Boletín 22 - Políticas de Seguridad de la Información - 20/11/2005


1. Artículo propio del día: Políticas de seguridad de la información
2. El Rootkit del caso Sony... Continuación
3. Curiosidad: el poder de Google en un mapa
4. Legislación x 3
5. JA de la semana: dos que valen por tres



1. Artículo propio del día: Políticas de seguridad de la información


Hace tiempo cuando empecé a abordar el tema de la seguridad informática cometí el error de pensar que la seguridad en una organización podía lograrse con una gran cantidad de herramientas y elementos técnicos. El tiempo, la experiencia y la permanente capacitación me han demostrado cuan equivocado estaba y es por eso que he decidido volcar en estas líneas algunos argumentos que ayuden a aquellos que recién comienzan a no cometer los mismos errores.


En el mundo actual la INFORMACIÓN es el elemento primordial de cualquier organización y por ende la SEGURIDAD DE LA INFORMACIÓN (SI) es un asunto tan importante como la información misma, pues afecta directamente a la organización o a individuos de la misma.


Como aprendimos en la escuela siempre que hay un proceso de comunicación los elementos que intervienen son: la información transmitida, el emisor, el medio por el cual se transmite y el receptor.
Si acordamos en llamar ACTIVOS a estos elementos entonces, podremos identificar lo que la SI debe proteger:

El primer paso para abordar el tema de la SI es reconocer los RIESGOS a los que están expuestos esos activos y el impacto que esto origina a los objetivos de la organización.


Actualmente existen infinidad de legislaciones, políticas, normas, metodologías y herramientas que dan soporte a la SI y que pueden ser libremente utilizadas por las organizaciones a fin de ordenar la gestión de la seguridad.

Algunas de estas normas simplemente buscan la normalización de las tareas, como es el caso de la ISO 17799, y otras tienen como objetivo la certificación internacional en estos temas, como la ISO-9001 o la BS-7799.


Más allá de cual sea el criterio aplicado, incluso puede ser uno propio, llegaremos a que todas las etapas se pueden resumir en el concepto que la SI tiene como objetivo preservar:

Para lograr estos objetivos es fundamental contar con el acuerdo y compromiso de todos los involucrados, ser acordes y estar alineados a los objetivos generales de la organización.


Así, es más que claro que la seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión, política y procedimientos adecuados que consideren a las personas como el primer eslabón, y generalmente el más débil, de una compleja cadena de responsabilidades.


Continuará...



2. El Rootkit del caso Sony... Continuación


No se porque pero este caso me sigue asombrando... Quizás sea por la demostración de soberbia del responsable de Sony quien declaró: "La mayoría de la gente no tiene ni idea de lo que es un rootkit, así
que ¿por qué debería importarles?"; o quizás sea por la violación de licencias Open Source en la que incurrieron para crear un software propietario que invade la intimidad del usuario; o quizás sea porque
en su licencia dicen que se reservan el derecho de hacer lo que quieran... En fin, aquí la historia completa escrita por una autoridad en criptografía Bruce Schneier: http://www.kriptopolis.org/node/1467

Más información en:
http://seguinfo.blogspot.com/2005/11/nueva-informacin-sobre-el-caso-sony.html

El rootkit del DRM de Sony: la verdadera historia: http://seguinfo.blogspot.com/2005/11/el-rootkit-del-drm-de-sony-la.html

Sony habría robado código del hacker "DVD Jon" para incorporarlo en su rootkit: http://seguinfo.blogspot.com/2005/11/sony-habra-robado-cdigo-del-hacker-dvd.html

Sony: "Nos reservamos el derecho a instalar spyware en su PC": http://seguinfo.blogspot.com/2005/11/sony-nos-reservamos-el-derecho.html

Sony abandona el rootkit anticopia: http://seguinfo.blogspot.com/2005/11/sony-abandona-el-rootkit-anticopia.html



3. Curiosidad: el poder de Google en un mapa


Este es un mapa animado con las consultas a Google en todo el planeta el 14 de agosto de 2003:http://labs.google.com/papers/sawzall-20030814.gif

¿Qué pasó ese día?
http://es.wikipedia.org/wiki/14_de_agosto



4. Legislación x 3


a. Me gustaría recibir algún comentario de los lectores de este boletín, sobre todo de los que son considerados "enemigos de Internet" en: http://www2.noticiasdot.com/publicaciones/2005/1105/1811/noticias/noticias_181105-03.htm


b. Como saben los que siguen segu-info, el principal esfuerzo que hacemos día a día es por COMPARTIR información, para que esta llegue al mayor número de habitantes posibles.
Espero no recibir algún tipo de sanción por compartir, como lo demuestra este principio de acción contra temibles "piratas": http://seguinfo.blogspot.com/2005/11/demandan-20-usuarios-argentinos-por.html

Al final de la noticia se lee: "En el encuentro de hoy se pudo ver al productor discográfico y hoy titular de la filial Argentina del conglomerado Sony-BMG, Afo Verde, con el ex Soda Stereo Charly Alberti, además de directivos de sellos grandes y chicos".

Espero que pronto empresas como Sony impongan orden y se termine con esta delincuencia que no hace más que perjudicar a las discográficas multinacionales (perdón, ¿no debería haber dicho autores?).
Por si no queda claro el sarcasmo anterior, referirse al caso Sony para observar como hacer bien las cosas preservando la privacidad de los usuarios.


c. El pedido de extradición de Gary McKinnon a EE.UU. encuentra una fuerte oposición en Internet: http://www.kriptopolis.org/node/1456
http://freegary.org.uk/



5. JA de la semana: dos que valen por tres


a. Esto si que demuestra un alto nivel cultural: http://www.filmica.com/david_bravo/archivos/002494.html


b. Extraño instrumento para el bolsillo del caballero y la "cartera" de la dama: http://www.noticiasdot.com/publicaciones/2005/1105/0411/noticias/noticias_041105-19.htm


Actualidad

Virus-Antivirus