"Cuando hables, procura que tus palabras sean mejores que el silencio"

[ Proverbio Hindú ]


Boletín 77 - Escribiendo Políticas de Seguridad - 14/01/2007

Leído por ahí (en el Blog de Ricardo Galli)

La construcción de la matanza de los judíos no comenzó con los ladrillos de los campos de concentración, comenzó mucho antes. Comenzó a construirse con las palabras [de Hitler], y con el silencio de muchos que no se atrevieron a decir que era una locura.



1. Artículo del Día: Escribiendo Políticas de Seguridad
2. Resultados de las dos encuestas de Segu-Info
3. Certificaciones de Seguridad (Actualizado)
4. Buscamos colaboradores
5. Noticias de esta semana
6. Desafío de la semana



1. Artículo del Día: Escribiendo Políticas de Seguridad


Esta semana nació un nuevo proyecto en Segu-Info, llevado adelante por colaboradores del Foro. En el mismo, y respetando un poco los resultados de la encuesta para este 2007 (ver abajo), se comenzó a trabajar en el texto de una Política de Seguridad.


El objetivo es plasmar una Política para una empresa genérica, sin entrar en pormenores puntuales, ni estándares, ni guías, ni procedimientos técnicos.


El proyecto es abierto y cualquier persona puede participar (ver condiciones) aportando ideas, conocimiento, documentos o simplemente las ganas de ayudar.


En el transcurso de esta semana he observado lo difícil que es plantear un trabajo y llevarlo a cabo cuando los participantes son un grupo de personas, ubicado en distintas latitudes, que desconocen a los otros participantes, con distintos niveles de conocimiento, con distinta educación y con distintas experiencias.


Esta tarea titánica que se han propuesto es una muestra de lo que sucede en las organizaciones cuando se desea llevar a cabo un proyecto de estas características y también es una muestra de lo que se puede realizar en una comunidad organizada (aunque la misma sea virtual como en este caso).


Por supuesto no existe una forma única y perfecta de escribir una política y, todo lo contrario, quizás la misma esté teñida de circunstancias y hechos únicos e irrepetibles en otros contextos


Cuando se desea escribir una Política lo primero que se observa es la falta de decisión de hacia donde se debe apuntar con la misma.


Esto viene asociado a la falta de madurez de las organizaciones y del mercado actual en la realización de este tipo de tareas.


Una Política (de Seguridad) es un plan determinando los recursos (activos) críticos de la organización y la forma en que ellos deben y pueden ser protegidos adecuadamente, informando que está permitido y que no, así como la responsabilidad de protección de los recursos que deben asumir todos los miembros de la organización.


Actualmente pueden obtenerse distintas políticas para observar como las mismas han sido desarrolladas, siguiendo los estándares internacionales al respecto (BS, ISO, COBIT, ITIL, SOX, etc.).


En sus primeros puntos el documento debería explicar el porqué de la necesidad de la política, sus objetivos, sus alcances, la forma que la misma será actualizada (recordar que es un ciclo continuo) y debería dar algunas definiciones globales utilizadas en el resto del documento.


Además, en esta primera instancia es fundamental contemplar los requisitos legales, jurídicos y contractuales vigentes en los países en los que la organización desempeñe sus actividades.


A continuación, el paso fundamental es determinar cuales son los activos (y procedimientos) de la organización que deben protegerse, así como su funcionalidad y su criticidad.


Muchas veces se comete el error de evitar o no llevar a cabo este procedimiento, generalmente conocido como "Análisis de Riesgo".


Recordar que, así como no se puede saber donde ir si no se sabe donde se está; no se puede saber el estado deseado, desconociendo el estado actual.


En este paso se deben contestar las siguientes preguntas:

Una vez obtenido este análisis se estará en condiciones de comenzar a desglosar cada una de los activos y las formas de protección así como los responsables de esos activos.


Se deberá establecer un plan efectivo para medir los beneficios que acarrea la implementación de la política. Eso ayuda a contrastar el pasado (anterior a la política) con el presente, brindando resultados reales de su implementación.


Este paso puede bajarse al trabajo diario a través de tableros de control y encuestas.


Por ejemplo en la política se puede exigir una política de uso de claves seguras y luego medir dos aspectos de su implementación:

También deberán definirse los premios y los castigos correspondientes a cada buena acción y a cada violación de la política. Debe tenerse en cuenta que luego de definirlos, se debe cumplir con lo estipulado, lo que dará mayor confianza en la veracidad de lo escrito, ayudando a que sea tomado como "la ley" de la organización.


Aquí es donde otro punto fundamental debe ser tenido en cuenta: la política parte de la Alta Gerencia, con su autorización y apoyo incondicional.


Sin este apoyo nada se lleva a cabo, pero esta misma Alta Gerencia debe cumplir lo estipulado en la política. Como es adivinable esto es sumamente difícil de cumplir en cualquier organización lo que quita fuerza a la implementación: ¿si él lo hace por qué yo no puedo?. Incluso este punto puede ser el motivo de fracaso de la política.


