Inicio

GESTIÓN INFOSEC

ENTREVISTA

LAS LEYES

PALABRAS DE CISO

TIPS PARA UN CISO

PUNTOS DE VISTA

ACTUALIZACIÓN TÉCNICA

HACKING BAJO LA LUPA

ESTADÍSTICAS

PRODUCTOS

TOOLBOX

CAPACITACIONES

LINKS DE INTERES

¿LO SABIAS?

HOT VULNERABILITIES

COMUNIDAD INFOSEC

EFRAUDE

NOTICIAS

BOLSA DE TRABAJO

AGENDA Y EVENTOS

CARTA DE LECTORES

LIBROS DE PASES

CHISTE

 

ediciones anteriores

Envíanos tu comentario


 

AÑO 8 - Nº 06 - JUN 12

TIPS PARA UN CISO

 

CERTIFICAMOS 27001 ¿Y…?

 

Por Hugo Köncke

Director de TI - INAC

Montevideo - Uruguay

Panel de Expertos de ISEC para Infosecurity Uruguay


La Norma

La norma ISO/IEC 27001 recopila los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI) y es consistente con las mejores prácticas descritas en la norma ISO/IEC 27002, derivada de la ISO/IEC 17799, esta última con origen en la norma BS 7799-2:2002.

Siendo la 27001 una norma certificable, en nuestra organización se entendió adecuado el certificarnos sobre un alcance claramente definido, lo que, tras haber obtenido el imprescindible apoyo de las autoridades, dio lugar a que se dispararan una importante cantidad de nuevas tareas con las que cumplir, y que aparecieran necesidades de implementación de nuevos controles.

Tras trabajar duramente sobre estos puntos durante casi un año, finalmente estuvimos en condiciones de enfrentarnos a la auditoría de certificación y superamos la prueba, obtuvimos nuestra ansiada certificación ISO-27001.

Ahora bien, ¿qué significa esto? Más allá de que estamos certificados, muy poco más.

¿Qué significa estar certificado?

Es algo muy parecido a dar un examen. Si te preguntan lo que sabés, te salvás. Si no, volvé la próxima. Con una certificación sucede más o menos lo mismo.

Durante la auditoría, el auditor hace un muestreo significativo sobre los puntos de la norma y verifica su cumplimiento. Si el auditor revisa lo que tenés bien, todo bárbaro. Si justo pega en algo que no está tan bien, estamos en problemas.

Por esto, haber obtenido una certificación en cualquier norma no significa mucho más que eso, haber pasado el examen del auditor. Y por eso es que el certificado se extiende solo por tres años, con dos visitas intermedias de evaluación continua.

Así, si estamos encarando la seguridad en forma real y seria, la obtención de la certificación en la norma ISO 27001 no debería hacernos “dormir en los laureles”. Estar certificados en esta norma no significa estar más seguros. Significa únicamente ser conscientes de cómo deberían ser hechas las cosas, y dependiendo de cómo actuemos día a día en pro de su cumplimiento, que tan bien o no estamos procediendo.

De ahí es que podemos decir que la seguridad no es algo que se adquiere o se instala. La seguridad es una actitud, es una manera de trabajar todos los días; tiene más que ver con como usamos los recursos disponibles y con como interactuamos con terceros, que con que antivirus tenemos instalado.

Esto es lo que hace que sea tan difícil de trabajar en el mantenimiento de un SGSI una vez que se le implanta en una organización, o en parte de ella.

The Humanware

¿Y por qué es tan difícil? Porque lo que más trabajo da no son los controles tecnológicos que implementamos. Estos, una vez instalados y optimizados en sus funcionamientos, hacen su trabajo, mejor o peor, pero lo hacen. No olvidemos que son autómatas que cumplen con aquello para lo que fueron diseñados, sin quejarse, sin olvidarse, sin cansarse, sin tener ideas propias de ninguna clase.

Lo más difícil es cuando llegamos al “humanware”, ese complejo e impredecible grupo de elementos del que formamos parte todos quienes nos conocemos como personas.

Al común de las personas, la seguridad no le interesa. En términos generales. Si no, observemos el tránsito. En el tránsito, lo que se arriesga es la vida, o al menos la integridad física. Y sin embargo, se arriesga a cada rato. Entonces, ¿podemos ser tan ingenuos como para creer que va a interesar la seguridad de la información?

