domingo, 23 de octubre de 2016

¿Qué es un SGSI?

SGSI es la sigla utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés a Information Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Para garantizar que el Sistema de Gestión de Seguridad de la Información sea gestionado de forma correcta se debe identificar el ciclo de vida y los aspectos relevantes adoptados para garantizar su funcionalidad, estos son:

CONFIDENCIALIDAD: la información no se pone a disposición de nadie, ni se revela a individuos o entidades no autorizados.

INTEGRIDAD: mantener de forma completa y exacta la información y los métodos de proceso.

DISPONIBILIDAD: acceder y utilizar la información y los sistemas de tratamiento de la misma parte de los individuos, entidades o proceso autorizados cuando lo requieran.




BENEFICIOS


·         Establecer una metodología de Gestión de la Seguridad estructurada y clara.
·         Reducir el riesgo de pérdida, robo o corrupción de la información sensible.
·         Los clientes tienen acceso a la información mediante medidas de seguridad.
·         Los riesgos y los controles son continuamente revisados.
·         Se garantiza la confianza de los clientes y los socios de la organización.
·         Las auditorias externas ayudan de forma cíclica a identificar las debilidades del SGSI y las áreas que se deben mejorar.
·         Facilita la integración con otros sistemas de gestión.
·         Se garantiza la continuidad de negocio tras un incidente grave.
·         Cumple con la legislación vigente sobre información personal, propiedad intelectual y otras.
·         La imagen de la organización a nivel internacional mejora.
·         Aumenta la confianza y las reglas claras para las personas de la empresa.
·         Reduce los costes y la mejora de los procesos y el servicio.
·         Se incrementa la motivación y la satisfacción del personal.
·     Aumenta la seguridad en base la gestión de procesos en lugar de una compra sistemática de productos y tecnologías. 


La nueva versión de ISO/IEC 27001:2013 se adapta con una serie de lineamientos que sirven para el desarrollo de un sistema de gestión de la seguridad de la información, que sin importar el tipo de empresa, se pueda alinear con otros sistemas de gestión en la empresa. Esta nueva estructura propuesta, alineada con el ciclo de la Mejora Continua tiene la siguiente estructura:



En los primeros tres capítulos de este nuevo estándar, ya no aparece la sección “Enfoque del proceso” que contenía la versión anterior y que describía el ciclo PHVA. Además se define el alcance que tiene la normativa para poder certificar, centrándose en los requisitos cubiertos en los capítulos 4 a 10, y si bien ISO-27002 deja de ser una referencia normativa aún es necesaria para implementar este estándar.


En el capítulo 4 Contexto de la organización se resalta la necesidad de hacer un análisis para identificar los problemas externos e internos que rodean a la organización. De esta forma se puede establecer el contexto del SGSI incluyendo las partes interesadas y que deben estar en el alcance del SGSI. En el capítulo 5 Liderazgo, se definen las responsabilidades de la Alta Dirección respecto al SGSI, principalmente en aquellas que demuestren su compromiso, como la definición de la política de seguridad de la información alineada a los objetivos del negocio y la asignación de los  recursos necesarios para la implementación del sistema.

Dentro del capítulo 6 Planeación, se prioriza la definición de objetivos de seguridad claros que permita relacionar planes específicos asociados a su cumplimiento. Dentro de la evaluación de riesgos el enfoque se orienta hacia la identificación de aquellos riesgos que puedan afectar la confidencialidad, integridad y disponibilidad de la información, donde el nivel de riesgo aceptable se debe definir en función de la probabilidad de ocurrencia del riesgo y las consecuencias generadas en caso de que este llegara a materializarse (impacto). Y en el capítulo 7 Soporte se relacionan los requerimientos para implementar el SGSI incluyendo recursos, personas y el elemento de comunicación para las partes interesadas en el sistema. 

