Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario

 

AÑO 9 - Nº 01 - ENE 13 - Edición de Colección

TIPS PARA UN CISO

CERTIFICAMOS 27001 ¿Y…?

 

Por Hugo Köncke

Director de TI - INAC

Montevideo - Uruguay

Panel de Expertos de ISEC para Infosecurity Uruguay


La Norma

La norma ISO/IEC 27001 recopila los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI) y es consistente con las mejores prácticas descritas en la norma ISO/IEC 27002, derivada de la ISO/IEC 17799, esta última con origen en la norma BS 7799-2:2002.

Siendo la 27001 una norma certificable, en nuestra organización se entendió adecuado el certificarnos sobre un alcance claramente definido, lo que, tras haber obtenido el imprescindible apoyo de las autoridades, dio lugar a que se dispararan una importante cantidad de nuevas tareas con las que cumplir, y que aparecieran necesidades de implementación de nuevos controles.

Tras trabajar duramente sobre estos puntos durante casi un año, finalmente estuvimos en condiciones de enfrentarnos a la auditoría de certificación y superamos la prueba, obtuvimos nuestra ansiada certificación ISO-27001.

Ahora bien, ¿qué significa esto? Más allá de que estamos certificados, muy poco más.

¿Qué significa estar certificado?

Es algo muy parecido a dar un examen. Si te preguntan lo que sabés, te salvás. Si no, volvé la próxima. Con una certificación sucede más o menos lo mismo.

Durante la auditoría, el auditor hace un muestreo significativo sobre los puntos de la norma y verifica su cumplimiento. Si el auditor revisa lo que tenés bien, todo bárbaro. Si justo pega en algo que no está tan bien, estamos en problemas.

Por esto, haber obtenido una certificación en cualquier norma no significa mucho más que eso, haber pasado el examen del auditor. Y por eso es que el certificado se extiende solo por tres años, con dos visitas intermedias de evaluación continua.

Así, si estamos encarando la seguridad en forma real y seria, la obtención de la certificación en la norma ISO 27001 no debería hacernos “dormir en los laureles”. Estar certificados en esta norma no significa estar más seguros. Significa únicamente ser conscientes de cómo deberían ser hechas las cosas, y dependiendo de cómo actuemos día a día en pro de su cumplimiento, que tan bien o no estamos procediendo.

De ahí es que podemos decir que la seguridad no es algo que se adquiere o se instala. La seguridad es una actitud, es una manera de trabajar todos los días; tiene más que ver con como usamos los recursos disponibles y con como interactuamos con terceros, que con que antivirus tenemos instalado.

Esto es lo que hace que sea tan difícil de trabajar en el mantenimiento de un SGSI una vez que se le implanta en una organización, o en parte de ella.

The Humanware

¿Y por qué es tan difícil? Porque lo que más trabajo da no son los controles tecnológicos que implementamos. Estos, una vez instalados y optimizados en sus funcionamientos, hacen su trabajo, mejor o peor, pero lo hacen. No olvidemos que son autómatas que cumplen con aquello para lo que fueron diseñados, sin quejarse, sin olvidarse, sin cansarse, sin tener ideas propias de ninguna clase.

Lo más difícil es cuando llegamos al “humanware”, ese complejo e impredecible grupo de elementos del que formamos parte todos quienes nos conocemos como personas.

Al común de las personas, la seguridad no le interesa. En términos generales. Si no, observemos el tránsito. En el tránsito, lo que se arriesga es la vida, o al menos la integridad física. Y sin embargo, se arriesga a cada rato. Entonces, ¿podemos ser tan ingenuos como para creer que va a interesar la seguridad de la información?

Para empeorar las cosas, como parte de los controles que se implementan para contribuir a la seguridad de la información, hay elementos que limitan al usuario en cuanto a sus posibilidades de acción, en particular en aquellas que van más allá de lo necesario para cumplir con su trabajo. Esto, sin duda alguna no ayuda a la hora de las simpatías e intereses.

Entonces, si estamos pensando en certificar ISO 27001, bien; muy buena cosa. Sin duda alguna, va a ser un muy sano ejercicio y vamos a aprender mucho en cuanto a organizarnos y a trabajar con una metodología que por sí misma nos va a demarcar los carriles por sobre los que movernos en la dirección correcta. Pero sepamos que va a ser una cruzada. Tendremos que lidiar con el factor humano, nuestro principal enemigo.

Durante los primeros meses los controles de tipo administrativo, que son los que dependen de las personas, van a funcionar. Pero con el paso del tiempo, las personas se van aburriendo y cansando de respetarlos y de cumplir con sus requerimientos. Así gradualmente, si no se toman las acciones preventivas y correctivas necesarias, se termina llegando a una situación de incumplimiento, mayor o menor.

