Seguridad de la Información

Domain Reference: Access Control Biometrics Report: - Type I Errors: Authorized Individuals were incorrectly rejected - Type II Errors: Unathorized Individuals were incorrectly granted access. SESAME: Secure European System For Applications In a Multivendors Enviroment - Technology bult upon the Kerberos foundation. - SESAME provides different capabilities and uses public key criptography - SESAME differs from Kerberos in that it uses PACS (Privileged Attribute Certificate) for authentication. - Instead of the Kerberos Tickets Exchange Methodology. Access Controls Models Discretionary Access Control (DAC) Mandatory Access Control (MAC Role-Based Access Control (RBAC) Trusted Computer System Evaluation Criteria  ( TCSEC ):  http://en.wikipedia.org/wiki/TCSEC Information Technology Security Evaluation Criteria (ITSEC):  http://en.wikipedia.org/wiki/ITSEC Common Criteria for Information Technology Security Evaluation (CC):  http://en.wikipedia.org/wiki/Common_

Este Grupo de estándares son conocidos como la serie ISO/IEC 27000, siendo las mejores prácticas de la industria para la administración de controles de seguridad de manera transversal en organizaciones de todo el mundo. ISO/IEC 27000: Overview and vocabulary ISO/IEC 27001: ISMS requeriments ISO/IEC 27002: Code of practice for information security management ISO/IEC 27003: Guideline for ISMS implementation ISO/IEC 27004: Guideline for information security management measurement and metrics framework ISO/IEC 27005: Guideline for information security risk management ISO/IEC 27006: Guideline for bodies providing audit and certification of ISMS. ISO/IEC 27011: Information security management guidelines for telecomunications organizations ISO/IEC 27031: Guideline for information and communications technology readiness for business continuity ISO/IEC 27033-1: Guideline for network security ISO 27799: Guide for information security management in health organizations The followin

En el ámbito de Auditorías TI, es recomendable entender algunas de las siguientes definiciones generalmente aceptadas a nivel mundial: Ambiente de Control: El ambiente de control incluye las funciones de dirección y administración y las actitudes, concientización y acciones de los encargados de la dirección de la entidad y la gerencia sobre el control interno de la entidad y su importacia en la misma. El ambiente de control es un componenete de control interno. Ambiente de Controles Generales de TI: Un ambiente de controles generales de TI es un ambiente de procesamiento en particular que comparte un conjunto común de políticas y procedimientos de controles generales de TI para respaldar el funcionamiento efectivo de los controles relevantes de aplicación. Control Interno: El control interno es el proceso diseñado, implementado y mantenido por los encargados de la dirección de una entidad, la gerencia u otro personal para proveer una certeza razonable sobre

En el mundo existen muchas instalaciones de Datacenter las cuales cuentan con una gran inversión que respaldan su funcionamiento, seguramente construidos acorde a la norma TIA 942 otros certificados con dicho estándar, otros declaran que han implementado normas ISO de seguridad y calidad, no obstante, en lo que respecta a la seguridad de la información, me llama poderosamente la atención como Google posee un ciclo de vida para la administración de los discos duros (hard drive life cycle management), el cual no vi en Chile, en los Datacenters de Entel, Telefónica o GTD, se entienden que estas compañias son los lideres del mercado local (mientras Claro construye su megaproyecto...), pero no obstante me queda la incertidumbre alguién en mi país realiza este ciclo de vida del disco duro con igual tecnología o seguimos aplicando el eficiente borrado seguro de datos y posterior re utilización???.  Sin duda algo que no puedo responder por ahora, pero al menos tenemos un issue que preguntar

Antes de señalar los Beneficios de la correcta implementación del Gobierno de Seguridad de la Información es importante precisar alguna definición de Gobierno. Usualmente en América Latina estamos familiarizados con los conceptos de Administración y Gestión, sin embargo, el concepto imperante en el mercado es la implementación de Gobierno Corporativo, Gobierno de la Organización. En lo general podemos aseverar que Gobierno se define con las Responsabilidades y Prácticas, Visión Estratégica, Lograr Objetivos, Administrar los Riesgos y el Uso Responsable de los Recursos en la Empresa. Gobierno es estructura con la cual se establecen los objetivos de la empresa, es determinar medios para alcanzar los objetivos y monitorear los medios para lograr los objetivos. El Gobierno responde con una estrategia la cual considerar factores como recursos disponibles y limitaciones: Recursos Disponibles: Procesos, Personas, Tecnologías, Arquitecturas Limitaciones: Tiempos, Costos, Re

Hace mucho rato no publicaba nada en el blog, sin duda el que hacer del día a día nos priva de poder generar información. El presente artículo tiene como único fin poder compartir un esquema de documentación que he venido trabajando desde hace algún tiempo. Seguramente, los profesionales que se desempeñan en rol de Oficiales de Seguridad de la información, se han hecho la pregunta muchas veces ¿Que documentación debería tener una organización en relación a las Políticas de Seguridad?,  Pues bien, no hay una respuesta en el mercado con una solución mágica, sin embargo, creo que la siguiente imagen puede ser un punto de orientación o punto de partida para saber cual es el mapa de documentos que debemos generar. Si se aprecia correctamente, podrán notar que en el esquema solo figura la Política de Seguridad de la Información, documento que a mi gusto debe ser de alto nivel y aprobado por la Dirección de la organización, este documento no debe ser extenso ya que debe r