En la misma política se deberá contar con un plan adecuado de Capacitación y Concientización que acompañe a la implementación de la política. Los miembros de la organización deben comprender y estar convencidos de los beneficios de la misma, pero además es la forma óptima de que ayuden y faciliten su implantación.


Con lo que respecta a la protección de los activos propiamente dichos, los estándares actuales como BS, ISO, COBIT e ITIL dan los lineamientos necesarios para llevar a cabo la correcta implementación de los mismos.


En líneas generales, básicamente se podrá seguir la ISO 27000 (anterior 17799) para llevar a cabo mejoras en las siguientes áreas:

Como puede verse el documento no tiene porque ser extenso ni complejo pero debe comprenderse desde el comienzo el objetivo del mismo así como los puntos básicos a contemplar.


También, luego de la implementación (o durante), este documento no debe ser olvidado y se deberá mantener actualizado cumpliendo el ciclo establecido previamente en la misma Política.


Finalmente, al contrario de lo que suele creerse, no tiene porque ser certificable (si bien puede serlo) ante ninguna entidad nacional o internacional. La política que se acaba de escribir es un plan guía interno. Se deber ser consciente que lo plasmado es un conjunto de "Buenas Prácticas" que tienden a mejorar (y asegurar) el trabajo diario.


Más Información sobre el Proyecto, en nuestro Foro.
http://www.segu-info.com.ar/foro/?q=Politicas


Capacitación y Concientización en Organizaciones


Descargar Políticas e Información




2. Resultados de las dos encuestas de Segu-Info


Cumpliéndose el mes de la apertura de las encuestas, ambas han sido cerradas y a continuación se detallan los resultados de las mismas.

En la primera de ella debo decir que me siento decepcionado por la cantidad de votos alcanzada ya que apenas el 7% de los usuarios suscritos han emitido su opinión.


¿Qué incorporarías a Segu-Info el próximo año?

http://www.egrupos.net/grupo/seguinfo/encuestas/3

A todos los votantes GRACIAS por confiar en nosotros y sin duda el crecimiento del sitio en el 2007 apuntará a cubrir las temáticas elegidas por ustedes.


Con respecto a la segunda encuesta, disponible en nuestra página principal, los resultados son los siguientes:


¿Pagarías un evento de Seguridad organizado por Segu-Info?

Con respecto a los resultados de esta encuesta pronto esperamos tener noticias, cumpliendo con el requerimiento de costos adecuados.


Gracias por elegirnos!



3. Certificaciones de Seguridad (Actualizado)


Hemos actualizado nuestro Artículo 39 [1] con la información de las Certificaciones actuales de Seguridad. La información ha sido obtenida de la publicación de noviembre de la revista CertMag.


Este artículo será la base de la futura sección de Certificaciones de Seguridad de Segu-Info para la que buscamos colaboradores.


[1] Certificaciones

Artículo 39 - Certificaciones de Seguridad

Artículo 52 - Estudiando CISA

Artículo 54 - Certificación CISSP



4. Buscamos colaboradores


Como ya hemos anunciado, es inminente el lanzamiento del nuevo Segu-Info. Esto nos ha provocado una sobrecarga de tarea considerable de programación (en PHP-MySql) que lamentablemente se siente en la información brindada en los Boletines y en la periodicidad de actualización del sitio actual.


Los cambios realizados, más allá de estéticos, tiene como objetivo poder proporcionar una forma más sencilla de llegar a la información solicitada.


En esta actualización también aprovecharemos para agregar importante cantidad de información sobre temas diversos.


Es por esta sobrecarga que solicitamos colaboradores. Cualquier ayuda que puedas brindar será bienvenida:

Por este medio también quiero aprovechar para agradecer la ayuda de todos los colaboradores que alguna vez han estado y a los actuales. Es importante que sepan que por mínima que sea la ayuda, eso ayuda a crecer a una gran comunidad.



5. Noticias de esta semana


Estas noticias pueden ser consultadas directamente desde nuestro sitio web.


También pueden ser recibidas por correo una vez al día al suscribirse a nuestro blogger en nuestro sitio en la parte superior derecha donde se lee "Blog en tu Mail (mail diario)"


13 de enero

12 de enero

11 de enero

10 de enero

09 de enero

08 de enero

07 de diciembre


6. Desafío de la semana


Solución al desafío del boletín anterior (76):


Dos posibles explicaciones que llevan al mismo resultado (4.5 cm3).

Un cuadrado tiene 6 caras, por lo que si tenemos que utilizar el centro de cada cara del cuadrado para construir otro poliedro, resultará un octaedro. Aplicando el teorema de Pitágoras se encuentra el valor de la arista, aplicando la fórmula para octaedros, deducimos que el área buscada es de 4.5 cm3.


Se divide la figura interior en dos pirámides, se calculan los lados de la pirámide por Pitágoras y se obtiene la altura. Se aplica la formula del área de la pirámide y se obtiene 4.5 cm3.


Respondió correctamente: [email protected]


Desafío de esta semana:

El año 2007 comienza y nos lleva a:
7200 - 0027 = 7173
¿Alguien me puede decir a donde llegamos siempre?


Actualidad

Virus-Antivirus