El blog de Inforc Ecuador » procedimientos

Signos de la Inseguridad de la informacion

Carlos Jumbo G. — Tue, 18 May 2010 00:30:27 +0000

Cuando las organizaciones no se encuentran atentas a los signos de los tiempos, las sorpresas se hacen evidentes, los riesgos se materializan y los pronósticos se comprometen. En este sentido, las empresas deben “sensar” y responder a su entorno, de tal manera que capitalicen los referentes que marcan las señales del camino con relación a la información, como esa nueva moneda que circula de manera restringida o libre, según se establezca por sus dueños o propietarios.
Así las cosas, este documento presenta una revisión básica sobre la fuga y/o pérdida de la información, la cual busca la restitución de la importancia de la clasificación de la información, no como una actividad del proceso de aseguramiento de la información, sino como una competencia básica que le dé la relevancia a la información como activo real y concreto de las personas y las empresas del siglo XXI.

Somos las personas, los primeros y más importantes custodios de la información y como tal, debemos advertir una serie de buenas prácticas que nos permitan mantener ésta asegurada según se requiera.

Para que esto sea real, la clasificación de la información, es una actividad y a la vez una competencia que cada uno de nosotros debe desarrollar. La información clasificada define el nivel de importancia y protección que una persona debe darle a la misma, lo que en sí mismo, delinea aquello que no deberá circular y lo que deber fluir de manera restringida.

Frente a esta práctica y competencia nuestra en esta sociedad de la información y el conocimiento, existen signos concretos que muestran su necesidad. En el reciente informe elaborado por Forrester por encargo de RSA y Microsoft, liberado en marzo de 2010, denominado The value of corporate data, se advierte que el 57% de las fugas de información de las empresas están asociados con accidentes de los empleados como son: pérdida del teléfono móvil (smartphones), pérdida de computador portátil con información sensible de la empresa y publicación o envío de información sensible de la empresa a través de medios masivos de información o vía correo electrónico respectivamente.

Así las cosas, cuando no se cuenta con una adecuada clasificación de la información que articule la práctica misma con las tecnologías disponibles, las fallas o accidentes que se presenten generarán mayores activos tóxicos, como los menciona el informe de Forrester, en términos de titulares de prensa, multas, sanciones legales y quejas de los clientes, que generan pérdida de valor de la empresa y daños importantes en la imagen y competitividad de la empresa en su entorno de negocio.

Considerando lo anterior, la clasificación de la información o mejor de activos de información, se vuelve una práctica requerida y general para cualquier organización, como la base para adelantar las actividades requeridas en sus relaciones de negocio. No tener asegurada esta práctica, expone a la organización a una pérdida de posicionamiento global e importantes impactos económicos, que debilitan, no solo los informes de pérdidas y ganancias, sino también la moral interna de la organización, pues cada persona recibe un mensaje encontrado que no sabe cómo interpretar frente a una de las actividades centrales de la compañía: generar valor con la información.

Esta realidad de la clasificación de la información, asociada con los elementos de cumplimiento normativo se enfrentan a las necesidades de agilidad de los procesos de negocio y la información secreta, donde reside el 70% de la información clave de las empresas para su posicionamiento local y global, según anota el reporte de Forrester. Para tratar de encontrar un balance entre estas necesidades y realidades organizacionales el informe The Value of Corporate Data establece los siguientes elementos para revisar:

