{"id":1997,"date":"2023-01-18T06:57:11","date_gmt":"2023-01-18T12:57:11","guid":{"rendered":"https:\/\/walternavarrete.com\/?p=1997"},"modified":"2023-01-18T06:57:11","modified_gmt":"2023-01-18T12:57:11","slug":"controles-de-seguridad-primeros-pasos-parte-2","status":"publish","type":"post","link":"https:\/\/walternavarrete.com\/academy\/controles-de-seguridad-primeros-pasos-parte-2\/","title":{"rendered":"Controles de Seguridad – Primeros pasos (Parte 2)"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Controles de Seguridad - Primeros pasos (Parte 2)<\/h3>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Implementando un SGSI (Sistema de Gestion de Seguridad de la Informaci\u00f3n)<\/h2>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Hemos llegado al momento FORMAL de establecer lo que llamar\u00e1 de ahora en adelante un sistema de gesti\u00f3n de seguridad en una organizaci\u00f3n, por lo que los aspectos a considerar ser\u00edan:<\/p>

Punto #1 – \u00bfCu\u00e1l est\u00e1ndar de seguridad adoptar?<\/h5>

Yo s\u00e9, ya est\u00e1n pensando en la ISO 27001 y esta bien, pero a nivel de seguridad hay muchos otros est\u00e1ndares que en dependencia del tipo de empresa, aspectos contractual que pueda tener la empresa deber\u00e1 de adoptar est\u00e1ndares de cumplimiento como parte de dicho contrato, por efecto de cotizar en una bolsa de valores, etc…etc…<\/p>

Dado lo anterior, veamos a continuaci\u00f3n algunos est\u00e1ndares de seguridad que podr\u00edan ser adoptados para efecto de cumplimiento seg\u00fan lo pueda llegar a requerir la empresa:<\/p>

  • ISO\/EIC 27001<\/strong>\u00a0… por naturaleza cuando hablamos de controles de seguridad de la informaci\u00f3n, este es el est\u00e1ndard que sale primero a relucir \u00bfpor qu\u00e9?, bueno este es el estandard que define como tal el SGSI o de sus siglas en ingles ISMS (Information Security Management Systems) …\u00a0<\/li>
  • ISO\/EIC 22301<\/strong>\u00a0… si debemos de formalizar los procesos y controles para la implementaci\u00f3n de un plan de continuidad del negocio (BCP – Business Continuity Plan) el cual incluye la definici\u00f3n de un plan de recuperaci\u00f3n ante desastres (DRP – Disaster Recovery Plan) \u00e9ste es el estandar que define todos esos aspectos y controles por implementar.<\/li>
  • NIST CFG<\/strong>\u00a0… si estaban pensando que los controles de la ISO 27001 defin\u00eda los controles de Cyberseguridad y protecci\u00f3n 100% de sistemas, pues NO… NIST que significa\u00a0N<\/strong>ational\u00a0I<\/strong>nstitute of\u00a0S<\/strong>tandard and\u00a0T<\/strong>ecnology es el que ya t\u00e9cnicamente hablando habla sobre controles espec\u00edficos y tecnolog\u00edas de referencia a utilizar.<\/li>
  • PCI\u00a0<\/strong>… este es el est\u00e1ndar para aquellas empresas que manejan transacciones de tarjetas de cr\u00e9dito, su nombre deriva de Payment Card Industry, b\u00e1sicamente son los requerimientos de seguridad que establece VISA y MASTERCARD.<\/li>
  • ISO\/EIC 27799<\/strong>\u00a0… este es el estandar ISO que define los controles para el manejo de la informaci\u00f3n confidencial en instituciones de salud como hospitales, esto es adoptado por las instituciones que desean estar en cumplimiento con los requerimientos de HIPAA (Health Insurance Portability and Accountability Act of 1996).<\/li>
  • COBIT<\/strong>… este es otro que fue desarrollado por ISACA una instituci\u00f3n independiente que b\u00e1sicamente brinda acreditaciones a profesionales para que puedan convertirse en Certified Information System Auditor (CISA) o como Certified Information Security Manager (CISM).<\/li><\/ul>

