viernes, 24 de febrero de 2006

Mas Sobre ISO 17799/27001

Actualización de la Norma ISO 17799:2005 y Creación de la ISO 27001:2005

En seguridad de la información la referencia obligada a nivel internacional es la norma ISO 17799:2000, que incluye la seguridad informática. Originariamente el primer estándar en seguridad de la información fue desarrollado en los años 1990, en Inglaterra, como respuesta a las necesidades de la industria, el gobierno y las empresas para fomentar un entendimiento común sobre el tema y establecer lineamientos generales. En 1995, el estándar BS 7799 es oficialmente presentado. En 1998 se establecen las características de un Sistema de Gestión de la Seguridad de la Información (SGSI) que permita un proceso de certificación, conocida como BS 7799 parte 2.




Recién en diciembre del 2000 la organización de estándares internacionales (ISO) incorpora la primera parte de la norma BS 7799, rebautizada como ISO 17799, la cual se presenta bajo la forma de notas de orientación y recomendaciones en el área de Seguridad de la información.
En el año 2005 hubo cambios interesantes a nivel de ISO 17799 y de COBIT (con su nueva versión 4.0). En cuanto a la norma ISO, las novedades son más que interesantes. Hasta ahora muchas compañías se alineaban a la 17799:2000 y luego tenían que certificar la norma BS 7799:2002 dado que ISO no había reglamentado las características de un Sistema de Gestión de Seguridad de la Información.
La buena noticia es que a partir de ahora se podrá certificar con la nueva norma ISO/IEC 27001.
Entonces, hoy el marco teórico es la ISO/IEC 17799:2005 y el marco práctico paso a ser la ISO/IEC 27001:2005. Esta última define el Sistema de Gestión de la Seguridad de la Información (SGSI). Con estos cambios la ISO 17799:2005 que con el tiempo deberá ser reemplazada por la ISO 27001 marco teórico, se incluyen novedades importantes:

1. Se agrega un nuevo dominio (“Administración de incidentes de la seguridad de la información”), es decir que ahora son 11 dominios.
2. Un marco teórico más fácil de aplicar, ya que cada dominio incluye el objetivo de control específico, el marco de implementación y un anexo de información adicional. Esto permite establecer un tablero de control más simple e incluso auditarlo con COBIT.
3. Se han realizado actualizaciones tecnológicas, ya que la última revisión era del año 2002, y recordemos que un año la tecnología cambia bastante. Por ejemplo en el dominio que hace referencia al control de acceso (Dominio 7), se incluye los controles sobre redes inalámbricas y tecnologías similares que deben estar incluidas como controles en las políticas de seguridad.
4. Se ha incluido un control sobre la entrega de servicios por terceras partes (Service Delivery). Si bien algo se mencionaba en la versión anterior, se han reformulado las definiciones.
5. Se ha incluido un apartado sobre el aceptable uso de los activos. Recordemos que muchas veces por implementar escenarios muy seguros, hacemos imposible el uso del recurso para el usuario que debe accederlo.
6. Se agrega un apartado sobre la gestión de riesgo. No olvidemos, que si bien toda compañía debe tener un nivel de riesgo aceptado, la idea de la NORMA ISO 27001:2005 es definir el manejo de riesgo de la compañía. La seguridad total no existe, por lo tanto debemos tener definido como actuar ante una situación especial.
7. Incluye referencias importantes con el manejo de contraseña.
8. En COBIT figuraba el manejo de código fuente dentro los controles. Esta vez ISO ha incluido ese manejo dentro de los dominios.
9. Se ha agregado un apartado para el manejo de vulnerabilidades.