Identifique los más importantes activos de información en su portafolio de negocio. Esto es clasifique la información secreta y restringida de la firma que le permita tener por área de negocio aquellos datos que no deben circular y deben ser custodiados por responsables específicos con medidas de control concretas; y los flujos de información de los procesos críticos de negocio, con aquella información que sólo le interesa a dicho proceso y que requieren medidas de control adecuadas para evitar su filtración, fuga o pérdida. En este último escenario, estos activos de información se volverán tóxicos en la medida que el proceso de gestión de incidentes no se encuentre probado o sea ejecutado de manera improvisada.
Funde el registro de riesgos de seguridad de los datos. Esto es, divida los registros de dos formas: los registros asociados con el cumplimiento normativo y el mal uso de la información secreta. Sabrá que mientras más riesgos materializados por incumplimiento normativo, mayores posibilidades de un mal uso de la información secreta se puede advertir. Así mismo, al materializarse un uso no adecuado de la información secreta, analice en el contexto del área y los individuos que tienen acceso a esta información, para documentar las lecciones aprendidas y fortalecer los esquemas de segregación de funciones y control de acceso requeridos para este tipo de información.
Balancee el programa de seguridad de la información frente a las exigencias de cumplimiento y protección de la información secreta de la empresa. Esto implica comprender las necesidades y expectativas de la gerencia frente al manejo de la información y la “toxicidad” de sus activos, de tal forma que los responsables de la seguridad de la información, puedan avanzar en el fortalecimiento de la cultura de protección de los activos de información, desarrollo de métricas de efectividad del programa de seguridad y generación de confianza en la gestión de la información de la empresas tanto a su interior como con sus asociados y clientes.

Cuando observamos los análisis detallados en este documento, advertimos que se vienen dando signos evidentes que nos sugieren cambios estructurales en la manera como estamos manejando la información tanto a nivel personal como corporativo, lo que exige de los ejecutivos de riesgos empresariales y de seguridad de la información, alinear esfuerzos para incorporar en el desarrollo mismos del diseño de los procesos, las medidas de aseguramiento requeridas para disminuir la fuga y/o pérdida de la información.

Por otro lado, en diferentes industrias se presentan señales que sugieren comportamientos generalizados que materializan riesgos que afectan activos de información claves para las empresas, los cuales muchas veces no son vistos con la relevancia requerida por los altos niveles ejecutivos de las organizaciones, que pueden llevar a caminos peligrosos para la salud financiera y pérdida de imagen en su sector de negocio, afectando su posición y competitividad en el mediano y largo plazo.

En consecuencia, si bien esta reflexión no pretende ser una señal más sobre los signos evidentes que a diario se presentan sobre la inseguridad de la información, quiere proponer algunos elementos de análisis que nos cuestionen sobre lo que a diario ocurre en nuestras organizaciones y no detenernos en nuestro proceso de aseguramiento permanente de los flujos de información en los procesos.

Seguir en la ruta del crecimiento y competitividad organizacional, ignorando las señales del camino propias de la clasificación de la información, las prácticas de gestión segura de la información y el afinamiento de las tecnologías de seguridad requeridas para ello, es asegurar una constante acción reactiva y costosa de las organizaciones, que no se han detenido a pensar la importancia de ese activo real y concreto, cuya fuga o pérdida es el enemigo invisible de su crecimiento, de su posicionamiento.

Cuando la información organizacional, adquiere el status y relevancia en los niveles de decisión de las organizaciones, se abre una alianza real entre la administración de riesgos empresariales y los de seguridad de la información, que requiere de la mediación de los responsables de de la seguridad de la información para poder comprender en el contexto de cada uno de los proceso de negocio, las implicaciones de una fuga y/o pérdida de información empresarial.

Por tanto, no estemos esperando hablar directamente con la alta gerencia para comprender el valor de la información, sino que en cada una de tus acciones y actividades tanto personales como de negocio, sepas interpretar las señales y advertir los signos de la inseguridad, para así poder proceder en consecuencia y conquistar nuestros propios temores.

Referencias: Xombra – IT-Insecurity

Obteniendo la ‘seguridad concienciada’

Carlos Jumbo G. — Mon, 16 Nov 2009 21:44:22 +0000

Frente a las metodologías de seguridad del pasado, la ‘seguridad concienciada’ se caracteriza por una mayor sofisticación, inteligencia y buen juicio aplicados a la seguridad de la información.

