Entradas

Mostrando entradas de 2010

Guía de Uso de Contraseñas

Imagen
Realizando uso del tiempo libre en Internet, me tope con un video Venezolano el cual se títula "Los Diez Mandamiento del Password" este entrega algunos consejos a seguir respecto de la utilización de contraseñas, o como dice el periodista en el video "El Password". Las recomendaciones si bien todas aplican, me dejan la sensación de que existen contradicciones con otras tecnologías que se suelen utilizar en las organizaciones, p.e. SSO (Single Sign On), tal vez la entrevista no daba cabida a más información, de todas formas comparto el video y les dejo un documento que preparé hace un par de años con el objeto de concientizar a los usuarios de sistemas de información. En este link: http://howsecureismypassword.net/ podrán ingresar sus típicas contraseñas y ver que tan seguras son frente a los ataques de fuerza bruta, el tiempo que marca el sitio, es el tiempo que se demoraría el ataque utilizando el PC desde el cual ingresaste la contraseña. Si quieren contraseñ

Procedimientos de TI

Los Procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso específico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueño del proceso o del sistema. Los procedimientos segurán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican. Acorde a ISACA, los procedimiendos son documentos detallados. Deben derivarse de la política madre e implementar el espíritu (la intención) de la aseveración de la polí

Autoevaluación del Control (Control Self Assessment) Parte 2

Siguiendo con las referencias a ISACA, es necesario enumerar los beneficios de CSA: Detección Temprana de Riesgos. Controles Internos más efectivos y mejorados. Creación de equipos cohesivos a través de la participación de los empleados. Desarrollo de un sentido de propiedad de los controles en los empleados y en los dueños del proceso y reducción de su resistencia a controlar las iniciativas de mejoramiento. Mayor conciencia de los empleados sobre los objetivos organizaciones y mayor conocimiento sobre riesgos y controles internos. Mayor comunicación entre los mandos operativos y la alta dirección. Empleados altamente motivados. Proceso mejorado de califiación en auditorías. Reducción en el costo del control. Mayor seguridad para los accionistas y clientes. Seguridad mínima para la alta dirección sobre lo adecuado de los controles internos, según requerimientos de diversas agencias regulatorias y de leyes tales como la Ley Americana Sarbanes-Oxley (El nombre de los diplomát

Política de Seguridad de la Información - Parte 2

Extraído de ISACA: Un documento de política de seguridad de información debe ser aprobado por la gerencia, publicado y comunicado a todos los empleados y terceros relevantes. El documento de política de seguridad de información debe establecer el compromiso de la gerencia y fijar el método de la organización para administrar la seguridad de información. El documento de política debe contener: Una definición de seguridad de información, sus objetivos generales y su alcance, y la importancia de la seguridad como un mecanismo que permite que se comparta la información. Una declaración de la intención de la gerencia, soportando las metas y los principios de la seguridad de la información en línea con la estrategia y los objetivos del negocio. Un marco para fijar los objetivos de control y los controles, incluyendo la estructura de la evaluación del riesgo y la administración del riesgo. Una breve explicación de las políticas de seguridad, los principios, los estándares y los requi

Política de Seguridad de la Información

Imagen
Las políticas y los procedimientos reflejan la guía y orientación de la gerencia para desarrollar controles sobre los sistemas de información y recursos relacionados. Por que documentarlas? Otorgan cumplimiento en aspectos legales y técnicos. Son una guía del comportamiento profesional y personal. Permiten la unificación de trabajo de personas, es decir, responsabilidades y funciones. Permiten recoger comentarios y observaciones que atiendan situaciones anormales. Mejorar las prácticas al interior de la organización. Logran asociar la filosofía de una organización al trabajo. Qué son las Políticas? Según la ISO/IEC: 17799 la define como la "Intención y dirección general expresada formalmente por la gerencia. Una definición más acaba es la que nos da ISACA: Las Políticas son documentos de alto nivel. Ellas representan la filosofía corporativa de una organización y el pensamiento estratégico de la alta gerencia y de los dueños de los procesos del negocio. Las políti

Auto Evaluación del Control (Control Self Assessment)

Imagen
La autoevaluación del control (CSA) puede definirse como una técnica de la dirección que asegura a los stakeholders (accionistas, clientes y otros) que el sistema de control interno es confiable. Asegura que los empleados estén consientes de los riesgos del negocio y que realicen revisiones proactivas periódicas de los controles. Esta es una metodología usada para revisar los objetivos clave del negocio, los riesgos involucrados en alcanzar los objetivos de la organización y los controles internos diseñados para administrar estos riesgos en un proceso colaborativo formal y documentado. En la práctica, CSA es una serie de herramientas que abarcan desde simples cuestionarios hasta talleres de facilitación diseñados para recopilar información sobre la organización, solicitándola a los que tienen conocimientos de trabajo cotidiano de un área, así como también a sus directivos. Las herramientas usadas durante un proyecto de CSA son las mismas ya sea que el proyecto sea técnico, financiero

