¿qué información es crítica para el cumplimiento de su misión y objetivos? Esto se logra  identificando necesidades, duplicidades, costos, valor y barreras, que obstaculizan flujos de información eficientes.


Los objetivos de la auditoría Informatica son:
  • El control de la función informática
  • El análisis de la eficiencia de los sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos.

Las pruebas que se realizan por parte del auditor son de dos tipos:
  • Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
  • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

lunes, 21 de marzo de 2011

ISO / IEC 31010

ISO / IEC 31010 fue publicada en el año 2009, esta norma trata de las técnicas de evaluación de riesgos ampliando lo que se había publicado en la norma ISO 31000 siendo esta la familia de normas relativas a las Gestión de riesgos.

La norma ISO 31000 incluye:
  • ISO 31000: Principios y directrices para la implantación.
  • ISO/IEC 31010: Gestión de riesgos –Técnicas y evaluación de riesgos.
  • ISO/IEC 73: Gestión de riesgos – Vocabulario.
Esta semana vamos a hablar de ISO/IEC 31010, esta norma en general habla sobre la evaluación de riesgos y tiene como finalidad que las organizaciones comprendan los riesgos que podrían afectar el logro de los objetivos y la adecuación y eficacia de los controles ya existentes, proporcionando una base para el tratamiento de los riesgos y saber seleccionar las mejores decisiones a través de las buenas prácticas que ofrece.
Esta norma contiene las respuestas a las siguientes preguntas:
  • ¿Qué puede suceder y por qué?
  • ¿Cuáles son las consecuencias?
  • ¿Cuál es la probabilidad de que ocurran en el futuro?
  • ¿Hay factores que mitigan las consecuencias del riesgo o que reducen la probabilidad del riesgo?
La evaluación de riesgos no es una actividad independiente y debería integrarse en los otros componentes en el proceso de gestión de riesgos, afirma la ISO, esta norma puede ayudar en la organización en los siguientes enfoques:
  • Conceptos de evaluación de riesgos.
  • Proceso de evaluación de riesgos.
  • Selección de las técnicas de evaluación de riesgos .
Esta norma no se ocupa específicamente de la seguridad, es un estándar de gestión de riesgos genéricos y cualquier referencia a la seguridad es de carácter informativo.