Los pasos a seguir por las empresas para alcanzar la ‘seguridad concienciada’, según SafeNet, son los siguientes:

Paso 1: Ser consciente de su ceguera en materia de seguridad
Al concebir un enfoque de seguridad concienciada, es esencial comenzar por echar un vistazo inflexible y franco a los mecanismos de seguridad existentes y entender qué pueden hacer y qué no.

Paso 2: Concienciarse acerca de la información
¿Cómo librarnos de la ceguera de información tipificada por las metodologías de seguridad tradicionales? Actualmente, hay soluciones de cifrado avanzadas que preparan el terreno para proteger los datos concretos, en vez de proteger la información en el sistema, en la red o en un nivel de dispositivo. El cifrado sofisticado, de aplicación o de información son tres mecanismos que determinan una base vital de la que las organizaciones pueden comenzar a obtener la concienciación de información necesaria para satisfacer el doble objetivo de optimizar la seguridad y el rendimiento de la empresa.

Paso 3: Obtener concienciación de información
En un alto nivel, la concienciación de información se caracteriza por mecanismos de seguridad proactivos y no necesariamente reactivos.

En lugar de un sistema de prevención de intrusiones, que requiere actualizaciones constantes para protegerse contra los ataques de ayer, la metodología del mañana será ‘infocéntrica’ y proactiva. Las organizaciones se centrarán en la información necesaria para su protección y a la hora de adoptar las medidas necesarias para asegurar su privacidad, accesibilidad e integridad, sea cual sea la índole de las amenazas planteadas.

Un programa de protección de datos bien diseñado debe basarse en cinco principios y caracterizarse por ser:

Integral: El plan de toda estrategia de protección de datos necesita comenzar por una plataforma universal que se pueda integrar en una amplia gama de servidores de archivos de la empresa, bases de datos, aplicaciones, etc.
Inteligente: La protección de datos debe estar en consonancia con necesidades comerciales y ser definida por ellas.
Persistente: Desde el momento en que se crea un documento y durante su modificación, distribución y borrado, la protección se debe emplear de manera constante, de modo que la información sea autoconsciente. La persistencia encapsula los datos junto con su política y les permite ser accesibles y moverse libremente, de manera que se pueda compartir la información conforme a las necesidades de la empresa y así posibilitar una mayor productividad.
Selectivo: Esto faculta a personas a definir de manera explícita políticas para los datos que se desea proteger.
Proactivo: La protección de datos proactiva es tan transparente y sin contratiempos, que las amenazas se predicen como medio de prevención, debido a un estado de concienciación constante.

Consejos de seguridad

Carlos Jumbo G. — Thu, 29 Oct 2009 12:54:26 +0000

BitDefender nos trae 10 consejos elementales que nos ayudarán a proteger nuestro tesoro más preciado, la información.

No dé nada por supuesto. Dedique un poco tiempo para aprender a asegurar su sistema.
Adquiera y utilice un programa antivirus de confianza. Seleccione un antivirus con reconocido prestigio a nivel mundial. Entre los más respetados laboratorios independientes que realizan pruebas de programas antivirus destacamos Checkmark, AV-Test.org y TuV.
Adquiera y utilice una solución cortafuego fiable. De nuevo, para elegir el producto recomendamos las pruebas hechas por los laboratorios independientes mencionados anteriormente. Algunos sistemas operativos vienen con un cortafuego que sólo filtra el tráfico entrante. Utilice un cortafuego que filtre tanto el tráfico entrante como el tráfico saliente.
No abra mensajes de correo electrónico de remitentes que desconoce o que no son de confianza. Muchos virus se propagan a través del correo electrónico, por lo cual le recomendamos que, en caso de duda, pida una confirmación de parte del remitente.
No abra archivos adjuntos a los mensajes que tienen un asunto sospechoso o inesperado. Si quiere abrirlos, primero guárdelos en su disco duro y analícelos con un programa antivirus actualizado.
Elimine cualquier correo en cadena u otros mensajes no deseados. No reenvíe estos mensajes ni conteste a ellos. Este tipo de mensajes se considera spam, dado que son correos no deseados y no solicitados que sobrecargan el tráfico de Internet.
Evite instalar servicios o aplicaciones que no sean necesarios en las actividades del día a día en un puesto de trabajo, como servidores de transferencia de archivos o de archivos compartidos, servidores de acceso remoto o similares. Los programas de este tipo son potencialmente peligrosos, y no se deben instalarse si no son absolutamente imprescindibles.
Actualice su sistema y sus aplicaciones regularmente. Algunos sistemas operativos y aplicaciones pueden ser configuradas para actualizarse automáticamente. Aproveche esta facilidad. El hecho de no actualizar el sistema frecuentemente puede dejarlo vulnerable frente a amenazas para las cuales ya existe solución.
No copie ningún archivo desconocido o de fuente no fiable. Verifique la fuente (procedencia) de los archivos que descarga y asegúrese de que los archivos ya han sido analizados por un programa antivirus.
Haga copias de seguridad de sus datos personales importantes (correspondencia, documentos, fotos y similares) regularmente. Guarde estas copias en discos extraíbles como CD o DVD. Guarde sus copias de seguridad en una ubicación distinta a la de su ordenador.