Para empeorar las cosas, como parte de los controles que se implementan para contribuir a la seguridad de la información, hay elementos que limitan al usuario en cuanto a sus posibilidades de acción, en particular en aquellas que van más allá de lo necesario para cumplir con su trabajo. Esto, sin duda alguna no ayuda a la hora de las simpatías e intereses.

Entonces, si estamos pensando en certificar ISO 27001, bien; muy buena cosa. Sin duda alguna, va a ser un muy sano ejercicio y vamos a aprender mucho en cuanto a organizarnos y a trabajar con una metodología que por sí misma nos va a demarcar los carriles por sobre los que movernos en la dirección correcta. Pero sepamos que va a ser una cruzada. Tendremos que lidiar con el factor humano, nuestro principal enemigo.

Durante los primeros meses los controles de tipo administrativo, que son los que dependen de las personas, van a funcionar. Pero con el paso del tiempo, las personas se van aburriendo y cansando de respetarlos y de cumplir con sus requerimientos. Así gradualmente, si no se toman las acciones preventivas y correctivas necesarias, se termina llegando a una situación de incumplimiento, mayor o menor.

¿Cómo las evitamos? Concientizando, explicando a la gente los motivos que nos llevan a esto, y procurando no imponer metas irrealizables, o por lo menos demasiado difíciles de conseguir. Recordemos que la auditoría de certificación va a venir a verificar que las cosas se estén haciendo de acuerdo a como nosotros mismos decimos que las hacemos en los documentos de nuestras políticas y procedimientos. No nos hagamos trampa al solitario.

FUENTE: Infosecurity Uruguay

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN CLOUD COMPUTING

Por Henry Rivas
Consorcio Credicard


Management for Optimized Virtual Environments and Enterprise Mobility Management Platform

Por Jesús Germán
Ingeniero Electrónica & Telecomunicaciones

Cortelco - San Juan de Puerto Rico


Lección 13 de intypedia Seguridad en DNS

 Por D. Javier Osuna García-Malo de Molina

Jefe de División de Consultoría de Seguridad y Procesos de GMV - España


Lección 12 de intypedia:  Seguridad en redes Wi-Fi

 La Lección 12 de la Enciclopedia de la Seguridad de la Información con el título "Seguridad en redes Wi-Fi", cuyo autor es D. Raúl Siles, fundador y analista de seguridad de Taddong, y que verá destacado como último vídeo en esa página


Seguridad en el 2011  "Nuevos Retos"

Por Lisseth Rodríguez - Eduardo Ruiz Rivera

Delta Networks Systems

México


Seguridad en la nube: punto de vista de un QSA para cumplir con PCI DSS y las mejores prácticas

Por Carlos Caetano

Trustwave Ecuador


LINEAMIENTOS DE POLÍTICA PARA CIBERSEGURIDAD Y CIBERDEFENSA

Por Rocío Pilar Panchón
Subdirectora de Seguridad y Defensa - Departamento Nacional de Planeación
Dirección Justicia, Seguridad y Gobierno - Colombia


Seguridad en la Nube
Por Jhonatan W. Escobar
Director of CALA
iSheriff Technologies, Ltd.


Contraseñas siglo XXI ¿Qué tan importante son en la actualidad?
Por Jorge Mieres

Analista de malware

Kaspersky Lab - América Latina


Introducción a la seguridad en redes telemáticas (intypedia)
Por Justo Carracedo Gallardo

Universidad Politécnica de Madrid


Buenas Prácticas en las Redes Sociales
Por Ricardo E. Ulke

Next Media Interactiva - Director

Paraguay


¿En que se diferencian ITIL e ISO 20000?
Por PATRICIA E. FRIDMAN
EXIN Accredited Trainer ITIL V3

IT Senior Consultant
ISEC Information Security Inc. - Argentina


SEGURIDAD CAPA 8
Por Oscar Banchiero

Instructor Ethical Hacking para Latinoamérica
CCNA - CCVP - CCSP - EH - UCAD
ISEC Information Security Inc - Argentina


Seguridad perimetral (Video)
Por Alejandro Ramos Fraile
Tiger Team Manager (SIA company)

INTYPEDIA


¿Somos responsables de nuestra privacidad?

Por Claudio A. Núñez Montecino
Consultor en Seguridad y Riesgo Tecnológico

Chile


Cómo asegurar su negocio: Siete consejos de seguridad y mejores prácticas

Por Dmitry Bestuzhev

Investigador Regional Senior

Equipo global de investigación y análisis - Kaspersky Lab Americas


 

Copyright © 2012 ISEC. Todos los derechos reservados
Política de privacidad