SGSI

Imagen
A través de los vídeos de inteco se explica claramente los Sistema de Gestión de la Seguridad de la Información (SGSI) Also Know As Information Security Management System (ISMS). Estos videos enfrentan la familia de normas ISO/IEC 27000, ver siguiente recuadro: 27000: Generalidades y vocabulario, términos y conceptos relacionados con la seguridad de la información, visión gral. De esta famila de estándares, introducción a SGSI, y descripción del ciclo de mejora continua.  27001: Requerimiento del Sistema de Gestión de Seguridad de la Información, norma certificable para los SGSI de las organizaciones. 27002: Código de buenas prácticas para la Gestión de la Seguridad de la Información, describe objetivos de control y controles recomendables en cuanto a la seguridad de la información. 27003: Guía de Implementación de SGSI e información acerca del uso del modelo PDCA y los requerimientos de sus diferentes fases. 27004: Estándar para la medición de la efectividad de la impleme

Otros Tipos de Pruebas de Software

Alfa y Beta: Es una versión muy clara del sistema de aplicación que puede no contener todas las características que están planeadas para la versión final. Típicamente, el software va a través de dos etapas de prueba antes de que se le considere terminado. La primera etapa, llamada prueba alfa, es a menudo realizada sólo por los usuarios dentro de la organización que desarrolla el software. La segunda etapa, la conocida prueba beta, es un tipo de prueba de aceptación de usuario, requiere generalmente un número limitado de usuarios externos. La prueba beta es la última etapa de prueba, y por lo general implica enviar el producto a los sitios de prueba fuera del entorno de desarrollo para exponerlo al mundo real. La prueba beta acostumbra a ser precedida por un ciclo repetitivo de pruebas alfa. Prueba Piloto: Una prueba preliminar que se enfoca en aspectos específicos y predeterminados de un sistema. No está destinada a reemplazar otros métodos de prueba, sino más bien para proveer una

QAT: Quality Assurance Test / UAT: User Acceptance Testing

QAT se enfoca en las especificaciones de documentación y en la tecnología empleada, verifica que la aplicación función como se documentó por medio de pruebas de diseño lógico y la tecnología misma. Asegura que la aplicación reúna las especificaciones técnicas documentadas y los productos. QAT se ejecuta en primera instancia por el dpto. SI. La participación del usuario final es mínima y a solicitud. No se enfoca a las pruebas de funcionalidad. UAT soporta el proceso de asegurar que el sistema esté listo para producción y que el mismo satisfaga todos los requisitos documentados. Los métodos incluyen: Definición de las estrategias y procedimientos de prueba   Diseño de casos y escenarios de prueba Ejecución de pruebas   Utilización de los resultados para verificar la preparación del sistema Los criterios de aceptación son criterios definidos que deben ser satisfechos por un producto para satisfacer las necesidades predefinidas del usuario. Un plan UAT debe ser documentado para

Clasificaciones de Pruebas de Software

Las siguientes pruebas, relacionadas con uno de los enfoques antes definidos en este blog puden ser efectuadas, basadas en el tamaño y en la complejidad del sistema modificado: Prueba de Unidad: Es la prueba de un programa o módulo individual. Se usan varios casos de prueba que se concentran en la estructura de control del diseño procedimiental. estas pruebas aseguran que la operación interna del programa funciona en conformidad con la especificación. Prueba de Interfaz o de Integración: Es una prueba de hardware o de software que evalúa la conexión de dos o más componentes que pasan información desde un área a otra. El objetivo es tomar módulos probados por unidad y construir una estrutura integrada basada en el diseño. Prueba del Sistema : Se dice que es una seria de pruebas diseñadas para aseguraar que los programas modificados, objetos, esquema de base de datos, etc., que conforman un sistema nuevo o modificado funcionen correctamente de forma colectiva. Los procedimientos

Elementos de un Proceso de Prueba de Software

El Proceso de Prueba, ayuda a asegurar que todas las partes del sistema funcionen como se espera, los elementos básicos para las actividades de prueba de software de aplicación son: Plan de Prueba: Se realizan en las primeras etapas del ciclo de vida y son ajustados hasta la etapa efectiva de prueba, estos planes identifican las porciones específicas del sistema que van a ser probadas. Los planes de prueba también especifican los niveles de severidad de los problemas encontrados. El examinador o tester determina la severidad del problema identificado durante la prueba. Dependiendo del nivel de severidad del problema identificado, el mismo puede ser reparado o bien permanecer en el sistema. A menudo los problemas de presentación en la Interfaz se clasifican como de severidad más baja y pueden no ser reparados si las limitaciones de tiempo se convierten en un problema para el administrador (lider, jefe) de proyecto. El sponsor del p

7 Factores Integrales de la Seguridad de la Información

Introducción La Seguridad Informática o en su concepto actual y de mayor alcance, la Seguridad de la Información se ha transformado en una necesidad para todas las organizaciones. En el transcurso de este documento se revisarán siete factores que inciden en la seguridad de la información, estos han sido definidos por un grupo de académicos y profesionales de las tecnologías de la información en Chile como los de mayor relevancia a considerar en entornos que se requiera el tratamiento de información. En el transcurso de este documento revisaremos cómo estos factores inciden dentro de un a organización, para lo cual se ha seleccionado una empresa mediana la cual cuenta aproximadamente con 900 funcionarios, más de 750 estaciones de trabajo y un número mayor a 20 servidores con distintos niveles de servicio e importancia para la empresa. El documento está dirigido a profesionales vinculados a las Tecnologías de Información, sin embargo, el lenguaje utilizado permite que cualquier pers