Seguridad de la Información

Realizando uso del tiempo libre en Internet, me tope con un video Venezolano el cual se títula "Los Diez Mandamiento del Password" este entrega algunos consejos a seguir respecto de la utilización de contraseñas, o como dice el periodista en el video "El Password". Las recomendaciones si bien todas aplican, me dejan la sensación de que existen contradicciones con otras tecnologías que se suelen utilizar en las organizaciones, p.e. SSO (Single Sign On), tal vez la entrevista no daba cabida a más información, de todas formas comparto el video y les dejo un documento que preparé hace un par de años con el objeto de concientizar a los usuarios de sistemas de información. En este link: http://howsecureismypassword.net/ podrán ingresar sus típicas contraseñas y ver que tan seguras son frente a los ataques de fuerza bruta, el tiempo que marca el sitio, es el tiempo que se demoraría el ataque utilizando el PC desde el cual ingresaste la contraseña. Si quieren contraseñ

Los Procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso específico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueño del proceso o del sistema. Los procedimientos segurán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican. Acorde a ISACA, los procedimiendos son documentos detallados. Deben derivarse de la política madre e implementar el espíritu (la intención) de la aseveración de la polí

Siguiendo con las referencias a ISACA, es necesario enumerar los beneficios de CSA: Detección Temprana de Riesgos. Controles Internos más efectivos y mejorados. Creación de equipos cohesivos a través de la participación de los empleados. Desarrollo de un sentido de propiedad de los controles en los empleados y en los dueños del proceso y reducción de su resistencia a controlar las iniciativas de mejoramiento. Mayor conciencia de los empleados sobre los objetivos organizaciones y mayor conocimiento sobre riesgos y controles internos. Mayor comunicación entre los mandos operativos y la alta dirección. Empleados altamente motivados. Proceso mejorado de califiación en auditorías. Reducción en el costo del control. Mayor seguridad para los accionistas y clientes. Seguridad mínima para la alta dirección sobre lo adecuado de los controles internos, según requerimientos de diversas agencias regulatorias y de leyes tales como la Ley Americana Sarbanes-Oxley (El nombre de los diplomát

Extraído de ISACA: Un documento de política de seguridad de información debe ser aprobado por la gerencia, publicado y comunicado a todos los empleados y terceros relevantes. El documento de política de seguridad de información debe establecer el compromiso de la gerencia y fijar el método de la organización para administrar la seguridad de información. El documento de política debe contener: Una definición de seguridad de información, sus objetivos generales y su alcance, y la importancia de la seguridad como un mecanismo que permite que se comparta la información. Una declaración de la intención de la gerencia, soportando las metas y los principios de la seguridad de la información en línea con la estrategia y los objetivos del negocio. Un marco para fijar los objetivos de control y los controles, incluyendo la estructura de la evaluación del riesgo y la administración del riesgo. Una breve explicación de las políticas de seguridad, los principios, los estándares y los requi

Las políticas y los procedimientos reflejan la guía y orientación de la gerencia para desarrollar controles sobre los sistemas de información y recursos relacionados. Por que documentarlas? Otorgan cumplimiento en aspectos legales y técnicos. Son una guía del comportamiento profesional y personal. Permiten la unificación de trabajo de personas, es decir, responsabilidades y funciones. Permiten recoger comentarios y observaciones que atiendan situaciones anormales. Mejorar las prácticas al interior de la organización. Logran asociar la filosofía de una organización al trabajo. Qué son las Políticas? Según la ISO/IEC: 17799 la define como la "Intención y dirección general expresada formalmente por la gerencia. Una definición más acaba es la que nos da ISACA: Las Políticas son documentos de alto nivel. Ellas representan la filosofía corporativa de una organización y el pensamiento estratégico de la alta gerencia y de los dueños de los procesos del negocio. Las políti