¿Cómo las evitamos? Concientizando, explicando a la gente los motivos que nos llevan a esto, y procurando no imponer metas irrealizables, o por lo menos demasiado difíciles de conseguir. Recordemos que la auditoría de certificación va a venir a verificar que las cosas se estén haciendo de acuerdo a como nosotros mismos decimos que las hacemos en los documentos de nuestras políticas y procedimientos. No nos hagamos trampa al solitario.

FUENTE: Infosecurity Uruguay

Niños y 'smartphones', mezcla explosiva

Un nuevo estudio revela que el 27 por ciento de los padres han tenido problemas personales derivados de la utilización que sus hijos han hecho de sus 'smartphones' y 'tablets', debido a que utilizan los dispositivos de sus padres de una manera inadecuada.


6 Medidas de Seguridad actuales para tu identidad

A pesar de la creciente amenaza cibernética y obviamente no todas las empresas están tomando medidas preventivas básicas. Sin la preparación adecuada las empresas corren el riesgo de perder datos importantes. A continuación se presentan algunas cosas que cualquier empresa puede hacer para mejorar su seguridad ahora.


Como lidiar con la Seguridad en la nube

Por Nelson Quintana Martínez
Information Security Systems
Cali, Colombia


Identificación de Funciones y Responsabilidades de TI

Por Christian Javier Vila Toscano
Senior Security Consultant
ISEC Information Security Inc


Protección en Dispositivos Móviles

El malware para dispositivos móviles es una realidad y su número crece cada día debido al incremento de su uso y a la valiosa información que pueden contener aunque los usuarios no lleguen a ser conscientes de su importancia.


Amenazas Físicas y Ambientales en Centro de Datos - Cómo controlarlas y Gestionarlas

Por Angel Soriano

APC SCHNEIDER ELECTRIC FASOR

El Salvador

Extracto de la Conferencia en Infosecurity Vip - El Salvador


CERTIFICAMOS 27001 ¿Y…?

Por Hugo Köncke

Director de TI - INAC

Montevideo - Uruguay

Panel de Expertos de ISEC para Infosecurity Uruguay


GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN CLOUD COMPUTING

Por Henry Rivas
Consorcio Credicard


Management for Optimized Virtual Environments and Enterprise Mobility Management Platform

Por Jesús Germán
Ingeniero Electrónica & Telecomunicaciones

Cortelco - San Juan de Puerto Rico


Lección 13 de intypedia Seguridad en DNS

 Por D. Javier Osuna García-Malo de Molina

Jefe de División de Consultoría de Seguridad y Procesos de GMV - España


Lección 12 de intypedia:  Seguridad en redes Wi-Fi

 La Lección 12 de la Enciclopedia de la Seguridad de la Información con el título "Seguridad en redes Wi-Fi", cuyo autor es D. Raúl Siles, fundador y analista de seguridad de Taddong, y que verá destacado como último vídeo en esa página


Seguridad en el 2011  "Nuevos Retos"

Por Lisseth Rodríguez - Eduardo Ruiz Rivera

Delta Networks Systems

México


Seguridad en la nube: punto de vista de un QSA para cumplir con PCI DSS y las mejores prácticas

Por Carlos Caetano

Trustwave Ecuador


LINEAMIENTOS DE POLÍTICA PARA CIBERSEGURIDAD Y CIBERDEFENSA

Por Rocío Pilar Panchón
Subdirectora de Seguridad y Defensa - Departamento Nacional de Planeación
Dirección Justicia, Seguridad y Gobierno - Colombia


Seguridad en la Nube
Por Jhonatan W. Escobar
Director of CALA
iSheriff Technologies, Ltd.


Contraseñas siglo XXI ¿Qué tan importante son en la actualidad?
Por Jorge Mieres

Analista de malware

Kaspersky Lab - América Latina


Introducción a la seguridad en redes telemáticas (intypedia)
Por Justo Carracedo Gallardo

Universidad Politécnica de Madrid


Buenas Prácticas en las Redes Sociales
Por Ricardo E. Ulke

Next Media Interactiva - Director

Paraguay


¿En que se diferencian ITIL e ISO 20000?
Por PATRICIA E. FRIDMAN
EXIN Accredited Trainer ITIL V3

IT Senior Consultant
ISEC Information Security Inc. - Argentina


SEGURIDAD CAPA 8
Por Oscar Banchiero

Instructor Ethical Hacking para Latinoamérica
CCNA - CCVP - CCSP - EH - UCAD
ISEC Information Security Inc - Argentina


Seguridad perimetral (Video)
Por Alejandro Ramos Fraile
Tiger Team Manager (SIA company)

INTYPEDIA


¿Somos responsables de nuestra privacidad?

Por Claudio A. Núñez Montecino
Consultor en Seguridad y Riesgo Tecnológico

Chile


Cómo asegurar su negocio: Siete consejos de seguridad y mejores prácticas

Por Dmitry Bestuzhev

Investigador Regional Senior

Equipo global de investigación y análisis - Kaspersky Lab Americas


 

Copyright © 2013 ISEC. Todos los derechos reservados
Política de privacidad