Sin dudas, esta versión es más fácil de interpretar y de llevarla a la práctica, ya que son más claros los objetivos de cada uno de los controles de los dominios.
Recuerden, que como toda norma ISO, es una visión holística y toda la compañía deberá acompañar el proceso de certificación. El primer gran logro que deben obtener, es la confirmación por escrito de la gerencia que se desea lograr la alineación del estándar.
Mas allá de los deseos o necesidades de certificar ISO 27001, recomendamos a las compañías, usar estas nuevas versiones como guía y descartar las versiones anteriores. Obtener un buen sistema de gestión de la información no depende de la tecnología que utilicemos en nuestra empresa, sino en mayor medida de los procesos y las personas involucradas, con el objetivo de preservar el valor actual y futuro de nuestras organizaciones.
Finalmente recordemos que será un proyecto de cambio organizacional con múltiples facetas, incluido un alto componente de consideraciones legales.
Autores:
Lic. Enrique Dutra - Punto NET Soluciones
Ing. Jorge Ronchese - SUIVANT

miércoles, 15 de febrero de 2006

Comienzan los eventos !!!

A partir de marzo comienzan las actividades académicas, siendo estas:

- 01/03/06 - Evento de jornada completa sobre Service Desk - ITIL.
Se estará realizando en una sola jornada una capacitación sobre el Service Desk de ITIL. La temática de este curso, es como preparar adecuadamente el área de soporte a usuarios, como tratar a los usuarios, como generar procesos de calidad de atención al cliente y como organizar el área utilizando como marco referencial el estándar internacional ITIL. Este curso se dicta en la UES 21, en calle Rondeau de la Ciudad de Córdoba - Argentina.

- 07/03/06 - Webcast Microsoft : Essentials of Security 2801 Session 1
This session explains key essentials of security for Microsoft® Windows® 2000 Server and Microsoft Windows Server™ 2003 environments. In this topic, we will establish the business case for security. Specifically, we will discuss:The impact of security breaches on an organization. The 2004 CSI/FBI survey, which documents the financial losses to businesses from computer-related attacks. The benefits of investing in security.

- 22/03/06 - Webcast Microsoft : Defense-In-Depth Against Malicious Software 2803 Session 3
The success of recent network virus and worm attacks has demonstrated how advanced malicious software (malware) development has become. The ability for these outbreaks to evade detection and propagate quickly throughout the network has increased the need for a better understanding of how to implement malware defense. You must be able to identify all of the points in your infrastructure that require a malware defense strategy. This defense-in-depth approach to malware is used to help protect various components of the
network, such as client computers, servers, and the network infrastructure. If an attack does take place, an effective outbreak control and recovery plan is required to identify a malware infection, contain it, and then remedy the effects it may have on the infected systems throughout the network environment.

- 30/03/06 - Webcast Microsoft : Securing Services and Critical Accounts 2808 Session 3
Many organizations implement network services or applications that require the use of a service account. Unfortunately, many vendors require service accounts to be configured to run with the highest possible privileges, often resulting in membership within the domain administrators group. If these service accounts are compromised, an attacker may be able to gain full and unrestricted access to the computer, domain, or entire forest. It is important that you understand how to configure service accounts to only the level of privilege necessary to support the application or network service. If the service account does require administrative-level privileges, you must then be aware of steps to take to ensure the security of your network services.
This session describes methods that you can use to increase the security of service and critical accounts.

Les recordamos que para acceder a los webcast, lo pueden hacer desde internet en el sitio
http://www.microsoft.com/latam/technet/video/webcast.asp

jueves, 2 de febrero de 2006

Virus Kamasutra

ALERTA DE SEGURIDAD
En el día de mañana (3 de febrero) se activa el virus Kamasutra. El código malicioso, cuyo nombre técnico es W32/Nyxem-E, llega en correos con encabezados "sugerentes" y un texto que promete referencias al antiguo libro indio del arte erótico”.
Como parte de la propagación, se copia a través de la red e infecta archivos DESKTOP.INI y TEMP.HTT en las carpetas compartidas.
Después de la ejecución el virus copia el SCANREGW.EXE en la carpeta de Windows.
El efecto más común, es al loguearse en la consola, se abren ventanas de Winzip (instancia el WinZip Quick Pick.lnk)
Se recomienda borrar los correos que arriben a su casilla de correo con este contenido y tener actualizado el antivirus.

Saludos

Quique