Seguridad Informatica

Hoy tuve la gran fortuna de asistir a una charla sobre seguridad informática, y mas específicamente sobre la Norma ISO 27001, dicha conferencia a pesar de ser muy empresarial, fue una pequeña introducción al extenso mundo de las certificaciones y gestiones de calidad en Colombia, con respecto a la seguridad de la información, así que con esta entrada espero darles un pequeño abre bocas a este tema e invitarlos a que se anime a investigar y a leer sobre esta norma que es muy interesante y que tiene que ver con nosotros los informáticos.

Antes de entrar a fondo, tengo que aclarar algo que muchos individuos piensan acerca de la seguridad informática, y sobre todo los altos mandos de las empresas. La seguridad informática no es crear periódicamente Backups, ni tener instalado un excelente antivirus actualizado en los servidores. Esto es un error grave, ya que dichos procesos son herramientas de la seguridad de la información. Ahora ustedes dirán: ¿si eso no es la seguridad Informática, entonces que es?

La seguridad informática, es implementar controles, políticas y reglas, que ayuden a una mejor protección de la información, estas políticas generalmente se ordenan desde la alta gerencia o la dirección de calidad. ¿Pero que compone la S.I?

Principios de la Seguridad Informática.

• Confidencialidad: Tiene como propósito asegurar que solo la persona correcta acceda a la información.

• Integridad: La información debe estar en su totalidad.

• Disponibilidad: Esta información debe permanecer disponible 24/7 es decir que se podra acceder a cualquier hora ( en teoría).}

Ahora debemos tener unos conceptos básicos claros, para poder entender mejor, y no confudir las cosas:

• Amenaza: Cualquier agente capaz de aprovechar las fallas o vulnerabilidades en un sistema informático.

• Vulnerabilidad: Punto en el cual un recurso es susceptible a un ataque

• Riesgo: Probabilidad de que las amenazas exploten puntos débiles.

• Contra medidas: Conjunto de disposiciones establecidas por la organización para reducir el riesgo

Teniendo estos conceptos claros, podemos responder a la pregunta que muchos se estarán preguntando en este momento: ¿que es la norma ISO27001?

Es una guía metodológica, que nos ayuda a diseñar controles necesarios de seguridad que permiten proteger los activos de información, basada en el análisis de riesgos, igualmente implementa, establece, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información en cualquier empresa.

Aquí se abre una puerta muy grande de conocimiento, los invito a que estudien a fondo este tema el cual es muy interesante y sobre todo IMPORTANTE

ISO 27001. Estándar de seguridad de la información como base para periciales informáticas.

Posted by Luis Vilanova ⋅ febrero 24, 2011 ⋅ Dejar un comentario

Ante el creciente desarrollo de la criminalidad en medios informáticos, es menester potenciar los medios probatorios tecnológicos correspondientes para recoger, analizar y sustentar hipótesis sobre escenarios donde la tecnología actúa como medio o fin para configurar una conducta ilícita.

En el ámbito jurídico, el Perito informático es un profesional informático nombrado por la autoridad del proceso, a fin de que mediante juicio científico-técnico, dictamine con veracidad e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con hechos o circunstancias, sus causas o efectos, para cuya apreciación son indispensables conocimientos especiales. El dictamen del Perito informático es una declaración de ciencia que debe sustentarse en reglas probadas, lógicas y verificadas que prevalecen en su cultura científico-técnica.

Del Perito se exige además de la formación pragmática y académica la adquisición de habilidad técnica y científica usando un lenguaje científico que permita al profano en esta ciencia comprender el mismo. Para poder desarrollar un peritaje que pueda probar el delito informático es necesario disponer de los sistemas adecuados que:

• Registren los accesos permitidos y no permitidos a la información.

• Dispongan de una política de copias de seguridad adecuada.

• Ayuden al cumplimiento de la política de seguridad de la empresa en materia LOPD y LSSI.

• Habiliten los sistemas para el rastreo de las acciones de usuarios internos y externos.

