/*codigo slider*\

jueves, 27 de septiembre de 2012

AENOR - Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

AENOR - Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes


Cómo preservar la confidencialidad, integridad y disponibilidad de la información a través de un sistema de gestión de la seguridad de la 
información 

Comprender la norma UNE-ISO/IEC 27001: 
Esta publicación facilita la comprensión de todos los conceptos desarrollados en la norma UNE-ISO/IEC 27001:2007, con el fin de que las pymes puedan cumplir sus requisitos y, por tanto, controlar sus sistemas de información. 

Un SGSI orientado a la pyme: 
Con esta guía, cualquier pyme podrá diseñar un SGSI que se adapte a la realidad de su empresa e introducir medidas de seguridad mínimas e imprescindibles para proteger la información generada, con el menor número de recursos posibles y cambios organizativos. 

Incluye, además, un ejemplo práctico con la información básica que debe incluir un SGSI e indicaciones sobre la información que debe recoger cada documento. 

Ampliada con el Esquema Nacional de Seguridad: 
Esta edición ha sido ampliada para tratar también los requisitos del Esquema Nacional de Seguridad, reglamento de obligado cumplimiento para las Administraciones Públicas. 

Incluye el texto completo de la norma UNE-ISO/IEC 27001
Documentos

lunes, 24 de septiembre de 2012

¿Qué se debe tener en cuenta en la política de seguridad de la información? | Blog de Laboratorio de ESET

¿Qué se debe tener en cuenta en la política de seguridad de la información? | Blog de Laboratorio de ESET:


Hace unos días publicamos un post con algunas características que deberían tenerse en cuenta al momento de implementar modelos para gestionar la seguridad de la información. El modelo presentado estaba desarrollado teniendo en cuenta tres áreas fundamentales: loslineamientos de seguridad, la gestión de la seguridad y los grupos de interés, los cuales permiten alinear la gestión de la seguridad de la información  con los objetivos del negocio.
Como parte de los lineamientos, la política de seguridad debe convertirse en el punto de articulación del negocio con los intereses de la seguridad de la información, para lo cual debe convertirse en un documento donde se contemplen los diferentes niveles de detalle que requieren ser gestionados. Algunos de los aspectos que cómo mínimo deberían tenerse en cuenta en este documento son la clasificación de la información y los lineamientos de seguridad relacionados con los objetivos del negocio.
La clasificación de la información debe ser el punto de partida para que la empresa priorice y enfoque sus esfuerzos en la gestión de la seguridad. Aunque la clasificación depende de la naturaleza del negocio, en general, debería incluir por lo menos tres niveles: información pública que incluye todos los datos de dominio público y cuyas características principales deben ser la precisión y la disponibilidad, ya que es información a la que pueden acceder sus clientes y proveedores. En el siguiente nivel está la información de uso interno, que comprende toda la información que se intercambia al interior de la empresa entre los empleados y que se convierte en la columna vertebral de las operaciones del negocio y por lo tanto las características que le aplican son la disponibilidad y la integridad. Finalmente en el último nivel está la información de acceso restringido, la cual está muy relacionada con el tipo de negocio que pueden incluir, por ejemplo los planes de negocio, información de nuevos productos, resultados de investigaciones o nuevas estrategias de mercado. La principal característica de este tipo de información es su confidencialidad.
Todas las políticas de seguridad que apunten a garantizar la seguridad informática deben estar alineadas con los objetivos de negocio. Esto se logra a través del establecimiento deobjetivos de seguridad, que no son más que la manifestación de las necesidades técnicas que debe satisfacer la información para garantizar el cumplimiento de los objetivos del negocio. Algunos ejemplos de los objetivos de seguridad son proveer entrenamiento en seguridad, administrar el acceso a la información, mantener sistemas para protegerse de códigos maliciosos, monitorear los eventos de seguridad o establecer procesos seguros para el manejo de sistemas y aplicaciones.
La forma en que estos objetivos de seguridad se articulan con los procesos del negocio es a través de los controles de seguridad, los cuales generalmente incluyen con mayor nivel de detalle las guías para garantizar la seguridad de la información. Como parte de estos controles de seguridad se podrían incluir la creación de guías de entrenamiento con mecanismos de evaluación que permitan hacer un seguimiento, creación de perfiles de usuarios basados en los roles o la instalación de herramientas contra códigos maliciosos, comoESET Endpoint Security, de acuerdo a los sistemas operativos que se utilicen. Con estos objetivos es que se desarrollan los procedimientos de seguridad que contribuyen finalmente con el cumplimiento de los procesos de negocio.
Se puede concluir entonces que el objetivo principal del documento con la política de seguridad debe ser que los empleados en todos los niveles de la organización conozcan cuál es la información crítica del negocio y cuáles son las características principales que le deben ser garantizadas, lo cual refleja la importancia del SGSI. Finalmente deben establecerse métricas que permitan retroalimentar todo el sistema, de tal forma que puedan identificarse las ineficiencias para establecer cuáles son los aspectos que más deben ser susceptibles de ser mejorados.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