Dentro de los capítulos 4 al 7 se enmarca la etapa de Planeación del sistema. El capítulo 8 Operación, se asocia a la etapa Hacer del ciclo de mejora continua y se establecen los  mecanismos para planear y controlar las operaciones y requerimientos de seguridad, siendo el las evaluaciones de riesgos periódicas el enfoque central para la gestión del sistema. En cuanto a los activos de información, las vulnerabilidades y las amenazas se utilizan para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad. 

El capítulo 9 Evaluación del desempeño se definen las bases para medir la efectividad y desempeño del sistema de gestión a través de las auditorías internas y otras revisiones del SGSI, que plantean planes de acción que permitan atender y solucionar las no-conformidades. Finalmente, el capítulo 10 Mejora propone a partir de las no-conformidades identificadas establecer las acciones correctivas más efectivas para solucionarlas y teniendo el control de que no se repitan. Si bien estas actualizaciones de estándares no incorporan cambios radicales en la forma que se gestiona la seguridad la información, sí se involucran nuevos conceptos y enfoques que mejoran y facilitan la implementación, además de adaptarse a la evolución de la tecnología y permitir enfocar los esfuerzos en lograr la actualización exitosa.


CÓMO CERTIFICARSE CON ISO 27001: PASOS Y RECOMENDACIONES


Aplicar la norma ISO 27001 depende del tipo de organización. Algunas, por ejemplo, lo hacen para salvaguardar datos o informaciones relativas a su desempeño, sus labores, sus estados financieros y otros elementos internos. Otras, sin embargo, requieren de este tipo de acciones para garantizar el buen uso de informaciones relativas a sus clientes, que son el principal activo de su desempeño. Las empresas de telefonía móvil o aquellas que supongan la recolección de datos personales escenifican muy bien este segundo grupo. ISO 27001 es un estándar que puede aplicarse a cualquier empresa. Veamos cuáles son los pasos esenciales en dicho proceso de certificación:

ETAPA PREVIA:

En esta fase del proceso, la empresa debe implementar 14 pasos básicos que describe la norma ISO 27001 para poder iniciar el proceso como tal:

§  Obtener el apoyo de la dirección en todo el proceso implementación.

§  Utilizar una metodología de gestión de proyectos.

§  Definir el alcance del Sistema de Seguridad.

§  Redactar una política específica.

§  Definir una metodología de evaluación de riesgos.

§  Redactar el Plan de Tratamiento de Riesgos.

§  Definir la forma en que se medirán los avances.

§  Implementación de controles.

§  Capacitar y formar a los equipos de trabajo.

§  Realizar las operaciones diarias descritas en la norma.

§  Monitoriar las acciones.

§  Realizar una auditoría con personal que pertenezca a la empresa.

§  Efectuar una revisión por parte de la dirección.

§  Implementar las medidas correctivas pertinentes.



AUDITORÍA DE REVISIÓN:
Tan pronto se solicite a ISO la voluntad de certificarse, un grupo de profesionales externos a la propia organización revisará la documentación requerida en la norma.

AUDITORÍA PRINCIPAL:
Una vez se ha verificado que la organización cuenta con la documentación requerida, el grupo de auditores hará una visita a la empresa para confirmar que ésta cumple con los indicadores mínimos establecidos en la norma ISO 27001. Si no es así, se le dará un plazo para aplicar los correctivos necesarios y volver a presentarse ante los auditores. Pero si la respuesta es positiva, la empresa quedará certificada.

REVISIONES PERIÓDICAS:
Luego de que se ha emitido el certificado, la certificadora realizará durante los siguientes tres años una serie de auditorías periódicas para monitoriar los esfuerzos de la organización en materia de Seguridad de la Información. La idea es que los controles se mantengan y no se minimicen los esfuerzos durante ese período.

Link de la norma para consulta ISO/IEC 27001:2013

            Vídeo Norma  resumido 










Publicado por en No hay comentarios:

sábado, 26 de diciembre de 2015

LA VERDAD SOBRE LAS PLATAFORMAS TIPO CHAT


Hoy les comparto un cuadro resumene sobre la seguidad en plataformas tipo chat, espero puedan analizarla y que les oriente.





