sábado, 30 de mayo de 2015

Robos Cibernéticos

ROBOS CIBERNÉTICOS
En los últimos años los robos cibernéticos han ido incrementando con el avance tecnológico, ya que gracias a dicha tecnología se puede obtener información de otras personas o empresas a través de los hackers, convirtiéndose en un grave peligro tanto en el área laboral como familiar.

Por otro lado, estos avances también ayudan a personas especializadas en la captura de dichas personas que se dedican a invadir la privacidad, utilizando instrumentos como detector de huellas digitales, cámaras, GPS, códigos, etc. 

Los robos cibernéticos tienes una mayor alcance que pueden incluir tradicionales tales como el fraude, el robo y chantaje en los cuales, las PC´s y redes han sido utilizadas como medio de acaceso a dichos robos de información.

 Hace poco pude observar un ejemplo de este delito llamado robos cibernéticos a través de una película, la manera en como estos hackers pueden acceder a nuestra información es asombrosa, incluso muchas empresas se prestan para este delito. Por este medio de acceso se puede llegar no sólo a el robo de información, sino también al acoso, fraude, secuestro, ya que estos hackers con acceso a toda tu información saben lo que haces.





Publicado por en No hay comentarios:

Seguridad Física


SEGURIDAD FÍSICA


1. En este caso la PC´s se reinicia o se apaga automáticamente, impidiendo el uso contínuo de trabajadores o usuarios que desean de su disponibilidad.

Causas:
  • Una de las cuasas puede ser la presencia de un vírus, o mala conexión proveniente del gabinete o cooler.
  • Otra  causa puede ser el recalentamiento de las PC´s.
Soluciones:
  •  Si se trata de un virús, definitivamente instalar un antivírus adecuado.
  • Por otro lado, si se trata del recalentamiento, es evidente mantener la PC´s en un lugar ventilado, pero libre de exposición al polvo o al humo,  así mismo dar mantenimiento al interior del case para evitar este y otro tipo de problemas presentados en las PC´s.
2. Otro caso común en las PC´s es el ruido proveniente del case.

Causas:
  • Puede ser que un cable esé mal puesto o suelto.
  • Placa mal puesta.
  • Falla del cooler o la fuente.
Soluciones:
  • Abri el case para verificar si todos los cables están bien conectados, de preferencia se puede unir los cables para que se vean distribuidos y ordenados, de esta manera evitando el rose con cualquier cable, provocando los ruidos en el case.
  • Revisar los diferentes dispositivos dentro del case, que su conexión esté correcta.
3. Problemas en las redes.

Causas:
  • La causa más sobresaliente, es que el cableado esté mal.
  • Puede ser que la PC no este configurada para estar conectada a una red.
Soluciones:
  • Revisar el cableado, si este se encuentra en mal estado, reemplazarlo pero previamente provado pro un tester para que su reemplazo no haya sido en vano.
  • Configurara la PC para que esté conectada a cierta red.












Publicado por en No hay comentarios:

jueves, 28 de mayo de 2015

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

1. ORGANIZACIÓN INTERNA.
 
La organización interna tiene como objetivo gestionar la seguridad de la información dentro de la organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización y/o empresa.

1.1. Comité de gestión de seguridad de la información.

Ø  Control: La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información. 
Ø  Guía de implementación: El comité de gestión de seguridad debe realizar las funciones que son:
  • Asegurar que las metas de la seguridad de información sean identificadas, relacionarlas con las exigencias organizacionales y que sean integradas en procesos relevantes.
  • Formular, revisar y aprobar la política de seguridad de información. 
  • Revisión de la efectividad en la implementación de la política de información. 
  • Proveer direcciones claras y un visible apoyo en la gestión para iniciativas de seguridad. 
  • Proveer los recursos necesarios para la seguridad de información. 
1.2 Asignación de responsabilidades sobre seguridad de la información.

Ø  Control: Deberían definirse claramente las responsabilidades.
Ø  Guía de implementación: Es esencial que se establezcan claramente las áreas de las que cada directivo es responsable; en particular deberían establecerse las siguientes:
  • Identificarse claramente los activos y los procesos de seguridad asociados con cada sistema específico.
  •  Nombrarse al responsable de cada activo o proceso de seguridad, y deberían documentarse los detalles de esta responsabilidad.
1.3 Proceso de autorización de recursos para el tratamiento de la información.

Ø  Control: Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información.
Ø  Guía de implementación: Deberían considerarse los siguientes controles:
  •  Los nuevos medios deberían tener la aprobación adecuada de la gerencia de usuario, autorizando su propósito y uso. También debería obtenerse la aprobación del directivo responsable del mantenimiento del entorno de seguridad del sistema de información local, asegurando que cumple con todas las políticas y requisitos de seguridad correspondientes.
  •  Dónde sea necesario, se debería comprobar que el hardware y el software son compatibles con los demás dispositivos del sistema. 
1.4 Acuerdos de confidencialidad.