    \u00a0<\/p>

    Les comparto la referencia del FRAMEWORK de trabajo de los controles NIST:<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
    \n\t\t\t\t
    \n\t\t\t\t\t\t\t\t\t

    Para que vean una peque\u00f1a muestra de lo que podr\u00e1n encontrar en NIST hagan lo siguiente:<\/p>

    • Ingresen al sitio Web de ellos: https:\/\/www.nist.gov\/<\/li>
    • Luego del clic en el men\u00fa superior de Publicaciones (Publications)<\/li>
    • En la casilla de b\u00fasqueda (Search) escriban la palabra\u00a0Framework<\/strong><\/li>
    • Vean los documentos relacionados que aparecen en los resultados….<\/li><\/ul>

      \u00a0<\/p>

      Ya fuera de estos si han escuchado sobre COBIT … pues COBIT utiliza los mismos controles de la ISO 27001, si han escuchado de los controles SOX … igual es una referencia a la ISO 27001.<\/p>

      Algo que quiero dejarles claro es que la ISO27001 no dice qu\u00e9 tecnolog\u00eda debes de utilizar o comprar, simplemente establece el lineamiento de que tipos de controles utilizar nada mas, pero no te dice con qu\u00e9… este listado de controles los podr\u00e1n ver en algo que se llama ANEXO “A” de la norma ISO (la parte final del documento).<\/p>

      \u00bfY entonces que estandar vamos a trabajar?<\/strong><\/p>

      R\/<\/strong>\u00a0pues de todo un poco !! jajaja pero tranquilo(a), es importante primero identificar que hay varios est\u00e1ndares y que existen los que son de referencia como la ISO 27001 y NIST para que puedan contar con una base te\u00f3rica de operaci\u00f3n.<\/em><\/p>

      Si volvemos a lo relacionado al t\u00edtulo de esta publicaci\u00f3n, lo relacionado al SGSI comprende las siguientes fases de operaci\u00f3n e implementaci\u00f3n:<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

      \n\t\t\t\t
      \n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
      \n\t\t\t\t
      \n\t\t\t\t\t\t\t\t\t

      El SGSI es un sistema que opera en 4 fases:<\/p>

      • Planificar (PLAN<\/strong>)<\/li>
      • Realizar (DO<\/strong>)<\/li>
      • Revisar (CHECK<\/strong>)<\/li>
      • Actuar (ACT<\/strong>)–> esta fase tambien esta relacionada a la mejora continua del sistema.<\/li><\/ul>

        \u00a0<\/p>

        Si yo s\u00e9… estabas esperando ver el Firewall, llaves de encriptaci\u00f3n, herramientas de respaldos …etc…etc… pues no eso sale una vez has realizado la identificaci\u00f3n de los posibles riesgos sobre los activos cr\u00edticos de la organizaci\u00f3n y la necesidad de c\u00f3mo protegerlos nos llevar\u00e1 a pensar justo en lo que estabas pensando antes….!<\/p>

        Te dejo una pregunta para efecto que lo pienses con la almohada … Si te llaman de una empresa Multi-Nacional de alto prestigio para una plaza relacionada a temas de seguridad y te dijeran: “… necesitamos nos puedas ayudar para realizar el proceso de\u00a0clasificaci\u00f3n de la informaci\u00f3n<\/em><\/strong>\u00a0en la empresa para\u00a0establecer los controles<\/em><\/strong>\u00a0necesarios y delimitar quienes deben de tener acceso a la misma…” … \u00bfQu\u00e9 har\u00edas?<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

        \n\t\t\t\t
        \n\t\t\t\t\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
        \n\t\t\t\t
        \n\t\t\t\t\t \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

        Ahora conversemos sobre los posibles est\u00e1ndares que pudieras estar adoptando en base al tipo de empresa o requerimientos puntuales que debas de cumplir.<\/p>\n","protected":false},"author":1,"featured_media":1977,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[68],"tags":[],"class_list":["post-1997","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technology"],"_links":{"self":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/posts\/1997","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/comments?post=1997"}],"version-history":[{"count":0,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/posts\/1997\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/media?parent=1997"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/categories?post=1997"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/walternavarrete.com\/academy\/wp-json\/wp\/v2\/tags?post=1997"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}