Como se puede apreciar solo hay dos plataformas que cumplen con los requisitos de seguridad. Los teléfonos inteligentes NO son 100% seguros, y debemos procurar que estos útiles equipos cuenten con aplicaciones que los hagan más seguros, por ejemplo antivirus. Un sistema que al parecer seguro es SOMA Chat, desarrollado por un colombiano, entra con fuerza a competir con otras plataformas. Adjunto link de descarga.

 




Soma Messenger
Publicado por en No hay comentarios:

martes, 13 de octubre de 2015

COMO CONFIGURAR UN FIREWALL

COMO CONFIGURAR UN FIREWALL


Antes de revisar los tips de configuración, es importante aclarar que es un NGF y que es un UTM.La verdad es que hacer este análisis en 2015 es como analizar a la rubia contra la morena, hoy en día los equipos tienen las mismas funcionalidades, solo los diferencia sus capacidades y el nicho de mercado en el que se quieren enfocar, uno al top del sector corporativo y gobierno y otros al sector Pyme. En la página www.firewalls.com allí se puede encontrar información valiosa sobre modelos y marcas, no están todas, si las que le apuntan al sector Pyme que es muy dinámico.

TIPS PARA CONFIGURAR UN FIREWALL


Para poder configurar de manera adecuada un Firewall hay un mínimo de información que se requiere, con estos datos se puede hacer una aproximación estos son:

  • Tamaño de la conexión de internet en Mbps

  • Si hay sitio alterno se debe considerar también en Mbps; este requerimiento exige un Firewall más robusto. 

  • .    Luego hay que validar el THROUGHPUT (el ancho de banda es la capacidad teórica disponible de un enlace, 1984Kbps en el ejemplo, pero puedo ver que el archivo baja a una velocidad real de 74.3KB/sec, lo convertimos a Kbps: 74.3x8 = 594.4Kbps Es importante notar que usamos bits (b) por segundo, y los archivos se miden en bytes (B); para hacer la conversión dividimos los bits por segundo entre 8:2048Kbps/8 = 256 KB/sec. Aquí podemos ver el THROUGHPUT, si bien mi ancho de banda es de 1984Kbps, mi THROUGHPUT es de 594Kbps, es el nivel de utilización real del enlace, o técnicamente es la capacidad de información que un elemento de red puede mover en un periodo de tiempo) **http://www.ipref.info/2009/11/ancho-de-banda-y-throughput.html

  • .    Luego se debe considerar la cantidad se usuarios, aquí se tienen en cuenta los existentes y los que se pueden adicionar. Los equipos de alta gama vienen con garantía de 3 años que se puede extender a máximo 5 años, por eso es vital hacer bien este cálculo para no sobre dimensionar la máquina.


  • .     Ahora se debe analizar el tipo de servicios que se requieren:

  • IPS – Sistema de prevención de intrusos. Es un sistema preventivo contra los ataques maliciosos. Este sistema funciona con detecciones basadas en FIRMAS, como lo hace un anti virus. Lo puede hacer también basándose en POLÍTICAS que deben ser bien definidas. La detección basada en ANOMALÍAS que obra de acuerdo a un patrón de comportamiento normal de tráfico; cuando el tráfico excede el normal, que es definido por el Administrador, el sistema enviara la alerta. La detección HONEY POT funciona usando un equipo que se configura para que llame la atención de los hackers, de forma que estos ataquen el equipo y dejen evidencia de sus formas de acción, con lo cual posteriormente se pueden implementar políticas de seguridad.
  • APPLICATION CONTROL. Es una herramienta que permite administración de manera fácil los privilegios y ancho de banda de las aplicaciones, así como los usuarios, grupos o equipos. Entrega información al Administrador sobre amenazas e interrupciones en el servicio. 
  • URL FILTERING. Protege a la red de acceso a páginas peligrosas y además, hace gestión sobre las páginas visitadas buscando el mejor rendimiento con mínima latencia.
  • IPSEC VPN (se debe calcular la cantidad de usuarios remotos) IPsec es un protocolo que está sobre la capa del protocolo de Internet (IP) que permite la comunicación segura entre equipos. IPsec puede utilizarse para cifrar directamente el tráfico entre dos equipos (conocido como modo de transporte) o para construir “túneles virtuales” entre dos subredes, que pueden usarse para comunicación segura entre dos redes corporativas (conocido como modo de túnel). Este último es muy conocido como una red  privada virtual (Virtual Private Network, o VPN). Este servicio es vital y hay que recordar que el diseño de este servicio de hacer solo con los usuarios concurrentes, esto para reducir los costos.
  • DLP  (Data loss Prevention) es un conjunto de tecnologías destinadas a frenar la pérdida de información confidencial que se produce en las empresas. Al centrarse en la localización, clasificación y seguimiento de la información en reposo, archivada o en uso; esta solución puede ayudar mucho a una empresa clarificar  qué tipo de información que tiene, y en la detención de las numerosas filtraciones de información que se producen cada día. DLP no es una solución plug-and-play. Esta importante funcionalidad que no entrega el Firewall no reemplaza una suit robusta como la premiada de McAfee, recuerde que hay 2 versiones de end point y de Host
  • ANTI VIRUS PERIMETRAL. El perímetro es la zona límite de nuestra red con la internet o las redes desconocidas. Allí el administrador coloca la primera línea de defensa en coordinación con los esquemas de seguridad al interior de la red. Antivirus perimetral para protocolos http, https, ftp, smtp, es complemento de la solución de antibot ya que previene posibles infecciones de sitios web con contenido malicioso. Contar con esta seguridad es vital para proteger a la red de los ataques de virus y spam en las primeras horas. 
  • ANTI BOT Detecta equipos infectados con bots (malware utilizado para poder tomar el control de una computadora, generalmente es utilizado para robo de información o ataques tipo ddos) y bloquea su comunicación con el centro de administración. 
  • ANTI SPAM Previene el envío y recepción de correo electrónico no deseado en base a reputación de ip, senders, imágenes o palabras comunes en correos de este tipo






Leer más »
Publicado por en No hay comentarios:

lunes, 8 de junio de 2015

ARQUITECTURA DE SEGURIDAD




Se pretende entregar un resumen guia sobre este importante tema, al final del resumen dejare los links donde pueden ampliar la información para el desarrollo de su proyecto.



1.    ¿QUES ES LA ARQUITECTURA DE SEGURIDAD?

a.    Se define como un grupo de acciones y/o controles sobre la infraestructura de IT que buscan entregar un ambiente que minimice los riesgos de la utilización de la tecnología de información  y sus recursos que apoyan la estrategia del negocio.


2.    MODELO DE ARQUITECTURA DE SEGURIDAD

                        a.    El modelo tiene varios ítems /pasos que se pueden resumir en:

                              ·   Definición del esquena y/o forma de autenticación

                              ·   Características de la seguridad perimetral

                              ·   Definición de conectividad segura

                              ·   Definición del esquema de monitoreo

                              ·   Definición de administración centralizada

3.    METODOLOGIA

a.    Los marcos normativos de la ISO 27001 y 27002 definen el alcance metodológico que apoya la Arquitectura de Seguridad.
                        b.    Los pasos a seguir de manera general son:

      • Levantamiento de la Informacion sobre la infraestructura
      • Análisis de los hayazgos 
      • Descripción de la situación actual
      • Mejorar la arquitectura
      • Generar la arquitectura de seguridad
      • Producción 



4. LINKS DE UTILIDAD

  ISO 27000

             cybermap.kaspersky







Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)