Ø  Control: Requerimientos de confidencialidad o acuerdos de no divulgación para la protección de información deben ser identificadas y revisadas regularmente.
Ø  Guía de implementación: Para identificar requerimientos de confidencialidad o acuerdos de no divulgación, se deben considerar los siguientes elementos:
  • Responsabilidades y acciones de los signatarios para evitar acceso desautorizado a la información. 
  • Propiedad de la información, secretos del comercio y de la propiedad intelectual, y cómo esto se relaciona con la protección de la información confidencial.
1.5 Contacto con autoridades.

Ø  Control: Deben ser mantenidos contactos apropiados con autoridades relevantes.
Ø  Guía de implementación:
  •  Las organizaciones deben de tener procedimientos instalados que especifiquen cuándo y por qué autoridades deben ser contactados. 
  • Las organizaciones bajo ataque desde el Internet pueden necesitar de terceros para tomar acción contra la fuente de ataque.
1.6 Revisión independiente de la seguridad de la información.

Ø  Control: El alcance de la organización para gestionar la seguridad de información y su implementación deben ser revisados independientemente en intervalos planificados cuando cambios significativos a la puesta en marcha de la seguridad ocurran.
Ø  Guía de implementación:
  •  La revisión independiente debe ser iniciado por la gerencia. 
  • Esta revisión debe ser llevado a cabo por individuos independientemente del área bajo revisión. 
  • Los resultados de la revisión independiente deben ser registrados y reportados a la gerencia.
2. SEGURIDAD EN LOS ACCESOS DE TERCERAS PARTES.

La seguridad en los accesos de terceras partes tiene como objetivo mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros.

2.1 Identificación de riesgos por el acceso de terceros.

Ø  Control: Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso a los mismos. 
Ø  Guía de implementación: Membrecía en grupos de interés especial o foros deben ser considerados debido a que:
  •  Mejorar el conocimiento sobre mejores prácticas y estar actualizado con información relevante de seguridad. 
  • Recibir alertas de detección temprana, advertencias y parches que para los ataques y a las vulnerabilidades. 
  • Ganar acceso a consejos especializados de seguridad de información. 
  • Compartir e intercambiar información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades.
Ø  Guía de implementación: La identificación de los riesgos relacionados con el acceso a terceros debe de tomar en cuenta los siguientes puntos:
  •  Las instalaciones del procesamiento de la información a la que terceros requieren acceso. 
  • El tipo de acceso que terceros tendrán a la información y a las instalaciones del procesamiento de infamación. 
    • Acceso físico, por ejemplo oficinas o salas de ordenadores. 
    • Acceso lógico, por ejemplo la base de datos de la organización o sistemas de información. 
    • Conectividad de red entre la organización y terceros, por ejemplo la conexión permanente o acceso remoto. 
2.2 Requisitos de seguridad en contratos de outsourcing.

Ø  Control: Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes. 

Ø  Guía de implementación: Los siguientes términos deben ser considerados para inclusión en el acuerdo con el fin de satisfacer los requisitos identificados de seguridad:
  • La política de información de seguridad. 
  • Los controles que aseguren la protección del activo, incluyendo:  
    • Procedimientos para proteger los activos organizacionales, incluyendo información, software y hardware. 
    • Controles cualquiera de protección física requerida y mecanismos. 
    • Controles para asegurar la protección contra software malicioso. 
    • Procedimientos para determinar si es que se compromete el activo, como la pérdida o modificación de la información, software y hardware, ha ocurrido. 
    • Confidencialidad, integridad, disponibilidad y cualquier otra propiedad relevante de los activos. 
  • Capacitación en los métodos, procedimientos y seguridad para usuario y administrador. 
  • Responsabilidades con respecto a la instalación y el mantenimiento del hardware y software. 
  • Política de control de acceso, cubriendo: 
    • Las diferentes razones, requerimientos y beneficios que hacen el acceso por terceros necesario. 
    • Métodos permitidos de acceso y el control y uso de identificadores únicos como ID de usuario y contraseñas. 
    • Un proceso autorizado para acceso de usuarios y los privilegios.


Publicado por en No hay comentarios:

miércoles, 27 de mayo de 2015

Clasificación y control de activos de una seguridad



CLASIFICACIÓN Y CONTROL DE ACTIVOS DE UNA SEGURIDAD

ANÁLISIS DE RIESGOS

Análisis de riesgos, en economía, estimación de los riegos implícitos en una actividad.Todas las decisiones que se toman en el mundo de negocios implican cierto grado de incertidumbre o de riesgo.
En una empresa, expuesta a los riegos tradicionales y nuevos, encuentra sentido el que los expertos se ocupan de su análisis sistemático y organizado.
Es válido afirmar, que el Análisis de Riesgos que supone un determinado peligro tiene por objeto, predecir la probabilidad de ocurrencia del accidente y las consecuencias que pueda provocar. Por tanto el análisis de riesgos es útil para tomar decisiones ante un determinado peligro que pueda afectar a una persona, empresa, etc.


RESPONSABILIDAD SOBRE LOS ACTIVOS

Objetivo: žMantener una protección adecuada sobre los activos de la organización. Todos los activos deben ser considerados y tener un propietario asignado. Deberían identificarse los propietarios para todos los activos importantes, y se debería asignarla responsabilidad del mantenimiento de los controles apropiados. La responsabilidad de la implantación de controles debería delegarse. Pero la responsabilidad debería mantenerse en el propietario designado del activos.