• Ayuden a disponer de las medidas de seguridad en materia de antivirus, seguridad perimetral, etc.…

En definitiva es aconsejable que el empresario y/o el responsable de seguridad TI de la empresa se asegure mediante una auditoría/consultoría de seguridad si los anteriores y otros puntos están suficientemente cubiertos en la empresa en materia de seguridad de la información. No basta con cumplir la LOPD o disponer de un antivirus. Es de suma importancia CONTROLAR, que/quién accede a que y cuando. La información de la empresa es el activo más valioso que dispone. Para ello, aplicando parte de estándar de seguridad ISO 27001 se realiza consultoría interna de preparación de los sistemas informáticos y de toda la infraestructura TI para que la empresa pueda estar segura del registro y control de las acciones en materia de seguridad informática de sus empleados.

Las ventajas de una empresa en el cumplimiento de esta norma son muchas, entre ellas:

1. Demostrar la conformidad y la eficacia de las elecciones organizativas y de las actividades operativas puestas en práctica para garantizar la:

• Confidencialidad

• Integridad

• Disponibilidad de la información incluida en el perímetro cubierto por el SGSI (Sistema de gestión de la seguridad de la información)

2. Asegurar la continuidad del Bussiness:

• Minimizando los daños en caso de incidentes (siendo estos, de hecho, inevitables).

• Maximización de las inversiones efectuadas para la implementación y la gestión de la seguridad.

• Mejora continua de la eficacia organizativa y operativa.

• Construir o supervisar la seguridad perimetral.

• Concienciar al personal mediante documentos de seguridad.

Preguntémonos las siguientes cuestiones:

• ¿Sabemos que nuestra organización está procediendo bien para asegurar nuestros sistemas ante intrusos, robos de información, ataques…?

• ¿Estamos aplicando buenas prácticas para proteger nuestras implantaciones LOPD?

• ¿Están nuestros empleados utilizando los SI de forma segura y dentro de la funcionalidad para que hayan sido entregados?

• ¿Los datos privados del negocio a los cuales nadie más que el CEO deberían tener acceso están suficientemente protegidos?

• ¿Estamos cumpliendo el marco legal a nivel de licencias, leyes de propiedad intelectual,…?

• ¿Podremos demostrar ante un conflicto legal o con un trabajador el correcto uso de los sistemas informáticos que hemos puesto a su alcance?

• ¿Podrá un perito disponer de las evidencias necesarias si mis sistemas informáticos no están adecuados a una norma de seguridad?

La ISO 27001 mide el riesgo de estas y otras muchas cuestiones, para poder aplicar medidas y procedimientos que aseguren un sistema SGSI óptimo y que de respuesta al alineamiento de las Ti con la estrategia empresarial, ayudando a los peritos informáticos a disponer del máximo número de evidencias para poder reflejar en su pericial la información necesaria para verificar los hechos oportunos que delaten o confirmen un delito.

El Centro Nacional de Aceleradores recibe las siguientes certificaciones: Certificación de Seguridad de la Información ISO 27001 y la Certificación de Gestión de la Calidad ISO 9001.

Dentro de la política de calidad que se lleva a cabo en el Centro Nacional de Aceleradores, se han conseguido recientemente las certificaciones del Sistema de Gestión de Seguridad de la Información ISO 27001:2005, por parte de la empresa Bureau Veritas, conforme a las normativas internacionales que le acreditan la implantación, el mantenimiento y la mejora del Sistema de Gestión de la Seguridad de la Información (SGSI) y la certificación de Gestión de la Calidad ISO 9001:2008, por parte de AENOR, que especifica los requisitos para un buen sistema de gestión de la calidad que pueden utilizarse para su aplicación interna por las organizaciones, para certificación o con fines contractuales y que por consiguiente ponen de manifiesto la excelencia de la administración y servicios de nuestro centro.

Estas normativas las desarrolla la Organización Internacional para la Estandarización o ISO, organismo encargado de promover el desarrollo de normas internacionales de fabricación, comercio y comunicación. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional, y que por consiguiente otorga al Centro Nacional de Aceleradores la certeza de estar al mismo nivel que los centros de la Administración Pública o cualquier empresa privada internacional de reconocido prestigio.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

DEL CENTRO NACIONAL DE ACELERADORES

El CENTRO NACIONAL DE ACELERADORES, consciente de que la información manejada en las investigaciones, propias o externas, para el diseño de instrumentación y las pruebas con aceleradores de partículas es un recurso con gran valor, ha establecido un Sistema de Gestión de la Seguridad de la Información de acuerdo a los requisitos de la norma ISO/IEC 27001:2005 para garantizar la continuidad de

...