La guía de Google para la seguridad online de la familia

Carlos Jumbo G. — Thu, 25 Jun 2009 21:59:21 +0000

Google Latinoamérica ha presentado una interesante guía para la seguridad online de la familia, la misma que contempla una serie de consejos prácticos con el propósito de:

Brindarle a los padres herramientas que los ayuden a elegir qué contenidos quieren que sus hijos vean online.
Educar a las familias sobre cómo pueden hacer uso de Internet en forma segura.

Además de recomendaciones que les permitirán conocer como cuidar su privacidad, cómo minimizar el acceso a contenidos inapropiados y como participar de redes sociales sin revelar información sensible que no es para compartir con cualquiera, como así también saber cómo participar para denunciar la publicación de materiales considerados inadecuados.

Descargar la guía (PDF 157kb)

Decálogo de Seguridad

Carlos Jumbo G. — Wed, 24 Jun 2009 00:53:51 +0000

Instalar todas las actualizaciones de seguridad de tu sistema operativo, sobre todo las críticas para evitar que tu sistema se vea comprometido por tercero.
Mantén tu antivirus actualizado al día, realiza análisis diarios y sobretodo mantén tu cortafuego activado en época de vacaciones.
Evita consultar tu correo, cuentas bancarias o información sensible a través de ordenadores públicos.
Utiliza las conexiones Wifi públicas (aeropuertos, restaurantes, bares, etc.) para consultas generales evitando enviar ni consultar información privada ya que puede ser capturada por terceros.
No abrir correo electrónico dudoso incluso viniendo de conocidos. Es mejor asegurarse que ha sido enviada por la persona conocida antes de abrirlo.
Evita mantener encendido el bluetooth y wireless del móvil, ordenador o PDA si no es necesario.
Asegúrate de desactivar el auto arranque de las unidades extraíbles como memorias USB, tarjetas SD, CF, etc. Para evitar ser contagiado por USB de terceros, protege tus tarjetas de memoria y USB contra escritura para cuando los insertes en ordenadores de otros.
Comprueba periódicamente los movimientos en cuentas bancarias y tarjetas de crédito.
Evita dejar tu portátil sin supervisión en lugares públicos.
Haz copias de seguridad de tu sistema antes de salir de vacaciones.

Fuente: Segu Info

Procedimientos de manipulación de datos en el Gobierno Inglés

Carlos Jumbo G. — Thu, 17 Jul 2008 04:31:00 +0000

El informe final sobre los procedimientos de manipulación de datos en el Gobierno inglés ha sido publicado. En el informe se establece la forma de mejora de los compromisos del Gobierno en torno a la seguridad de la información y los datos, poniendo en marcha medidas de protección básicas, lograr una cultura de trabajo, mejorar la gestión y control del rendimiento.