INVENTARIO DE ACTIVOS

Todos los archivos deben ser claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes.

Recuperarse de un desastre, incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencia y el valor dentro del negocio. El inventario no debe duplicar otros inventarios sin necesidad , pero debe estar seguro de que el contenido se encuentra alineado. En adición, los propietarios y la clasificación de la información debe ser aceptada y documentada para cada uno de los activos. Basado en la importancia del activo, su valor dentro del negocio y su clasificación de seguridad, se deben identificar niveles de protección conmensurados con la importancia de los activos.


TIPOS DE ACTIVOS
  • Activos de información: archivos y bases de datos, documentación del sistema, manuales de los usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivada.
  • Activos de software: software de aplicación, software del sistema, herramientas programas de desarrollo.
  • Activos físicos: equipo de cómputo, equipo de comunicaciones, medios magnéticos (discos y cintas) u otro equipo técnico.
  • Servicios: servicios de computo y comunicaciones, servicios generales (calefacción, alumbrado, energía, aire acondicionado).
  • Personas, y sus calificaciones, habilidades y experiencia.
  • Intangibles, como la reputación y la imagen organizacional.
Los inventarios de los activos ayudan a asegurar que se inicie su protección eficaz, pero también se requiere para otros propósitos de la organización, por razones de prevención laboral, pólizas de seguros o gestión financiera. El proceso de constituir el inventario de activos es un aspecto importante de la gestión de riesgos. Una organización tiene que poder identificar sus activos y su valor e importancia relativos.


PROPIEDAD DE LOS ACTIVOS

žToda la información y los activos asociados con el proceso de información deben ser poseídos por una parte designada de la organización.

 GUÍA DE IMPLEMENTACIÓN

Los propietarios de los activos deben ser responsables por:
  • Asegurar que la información y los activos asociados con las instalaciones de procesamiento de información sean apropiadamente clasificadas.
  • Definir y revisar periódicamente las restricciones de acceso y las clasificaciones, tomando en cuenta políticas de control aplicables.
žLa propiedad debe ser asignada a:
  • Procesar de negocios.
  • Un conjunto definido de actividades.
  • Una paliación.
  • Un conjunto definido de datos.

žOBJETIVO: Asegurar un nivel de protección adecuado a los activos de información. La información debería clasificarse para indicar la necesidad, prioridades y grado de protección. La información tiene grados variables de sensibilidad y criticidad. Algunos elementos de información pueden requerir un nivel adicional de protección o un uso especial. Debería utilizarse un sistema de clasificación de la información para definir un conjunto de niveles de protección adecuados, y comunicar la necesidad de medidas de utilización especial.


USO ADECUADO DE LOS ACTIVOS DE CONTROL

Las reglas para un uso aceptable de la información y de los activos asociados con las instalaciones del procesamiento de la información deben ser identificadas, documentadas e implementadas. Todos los empleados, contratistas y terceras partes deben seguir las siguientes reglas para el uso aceptable de la información.

  • Regla para correo electrónico y uso de Internet.
  • Guías para el uso de aparatos móviles, especialmente para el uso fuera de permisos de la organización.
























Publicado por en No hay comentarios:

domingo, 24 de mayo de 2015

LOS 11 DOMINIOS DE LA ISO

1. Política de Seguridad: es necesaria una política que refleje las expectativas de la organización en materia de seguridad a fin de suministrar administración con dirección y soporte, esta política también se puede utilizar como base para el estado y evaluación en curso.

2. Aspectos Organizativos: para la seguridad:
Propone diseñar una estructura de administración dentro de la organización, que establezca la responsabilidad de los grupos en ciertas aéreas de la seguridad y un proceso para el manejo de respuesta a incidentes.

3. Clasificación y Control de Archivos: inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinda un nivel adecuado de protección.

4. Seguridad de Recursos Humanos: necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencial. Además implementa un plan para reportar los incidentes.

5. Seguridad Física y del Entorno: responde a la seguridad de proteger las áreas, el equipo y los controles generales.

6. Gestión de Comunicación y Operaciones: los objetivos de este dominio son:
-Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.
-Minimizar el riesgo de falla de los sistemas.
-Proteger la integridad del software y la información.
-Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información.
-Garantizar la protección de la información en las redes y de las infraestructuras de soporte.

7. Control de Accesos: establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos.

8. Adquisición, Desarrollo y Mantenimiento de los Sistemas: hace recordar que en toda labor de la tecnología de la información se debe incrementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

9. Gestión de Incidentes de la Seguridad de la Información: Asegurar que los eventos y debilidades en la seguridad de la información sean comunidades de manera que permitan una acción correctiva a tiempo. 

10. Gestión de Continuidad del Negocio: Sugiere estar preparado para contrarrestar las interrupciones en las actividades de la organización en caso de una falla grave o desastres.

11. Cumplimiento: Evita brechas de cualquier ley civil o criminal. Estatus, obligaciones regulatorios y de cualquier requerimiento de seguridad.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)