Volver a mi blog

Internet de las cosas: Una apuesta segura.

Aunque parece que es una idea que nos ha acompañado desde hace bastante tiempo la realidad es que no hace mucho tomo omnipresencia.

Estándares nacionales e internacionales en la seguridad informática

El objetivo de este blog es ayudarte a conocer maneras de manejar los activos outsourcing, análisis y control de riesgo y conocer los estándares nacionales e internacionales en la seguridad informática

¿Cómo manejar activos outsorcing en la seguridad informática?

En el mundo empresarial, apunta el proceso en el cual una organización contrata a otras empresas externas para que se responsabilicen de parte de su actividad o producción como outsorcing.

Un amplio rango de empresas hoy en día desconoce sobre las características de su infraestructura TI haciendo que suceda una visión demasiado limitada de todo su inventario previsto y real de los activos. Con una eficiente gestión de los recursos TI podremos reducir todos los costes asociados a los equipos informáticos.

Este proceso será de utilidad para ayudar a las empresas a mantener las normas de cumplimiento de las licencias de software, prepararse las diferentes auditorías y disminuir todos los riesgos legales y de seguridad.

Análisis y control de riesgo

Dependiendo del marco de la organización, se pueden presentar distintas amenazas que comprometan a los objetivos de la seguridad informática. Ante un riesgo concreto, la organización tiene tres opciones: aceptar el riesgo, disminuir la posibilidad de ocurrencia del riesgo o transferir el riesgo, por ejemplo, mediante un contrato de seguro.

Los controles de seguridad informática normalmente se clasifican en tres categorías: controles físicos, controles lógicos o técnicos y controles administrativos , la cual debe ser congruente con los objetivos de la organización y las prioridades de las posibles amenazas de acuerdo al impacto que éstas tengan en la organización.

Sin importar cuál sea el proceso que se siga, el análisis de riesgos comprende los siguientes pasos:
1. Definir los activos informáticos a analizar.
2. Identificar las amenazas que pueden comprometer la seguridad de los activos.
3. Determinar la probabilidad de ocurrencia de las amenazas. br 4. Determinar el impacto de las amenazas, con el objeto de establecer una priorización de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.

Estándares nacionales e internacionales

En Costa Rica, se creó una alta comisión de seguridad informática para hacer frente a posibles amenazas y ataques de hackers. Parte de la reunión se desarrolló la primera versión del Protocolo de Gestión de Incidentes de Ciberseguridad y se implementaron herramientas de monitoreo que permitan contar con alertas tempranas respecto a potenciales nuevos incidentes de ciberseguridad. Para el desarrollo de este manual, se ha generado una estructurado con base en criterios tales como:
-Seguridad institucional
-Seguridad física y del medio ambiente.
-Manejo y control de centro de cómputo.
-Control de usuarios.
-Lineamientos legales.

Por otro lado, los estándares internacionales de seguridad informática, mejor conocidas como normas ISO. Es una guía de nuevas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información:

Norma ISO BS 17799: es un código de práctica o de orientación o documento de referencia que se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información. Desde su publicación por parte de la Organización Internacional de Normas en diciembre del 2000, ISO 17799, surge como la norma técnica de seguridad de la información reconocida a nivel mundial.

Norma ISO 27000: es un vocabulario estándar para SJSI indicando para una de ellas su alcance de actuación y el propósito de su publicación. Se encuentran en desarrollo actualmente. Publicada el 1 de mayo de 2009, revisada con una segunda edición en el 1 de diciembre del 2012 y una tercera en el 14 de enero del 2014.

Norma ISO 27001: consiste en la preservación de su confidencialidad, integridad y disponibilidad así, como el sistema implicado en su tratamiento, dentro de una organización. Publicada el 15 de octubre de 2005, revisada el 25 de septiembre del 2013. Es la norma principal de la serie que contiene los requisitos del sistema de gestión de seguridad de la información. Puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privado o públicas, pequeña o grande. Está redactada por los mejores especialistas del mundo, en el tema y proporcionada una metodología para implementar la gestión de la seguridad de la información es una organización.

Norma ISO 27002: es un estándar para la seguridad de la información publicado por primera vez. Desde el 1 de junio de 2007.

Norma ISO 20000: describe un conjunto integrado en procesos que permiten prestar en forma eficaz servicio de TI (tecnología de la información) a las organizaciones y a sus clientes. Fue publicada en diciembre de 2005 y es la primera norma en el mundo específicamente dirigida a la gestión de los servicios de TI.

Existen casos de estudio de éxito que le dieron vida a estas normas y procesos de análisis de riesgo para saber algunos de estos puedes seguir leyendo en el siguiente blog, Casos de estudio sobre seguridad informática