No estamos diciendo nada nuevo. Como pueden ver, ya en 2005, en el 27º Congreso Internacional de Protección de Datos, se recogieron los principios fundamentales de la protección de datos personales:
- Principio de legalidad y adecuada recolección y procesado.
- Principio de limitación a un propósito y especificación de éste
- Principio de proporcionalidad
- Principio de transparencia
- Principio de participación individual y del derecho de acceso
- Principio de no discriminación
- Principio de supervisión independiente
- Principio de seguridad en los datos
- Principio de veracidad
- Principio de responsabilidad
- Principio del adecuado nivel de protección
Estos principios fueron firmados por todas las Agencias Reguladoras Europeas. ¿Qué quiere esto decir? Al no existir en Europa una ley similar a la SOX, sino diferentes regulaciones y leyes dispersas que se fijan en problemas similares, hemos de recurrir a la presencia de estas Agencias Reguladoras para el control del cumplimiento de los principios.
Para estas Agencias Públicas, es una obligación de las compañías y entes públicos el cumplimiento de los objetivos de la Seguridad de la Información (y sus ideas clave como el Gobierno de la Seguridad, el Análisis del Riesgo, los Planes de Continuidad) .
martes, 23 de octubre de 2007
martes, 16 de octubre de 2007
La importancia de la revisión de los registros de actividad
En este artículo de BankinfoSecurity (se necesita registro gratuito), ya con sus buenos dos años de antigüedad, se destaca la importancia de la revisión de los registros como medida para mejorar la Seguridad de la Información.
Es de destacar que, dos años después, seguimos sin herramientas confiables y extendidas que faciliten esta revisión, así como la gestión centralizada de los registros.
Quizás, aún haya oportunidades de negocio en el desarrollo de este tipo de software.
Es de destacar que, dos años después, seguimos sin herramientas confiables y extendidas que faciliten esta revisión, así como la gestión centralizada de los registros.
Quizás, aún haya oportunidades de negocio en el desarrollo de este tipo de software.
jueves, 11 de octubre de 2007
Caída por incidente interno
El pasado mas, uno de los bancos que ofrece servicio por Internet en España, estuvo fuera de servicio durante más de dos días. Aquí se encuentra la información de El Mundo -lo paradójico es que esta entidad presumía de estar conforme a la ISO27001-.
No se trataba sólamente de las operaciones por Internet, sino de cualquier tipo de operativa, por un error en la administración de los sitemas de Host (la entidad echa la culpa a una conocida marca de ordenadores y de servicios de grandes sistemas).
Más allá de que pudiera ser o no un error humano, un fallo técnico o una discrepancia con los socios tecnológicos, el caso es que se muestra a las claras la importancia de un Plan de Continuidad bien probado y diseñado, aceptado por todas las partes implicadas. La elaboración de los Planes de Recuperación y Continuidad debe estar promovida y mantenida por los departamentos de Seguridad de la Información (mal llamados de seguridad informática).
Téngase en cuenta que la Seguridad de la Información no trata de defenderse frente a virus, spam y hackers (como venden las compañías actuales del gremio) ni versa sobre la configuración adecuada de los firewall, por ejemplo, sino que trata de prevenir y anticiparse a cualquier tipo de incidente que pueda suponer un daño para la información y los sistemas que la procesan, venga de donde venga.
No se trataba sólamente de las operaciones por Internet, sino de cualquier tipo de operativa, por un error en la administración de los sitemas de Host (la entidad echa la culpa a una conocida marca de ordenadores y de servicios de grandes sistemas).
Más allá de que pudiera ser o no un error humano, un fallo técnico o una discrepancia con los socios tecnológicos, el caso es que se muestra a las claras la importancia de un Plan de Continuidad bien probado y diseñado, aceptado por todas las partes implicadas. La elaboración de los Planes de Recuperación y Continuidad debe estar promovida y mantenida por los departamentos de Seguridad de la Información (mal llamados de seguridad informática).
Téngase en cuenta que la Seguridad de la Información no trata de defenderse frente a virus, spam y hackers (como venden las compañías actuales del gremio) ni versa sobre la configuración adecuada de los firewall, por ejemplo, sino que trata de prevenir y anticiparse a cualquier tipo de incidente que pueda suponer un daño para la información y los sistemas que la procesan, venga de donde venga.
martes, 9 de octubre de 2007
Gestión de la Seguridad bajo demanda
Paisley, compañía dedicada a ofrecer servicios de valor en Seguridad Informática, ofrece una herramienta llamada "GRC on demand" para gestión de la seguridad en modo servicio.
Según Gartner, la próxima generación de servicios de Seguridad de la Información tendrá el distintivo de ser proporcionados en modo servicio.
Más información sobre GRC, aquí.
Según Gartner, la próxima generación de servicios de Seguridad de la Información tendrá el distintivo de ser proporcionados en modo servicio.
