viernes, 20 de noviembre de 2009

Las Amenazas Informáticas


De las amenazas que pueden sufrir los sistemas informáticos, se encuentran las generadas por entes externos como internos de dichos sistemas informáticos, lo que demuestra que por el simple hecho de no estar conectada la red con el entorno externo, no garantiza la seguridad de la misma. De las amenazas internas, observamos que los usuarios conocen el sistema y entienden cómo funciona; además poseen acceso al sistema, dependiendo el privilegio del cargo desempeñado; y que los Firewalls e IPS no son efectivos para estas amenazas internas. De las amenazas externas, tenemos las que provienen de afuera de la red interna, para el atacante es más difícil, ya que tiene que buscar comprender la red para buscar la manera de atacarla, la ventaja para el administrador es que puede prevenir gran cantidad de ataques externos con un sistema de seguridad informática, los ataques externos más comunes son los spyware que atacan los códigos vulnerables, donde los usuarios descargan aplicaciones, las instalan y las ejecutan.

Pero los ataques más frecuentes que sufren los sistemas informáticos, son los provenientes del personal interno del sistema, ya puede ser porque al usuario no le importa la seguridad, no se da cuenta de las medidas de seguridad o peor aun lo hace a propósito. Pero lo más alarmante es que de las amenazas internas, las más frecuentes ocurren de incidentes involuntarios en la seguridad provocados por los propios trabajadores y suelen ser más nocivos que los ataques internos provocados de forma intencionada.


Cabe destacar que no solo los ataques o amenazas ocurren a los software o a la información de los sistemas, sino los hardware también, ya que la mala manipulación como los robos, incendios, agua, húmeda, etc. resultan la pérdida del material y/o de los archivos.








Publicado por en No hay comentarios:

martes, 17 de noviembre de 2009

ISO/IEC 27001 (II Parte)


La ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es atractiva si la protección de la información es muy importante, como en finanzas, sanidad sector público y tecnología de la información. También es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida.


La ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un SGSI y una característica interesante, es que en el Anexo C de la norma establece las correspondencias de SGSI con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004, con el fin de que una organización pueda llegar a certificarse en varias normas, con la finalidad de una gestión de calidad.

Además observamos la serie 27000 dentro de los estándares ISO/IEC:


· ISO 27000: Contendrá términos y definiciones que se emplean en toda la serie 27000.
· UNE-ISO/IEC 27001:2007: SGSI, Requisitos.
· ISO 27002: Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.
· ISO 27003: En fase de desarrollo, contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases.
· ISO 27004: En fase de desarrollo, Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.
· ISO 27005: Una guía para la gestión del riesgo de la seguridad de la información.
· ISO 27006: Especifica los requisitos para acreditación de entidades de auditoría y certificación de SGSI.
Publicado por en No hay comentarios:

lunes, 16 de noviembre de 2009

ISO/IEC 27001 (I Parte)


En octubre de 2005 fue aprobado y publicado como estándar internacional, por la International Organization for Standardization (ISO) y la Comisión Electrotécnica Internacional (IEC), el estándar para la seguridad de la información ISO/IEC 27001, el cual norma de manera especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).

Un Sistema de Gestión de la seguridad de la Información (SGSI) son conjunto de políticas de administración de la información, con la finalidad que una organización pueda diseñar, implementar y mantener un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.


Antes de la publicación de la ISO/IEC 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2, pero desde finales del 2005, las organizaciones obtuvieron la certificación ISO/IEC 27001 mediante una entidad de certificación externa, independiente y acreditada para auditar el SGSI, determinando su conformidad con la ISO/IEC 27001.


Lo más importante de la adaptación de un SGSI, es que debe seguir siendo eficiente durante un largo tiempo y capaz de adaptarse a los cambios internos de la organización así como los externos del entorno.


Publicado por en No hay comentarios:

viernes, 13 de noviembre de 2009

La Seguridad Informática


Entendiendo la seguridad como la sensación de que lo que queremos proteger está fuera de peligro y daño, la seguridad informática para muchos expertos es casi imposible lograrla al 100%, ya que analizando las características que tiene que tener un sistema informático para ser seguro, encontramos que el activo más importante es la información, que se encuentra soportado en un sistema informático, el cual puede verse amenazado por los intrusos que sin autorización quieran entrar al sistema. Las características de dichos sistemas encontramos, la integridad de la información (solo el que está autorizado podrá modificar la información), la confidencialidad de la información (solo los autorizados tendrán acceso a la información), la disponibilidad de la información (cuando se necesite tiene estar disponible) y por último la irrefutabilidad por parte del usuario de que uso o modifico la información.


Por lo que el objeto de la seguridad informática es proteger principalmente la información, ya que es el objeto de mayor valor para una organización, segundo deben proteger a los equipos que soportan dicha información (Software y hardware) y por último deben proteger a los usuarios que manejan la información dispuesta en los sistemas informáticos.


De lo que radica la implementación de una gestión de riesgo en la organización, con el foco principal del establecimiento de las políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan poner en riesgo tanto la información como los sistemas que la almacenan y administran. Además de que el proceso tiene que ser continuo, para poder tomar las acciones necesarias ante los nuevos riesgos que aparezcan.



http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
Publicado por en No hay comentarios:

miércoles, 11 de noviembre de 2009

La Gestión de Riesgos



La Gestión de riesgos, es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, cuyo objetivo es identificar, controlar y eliminar las fuentes de riesgo antes de que comiencen a afectar, en el caso de los sistemas informáticos, los hardware, los software y la información que queremos proteger. Por lo que siempre tendremos presente la Incertidumbre sobre los acontecimientos que pueden o no pueden ocurrir, y que el riesgo se puede convertir en una realidad, lo que ocasionará consecuencias no deseadas o pérdidas.

Es importante primero identificar los riesgos, ya que en este proceso inicial se deben detectar cuales son las fuentes principales de amenazas y poder clasificarlas según los daños y consecuencias que estas puedan producir.

Segundo se encuentra la evaluación del riesgo, donde se va a valorar los riesgos previamente identificados, ya que estimando las consecuencias de estas amenazas, la organización estará en condiciones de tomar una decisión sobre la necesidad de adoptar medidas de mitigación para ese riesgo.

Y por último después de identificar si el riesgo puede ser o no controlado, la organización aplicará la gestión de riesgos para aquellas amenazas que no pueden ser controladas, con el fin de transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular.

http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo

http://es.wikipedia.org/wiki/Evaluaci%C3%B3n_de_riesgo

http://es.wikipedia.org/wiki/Gesti%C3%B3n_de_riesgos

http://www.monografias.com/trabajos14/riesgosinfor/riesgosinfor.shtml
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)