Entradas

Clasificación de los Sistemas

Los sistemas se clasifican según su:

Relación con el Medio

Abiertos: El sistema abierto intercambia energía con los elementos externos, tanto recursos como amenazas. Es permeable y se afecta por las variaciones del medio para ajustarse a el.

Cerrados: El sistema cerrado no intercambia energía del todo, o bien, muy poca. El intercambio no alcanza a ser significativo para verse afectado.
El medio, entorno o contexto es una fuente de recursos y amenazas. El sistema y el ambiente mantienen una interacción constante. Naturaleza:

Concretos: Es aquel en que, por lo menos, dos de sus elementos son objetos tangibles o eventos.

Abstractos: Todos sus elementos son conceptos, o bien, es una representación de un modelo concreto.

Complejidad:

Simples:
Complejos:

Cambio en el tiempo:

Discretos:
Continuos:

Comportamiento:

Determinístico
Probabilístico

Estructura:

Jerárquicos
Retroalimentados
De control


CISSP Concepts

Domain Reference: Access Control

Biometrics Report:
- Type I Errors: Authorized Individuals were incorrectly rejected
- Type II Errors: Unathorized Individuals were incorrectly granted access.

SESAME: Secure European System For Applications In a Multivendors Enviroment

- Technology bult upon the Kerberos foundation.
- SESAME provides different capabilities and uses public key criptography
- SESAME differs from Kerberos in that it uses PACS (Privileged Attribute Certificate) for authentication.
- Instead of the Kerberos Tickets Exchange Methodology.

Access Controls Models

Discretionary Access Control (DAC)Mandatory Access Control (MACRole-Based Access Control (RBAC)

Trusted Computer System Evaluation Criteria (TCSEC): http://en.wikipedia.org/wiki/TCSEC Information Technology Security Evaluation Criteria (ITSEC): http://en.wikipedia.org/wiki/ITSEC Common Criteria for Information Technology Security Evaluation (CC): http://en.wikipedia.org/wiki/Common_Criteria








ISO/IEC 27000 Series

Este Grupo de estándares son conocidos como la serie ISO/IEC 27000, siendo las mejores prácticas de la industria para la administración de controles de seguridad de manera transversal en organizaciones de todo el mundo.

ISO/IEC 27000: Overview and vocabulary
ISO/IEC 27001: ISMS requeriments
ISO/IEC 27002: Code of practice for information security management
ISO/IEC 27003: Guideline for ISMS implementation
ISO/IEC 27004: Guideline for information security management measurement and metrics framework
ISO/IEC 27005: Guideline for information security risk management
ISO/IEC 27006: Guideline for bodies providing audit and certification of ISMS.
ISO/IEC 27011: Information security management guidelines for telecomunications organizations
ISO/IEC 27031: Guideline for information and communications technology readiness for business continuity
ISO/IEC 27033-1: Guideline for network security
ISO 27799: Guide for information security management in health organizations

The following ISO/IEC standards are in…

Ambiente de Control y Ambiente de Controles Generales de TI

En el ámbito de Auditorías TI, es recomendable entender algunas de las siguientes definiciones generalmente aceptadas a nivel mundial:

Ambiente de Control: El ambiente de control incluye las funciones de dirección y administración y las actitudes, concientización y acciones de los encargados de la dirección de la entidad y la gerencia sobre el control interno de la entidad y su importacia en la misma. El ambiente de control es un componenete de control interno.
Ambiente de Controles Generales de TI: Un ambiente de controles generales de TI es un ambiente de procesamiento en particular que comparte un conjunto común de políticas y procedimientos de controles generales de TI para respaldar el funcionamiento efectivo de los controles relevantes de aplicación.
Control Interno: El control interno es el proceso diseñado, implementado y mantenido por los encargados de la dirección de una entidad, la gerencia u otro personal para proveer una certeza razonable sobre el logro de los objetivos de l…

Seguridad en el Data Center de Google data center security!!!

Imagen
En el mundo existen muchas instalaciones de Datacenter las cuales cuentan con una gran inversión que respaldan su funcionamiento, seguramente construidos acorde a la norma TIA 942 otros certificados con dicho estándar, otros declaran que han implementado normas ISO de seguridad y calidad, no obstante, en lo que respecta a la seguridad de la información, me llama poderosamente la atención como Google posee un ciclo de vida para la administración de los discos duros (hard drive life cycle management), el cual no vi en Chile, en los Datacenters de Entel, Telefónica o GTD, se entienden que estas compañias son los lideres del mercado local (mientras Claro construye su megaproyecto...), pero no obstante me queda la incertidumbre alguién en mi país realiza este ciclo de vida del disco duro con igual tecnología o seguimos aplicando el eficiente borrado seguro de datos y posterior re utilización???. 


Sin duda algo que no puedo responder por ahora, pero al menos tenemos un issue que preguntar cu…

Beneficios del Gobierno de Seguridad de la Información

Antes de señalar los Beneficios de la correcta implementación del Gobierno de Seguridad de la Información es importante precisar alguna definición de Gobierno. Usualmente en América Latina estamos familiarizados con los conceptos de Administración y Gestión, sin embargo, el concepto imperante en el mercado es la implementación de Gobierno Corporativo, Gobierno de la Organización.
En lo general podemos aseverar que Gobierno se define con las Responsabilidades y Prácticas, Visión Estratégica, Lograr Objetivos, Administrar los Riesgos y el Uso Responsable de los Recursos en la Empresa.
Gobierno es estructura con la cual se establecen los objetivos de la empresa, es determinar medios para alcanzar los objetivos y monitorear los medios para lograr los objetivos.
El Gobierno responde con una estrategia la cual considerar factores como recursos disponibles y limitaciones: Recursos Disponibles: Procesos, Personas, Tecnologías, ArquitecturasLimitaciones: Tiempos, Costos, Recursos, Destrez, Cultur…

Esquema de documentación de la Seguridad de la Información

Imagen
Hace mucho rato no publicaba nada en el blog, sin duda el que hacer del día a día nos priva de poder generar información. El presente artículo tiene como único fin poder compartir un esquema de documentación que he venido trabajando desde hace algún tiempo.

Seguramente, los profesionales que se desempeñan en rol de Oficiales de Seguridad de la información, se han hecho la pregunta muchas veces ¿Que documentación debería tener una organización en relación a las Políticas de Seguridad?, 
Pues bien, no hay una respuesta en el mercado con una solución mágica, sin embargo, creo que la siguiente imagen puede ser un punto de orientación o punto de partida para saber cual es el mapa de documentos que debemos generar.


Si se aprecia correctamente, podrán notar que en el esquema solo figura la Política de Seguridad de la Información, documento que a mi gusto debe ser de alto nivel y aprobado por la Dirección de la organización, este documento no debe ser extenso ya que debe representar el espíritu …