Más información sobre GRC, aquí.
lunes, 8 de octubre de 2007
Brevísima introducción a la Arquitectura de Seguridad
De nuevo viendo Isaca y sus artículos públicos, nos encontramos con éste en el que, de manera sencilla, se nos describen los elementos de la Arquitectura de Seguridad, cómo manejar el proceso de creación de esta arquitectura y una breve lista de puntos mínimos que debería tener.
Los límites del análisis forense
Isacalibera un artículo con algún tiempo de edad, eso sí, pero que sigue estando de actualidad, sobre lo que se debe y no se debe esperar de un estudio forense en seguridad informática.
Apunta claramente la definición de análisis forense en informática, los conceptos y sobreactuaciones clásicas en este tipo de estudio y algunos casos prácticos.
Apunta claramente la definición de análisis forense en informática, los conceptos y sobreactuaciones clásicas en este tipo de estudio y algunos casos prácticos.
viernes, 5 de octubre de 2007
Las demandas no satisfechas a la seguridad bancaria
La seguridad bancaria, al menos en España, pone en permanente peligro no sólo a los usuarios (phising y robo de credenciales sin que ninguno adopte una solución preventiva definitiva) sino también para todos los ciudadanos (el robo de identidad no parece concernir a las entidades bancarias online).
En este artículo nos cuentan como en Australia, los usuarios de banca en Internet demandan mecanismos de acceso más robustos, pero los bancos noestán caminando en esa dirección. Estos mecanismos dificultarían los frecuentes ataques por phising, troyanos y otras amenazas a los usuarios. La banca prefiere, no obstante, ofrecer asistentes virtuales, cámares web, acceso móvil a la web o servicios por Skype en vez de asegurar los medios de acceso.
En este artículo nos cuentan como en Australia, los usuarios de banca en Internet demandan mecanismos de acceso más robustos, pero los bancos noestán caminando en esa dirección. Estos mecanismos dificultarían los frecuentes ataques por phising, troyanos y otras amenazas a los usuarios. La banca prefiere, no obstante, ofrecer asistentes virtuales, cámares web, acceso móvil a la web o servicios por Skype en vez de asegurar los medios de acceso.
Otro benificio de la Defensa en Capas
Según este artículo de Riskmanagement Magazine, está teniendo lugar un fenómeno que emerge de la mezcla entre el uso personal y profesional de los equipos informáticos.
Según Gartner, la compatibilidad entre vida profesional y personal es una de las más demandas aspiraciones profesionales. Y la informática no podía quedar exenta de esta tendencia, en la que los equipos empiezan cada vez más a ser usados tanto para el trabajo como para cuestiones personales.
La respuesta tradicional de los departamentos de tecnología y de personal es "No, no se pueden usar medios profesionales para fines personales".
Sin embargo, una buena implantación de la Seguridad de la Información siguiendo el patrón de Defensa en Capas, facilita el considerar que todo equipo conectado a la red empresarial es hostil, y por tanto no hay problema en que sea usado para labores extraprofesionales.
Según Gartner, la compatibilidad entre vida profesional y personal es una de las más demandas aspiraciones profesionales. Y la informática no podía quedar exenta de esta tendencia, en la que los equipos empiezan cada vez más a ser usados tanto para el trabajo como para cuestiones personales.
La respuesta tradicional de los departamentos de tecnología y de personal es "No, no se pueden usar medios profesionales para fines personales".
Sin embargo, una buena implantación de la Seguridad de la Información siguiendo el patrón de Defensa en Capas, facilita el considerar que todo equipo conectado a la red empresarial es hostil, y por tanto no hay problema en que sea usado para labores extraprofesionales.
El valor de la Seguridad de la Información
Actualmente, la naturaleza de la gestión de riesgos de TI ha cambiado desde el ir tratando hecho aislados a ver los riesgos de tecnologías de la información integrados en los riesgos del negocio al completo.
El nuevo término acuñado es BRM: Gestión del Riesgo del Negocio.
Más aún, BRM se sitúa entre la gestión de riesgos a nivel de gobierno empresarial y la gestión de riesgos a nivel de tecnologías de la información, enlazándolos según las necesidades empresariales.
Aunque está en inglés (como prácticamente todos los enlaces en este blog), no está de más echar un vistazo a este libro.
El nuevo término acuñado es BRM: Gestión del Riesgo del Negocio.
Más aún, BRM se sitúa entre la gestión de riesgos a nivel de gobierno empresarial y la gestión de riesgos a nivel de tecnologías de la información, enlazándolos según las necesidades empresariales.
Aunque está en inglés (como prácticamente todos los enlaces en este blog), no está de más echar un vistazo a este libro.
Comenzamos
El blog gemelo de Valinfosec pero en castellano inicia su andadura.
Esperamos contar con vuestra periódica visita....
Esperamos contar con vuestra periódica visita....
Suscribirse a:
Entradas (Atom)