Seguridad Informatica

Hoy tuve la gran fortuna de asistir a una charla sobre seguridad informática, y mas específicamente sobre la Norma ISO 27001, dicha conferencia a pesar de ser muy empresarial, fue una pequeña introducción al extenso mundo de las certificaciones y gestiones de calidad en Colombia, con respecto a la seguridad de la información, así que con esta entrada espero darles un pequeño abre bocas a este tema e invitarlos a que se anime a investigar y a leer sobre esta norma que es muy interesante y que tiene que ver con nosotros los informáticos.

Antes de entrar a fondo, tengo que aclarar algo que muchos individuos piensan acerca de la seguridad informática, y sobre todo los altos mandos de las empresas. La seguridad informática no es crear periódicamente Backups, ni tener instalado un excelente antivirus actualizado en los servidores. Esto es un error grave, ya que dichos procesos son herramientas de la seguridad de la información. Ahora ustedes dirán: ¿si eso no es la seguridad Informática, entonces que es?

La seguridad informática, es implementar controles, políticas y reglas, que ayuden a una mejor protección de la información, estas políticas generalmente se ordenan desde la alta gerencia o la dirección de calidad. ¿Pero que compone la S.I?

Principios de la Seguridad Informática.

• Confidencialidad: Tiene como propósito asegurar que solo la persona correcta acceda a la información.

• Integridad: La información debe estar en su totalidad.

• Disponibilidad: Esta información debe permanecer disponible 24/7 es decir que se podra acceder a cualquier hora ( en teoría).}

Ahora debemos tener unos conceptos básicos claros, para poder entender mejor, y no confudir las cosas:

• Amenaza: Cualquier agente capaz de aprovechar las fallas o vulnerabilidades en un sistema informático.

• Vulnerabilidad: Punto en el cual un recurso es susceptible a un ataque

• Riesgo: Probabilidad de que las amenazas exploten puntos débiles.

• Contra medidas: Conjunto de disposiciones establecidas por la organización para reducir el riesgo

Teniendo estos conceptos claros, podemos responder a la pregunta que muchos se estarán preguntando en este momento: ¿que es la norma ISO27001?

Es una guía metodológica, que nos ayuda a diseñar controles necesarios de seguridad que permiten proteger los activos de información, basada en el análisis de riesgos, igualmente implementa, establece, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información en cualquier empresa.

Aquí se abre una puerta muy grande de conocimiento, los invito a que estudien a fondo este tema el cual es muy interesante y sobre todo IMPORTANTE

ISO 27001. Estándar de seguridad de la información como base para periciales informáticas.

Posted by Luis Vilanova ⋅ febrero 24, 2011 ⋅ Dejar un comentario

Ante el creciente desarrollo de la criminalidad en medios informáticos, es menester potenciar los medios probatorios tecnológicos correspondientes para recoger, analizar y sustentar hipótesis sobre escenarios donde la tecnología actúa como medio o fin para configurar una conducta ilícita.

En el ámbito jurídico, el Perito informático es un profesional informático nombrado por la autoridad del proceso, a fin de que mediante juicio científico-técnico, dictamine con veracidad e imparcialidad, opinando y emitiendo conclusiones sobre puntos concretos relacionados con hechos o circunstancias, sus causas o efectos, para cuya apreciación son indispensables conocimientos especiales. El dictamen del Perito informático es una declaración de ciencia que debe sustentarse en reglas probadas, lógicas y verificadas que prevalecen en su cultura científico-técnica.

Del Perito se exige además de la formación pragmática y académica la adquisición de habilidad técnica y científica usando un lenguaje científico que permita al profano en esta ciencia comprender el mismo. Para poder desarrollar un peritaje que pueda probar el delito informático es necesario disponer de los sistemas adecuados que:

• Registren los accesos permitidos y no permitidos a la información.

• Dispongan de una política de copias de seguridad adecuada.

• Ayuden al cumplimiento de la política de seguridad de la empresa en materia LOPD y LSSI.

• Habiliten los sistemas para el rastreo de las acciones de usuarios internos y externos.

• Ayuden a disponer de las medidas de seguridad en materia de antivirus, seguridad perimetral, etc.…

En definitiva es aconsejable que el empresario y/o el responsable de seguridad TI de la empresa se asegure mediante una auditoría/consultoría de seguridad si los anteriores y otros puntos están suficientemente cubiertos en la empresa en materia de seguridad de la información. No basta con cumplir la LOPD o disponer de un antivirus. Es de suma importancia CONTROLAR, que/quién accede a que y cuando. La información de la empresa es el activo más valioso que dispone. Para ello, aplicando parte de estándar de seguridad ISO 27001 se realiza consultoría interna de preparación de los sistemas informáticos y de toda la infraestructura TI para que la empresa pueda estar segura del registro y control de las acciones en materia de seguridad informática de sus empleados.

Las ventajas de una empresa en el cumplimiento de esta norma son muchas, entre ellas:

1. Demostrar la conformidad y la eficacia de las elecciones organizativas y de las actividades operativas puestas en práctica para garantizar la:

• Confidencialidad

• Integridad

• Disponibilidad de la información incluida en el perímetro cubierto por el SGSI (Sistema de gestión de la seguridad de la información)

2. Asegurar la continuidad del Bussiness:

• Minimizando los daños en caso de incidentes (siendo estos, de hecho, inevitables).

• Maximización de las inversiones efectuadas para la implementación y la gestión

...