Acceso libre a los distintos documentos en pdf en Cabinet Office.

Fuente: ISO27001.es

¿Que hacer en caso de desastre?

Carlos Jumbo G. — Sat, 07 Apr 2007 10:11:00 +0000

Voy a publicar el artículo completo que Matthew D. Sarrel lo escribió para la revista PC MAGAZINE en español sobre lo vital que resulta elaborar un plan para continuar con el negocio en caso de desastre.

¿Que le sucedería a tu negocio en caso de que ocurriera un desastre? El antiguo adagio “espera lo inesperado” es clave para entender los principios de la planeación para continuar con tu negocio.
Muchos dueños de compañías pequeñas dejan de desarrollar un plan de este tipo porque creen que no pueden pagar los recursos necesarios. Sin embargo, la escasez de recursos hace que el plan sea mucho más esencial. Estos son algunos pasos que puedes seguir para crear uno:Lo primero que debes entender es que los desastres suceden. Inundaciones, incendios, tornados y terremotos son riesgos cuya probabilidad depende de donde te encuentres, pero nunca es nula. El hecho de decir “si hay un desastre, nos las arreglaremos” es garantía de que fracasarás. Las pequeñas empresas no pueden darse ese lujo. Deben ser creativas.
El dueño o el director general debe dedicarse a desarrollar un plan para continuar con el negocio. No se trata sólo de una cuestión de TI; un desastre afectará todas las líneas del negocio. Por tanto, un plan detallado requiere de la participación de distintos grupos. Deja muy en claro que esperas la contribución de todos, sin importar el departamento en el que trabajen. Además, al distribuir el presupuesto y las labores de todo el personal envía el mensaje de que la compañía está preparada para actuar con rapidez y decisión.

El siguiente paso es realizar un análisis de riesgos. Revisa cada área del negocio y anota los riesgos. ¿Cuanto dinero perderías? ¿Cuántos clientes perderías?. No olvides que necesitas proteger la información electrónica y en papel, como los contratos. Guarda los documentos en papel dentro de un archivero resistente al fuego, sacas copias de todos y guárdalas fuera de la oficina, o bien, escanéalos para almacenarlos en un sistema de administración de documentos.

En muchos casos, el mejor plan de continuidad para empresas pequeñas es un manual de operaciones preciso y actualizado que describa la forma en que manejas el negocio, creas respaldos y manejas la estructura de telecomunicaciones, además de incluir la lista de proveedores y clientes con la información necesaria para contactarlos.
Guarda este manual en un lugar al que tus empleados tengan acceso y donde lo puedan actualizar desde cualquier parte, a la manera de sitio web protegido.

En caso de desastre, es esencial mantener una comunicación abierta. En las horas antes de que ocurra, o durante el siniestro, deberás establecer contacto con tus empleados de manera individual, para explicarles qué está sucediendo, así como para darles las instrucciones pertinentes. Un servicio de mensajes como AlertFind de Message One puede ser muy útil, pero una empresa pequeña con presupuesto limitado puede salir adelante con llamadas telefónicas. Y protege tu información y tus documentos; respalda todo en un lugar fuera de la oficina; crea un sitio web seguro; respalda tus archivos y los de todos tus empleados locales en la unidad C, y no solo en e servidor. No lo olvides.

El hombre que tiene un plan.

Reinhart Koch, asesor de continuidad de negocios de Avaya, ofrece estos consejos:

Pide al director general o al dueño del negocio que comprometa a la fuerza laboral y los recursos, y asigna una función a cada persona.

Si se presenta un desastre, llama a todos los empleados para mantenerlos al tanto. Utiliza conferencias de vídeo y/o tele conferencias para maximizar las llamadas. Envía mensajes de texto si la red de teléfonos está saturada.

Cuánto cuesta un desastre

Entre 1986 y 2005, los desastres climáticos y de otro tipo dieron como resultado pérdidas que superaron los 278 mil millones de dólares. Este es un análisis de los tipos de desastres y las pérdidas.