sábado, 22 de septiembre de 2012

miércoles, 12 de septiembre de 2012

¿Qué es y cómo funciona una VPN para la privacidad de la información? | Blog de Laboratorio de ESET

¿Qué es y cómo funciona una VPN para la privacidad de la información? | Blog de Laboratorio de ESET:


En muchas ocasiones, hemos recomendado a los lectores que utilicen una red privada VPNcuando se conecten a una red inalámbrica (Wi-Fi) pública. De este modo, el tráfico que se genera viaja cifrado y se dificulta que un tercero pueda robar información confidencial. En este post, explicaremos más sobre este tipo de redes, algunos usos que se le dan, protocolos de cifrado, entre otra información relevante. Una VPN (Virtual Private Network) es una tecnología de red que se utiliza para conectar una o más computadoras a una red privada utilizando Internet. Las empresas suelen utilizar una VPN para que sus empleados desde sus casas, hoteles, etc., puedan acceder a recursos corporativos que de otro modo, no podrían. Sin embargo, conectar la computadora de un empleado a los recursos corporativos es solo una función de una VPN. En conjunto con lo anterior, una implementación correcta de esta tecnología permite asegurar la confidencialidad e integridad de la información.
Diagrama red VPN
Como puede suponerse, a través de una VPN pasa información privada y confidencial que en las manos equivocadas, podría resultar perjudicial para cualquier empresa. Esto se agrava aún más si el empleado en cuestión se conecta utilizando un Wi-Fi público sin protección. Afortunadamente, este problema puede ser mitigado encriptando los datos que se envían y reciben. Para poder lograr este objetivo, se pueden utilizar los siguientes protocolos:
  • IPsec (Internet Protocol Security): permite mejorar la seguridad a través de algoritmos de encriptación robustos y un sistema de autentificación más exhaustivo. IPsec posee dos métodos de encriptado, modo transporte y modo túnel. Asimismo, soporta encriptado de 56 bit y 168 bit (triple DES).
  • PPTP/MPPE: tecnología desarrollada por un consorcio formado por varias empresas. PPTP soporta varios protocolos VPN con encriptación de 40 bit y 128 bit utilizando el protocoloMicrosoft Point to Point Encryption (MPPE). PPTP por sí solo no encripta la información.
  • L2TP/IPsec (L2TP sobre IPsec): tecnología capaz de proveer el nivel de protección de IPsec sobre el protocolo de túnel L2TP. Al igual que PPTP, L2TP no encripta la información por sí mismo.
Parte de la protección de la información que viaja por una VPN es la encriptación, no obstante, verificar que la misma se mantenga íntegra es igual de trascendental. Para lograr esto, IPsec emplea un mecanismo que si detecta alguna modificación dentro de un paquete, procede a descartarlo. Proteger la confidencialidad e integridad de la información utilizando una VPN es una buena medida para navegar en Wi-Fi públicos e inseguros incluso si no se desea acceder a un recurso corporativo. Por otro lado, aquellos usuarios hogareños que deseen utilizar una red VPN, pueden elegir entre servicios gratuitos y otros de pago. Es importante mencionar que aquellos libres suelen funcionar más lento que uno que no lo es. También, recomendamos la lectura de nuestra Guía de Seguridad en redes inalámbricas en donde se repasan otras medidas que se pueden adoptar para utilizar una conexión inalámbrica pública de forma más segura.
André Goujon
Especialista de Awareness & Research

Related Posts Plugin for WordPress, Blogger...