Ciclo de Deming & Seguridad

El aspecto de la seguridad de información afecta a todas las organizaciones de todos los tamaños y sectores con un problema idéntico, su vulnerabilidad inherente.Toda la información que se maneje en la empresa, ya sea en discos, papeles, en la memoria de los empleados, están en riesgo y de cualquier amenaza.La seguridad de Información ya no es un problema solo de los administradores de TI, ya que un infracción de seguridad puede afectar no solo financieramente al organización, sino también su reputación, su capacidad de negociación, rentabilidad, etc.  por  lo tanto dependerá de su capacidad de gestionar los riesgos de manera eficaz.Ciclo de Deming.El ciclo de Deming ( mejora continua, kaizen, Shewhart, pdca, etc), es un estrategia...

Read more »

ISO 31000:2009 Risk Management

El riesgo se halla de forma implícita asociado a toda actividad, haciendo necesaria la implementación de una estrategia proactiva en las empresas, que no solo permita la identificación y la evaluación previa y sistemática de los mismos y sus consecuencias, sino también definir las acciones a seguir con el fin de evitarlos, transferirlos, asumirlos o implementar medidas de prevención y protección que permitan reducir la probabilidad de su ocurrencia.La Organización Internacional para la Estandarización (ISO) ha puesto a  disposición la norma ISO 31000:2009, una norma que pretende dar un enfoque sobre la gestión general de los riesgos. La nueva norma acaba de ver la luz sólo en versión inglesa y francesa, por lo que habrá que esperar...

Read more »

Gobierno de Seguridad de Información

El Gobierno de Seguridad de la Información (GSI) es el grupo de responsabilidades y acciones llevadas a cabo por un conjunto de directivos con el fin de proporcionar orientación táctica, confirmar que las metas se logren corroborar que los riesgos de los datos sean convenientemente manejados, y los capitales se utilicen de manera conveniente.En resumen, el propósito básico de un GSDDI es disminuir los acontecimientos adversos para una entidad productiva a un nivel mínimo.Seguridad Informática:Se refiere a la protección de las infraestructuras de las tecnologías de la información y comunicación que soporta nuestro negocio.Seguridad de la Información:Se refiere a la protección de los activos de información fundamentales para el éxito de cualquier...

Read more »

Control de Seguridad

Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten un conjunto mínimo de controles de seguridad para proteger su información y sistemas de información. El propósito del plan de seguridad del sistema es proporcionar una visión general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. Para esto, existe un plan de seguridad del sistema que delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Se debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la información, el propietario de la red, y el alto funcionario...

Read more »

Replay Attack

El replay attack, ataque por reenvío o reproducción, básicamente consiste en capturar información (transmisión de datos) que viaja en una red predeterminada, y luego enviarla al destinatario original sin que su presencia se haga notar. Por esta definición fácilmente se puede confundir con la definición de otro método: “man in the middle”. En realidad se diría que el método man in the middle engloba al método “replay attack”, salvando algunas diferencias que a continuación se hacen presentes:La diferencia entre el “man in the middle” y el “replay attack”, es que el replay attack realiza una copia de la transmisión de datos antes de enviarla  al destinatario original para luego utilizarla como mejor le convenga, en cambio, en el otro método,...

Read more »

Estrategia de Seguridad & Organización

La cultura organizacional ha ofrecido algún tipo de directriz que sirve de referencia para entender de que manera las estrategias fluyen de manera efectiva en una organización.Las tendencias actuales de las estrategias de seguridad de la información están basadas en aspectos que ayudan a definir la misión, dirección de la empresa y su plan estratégico.La estrategia que la organización establece respecto a la protección de la información está basada en los productos o servicios que brindan, los procesos internos y externos, enfocados al nivel de riesgo, bajo la evaluación de los conceptos de integridad, confidencialidad y disponibilidad.SISTEMAS DE GESTION DE SEGURIDAD La implantación de sistemas de seguridad facilita a la empresa los instrumentos...

Read more »

Man in the Middle

MITM es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticidad.Main in the Middle traducido al español seria “Hombre en el medio” se refiere a que existe alguien en medio de la comunicación entre el origen y el destino.El atacante puede observar, interceptar, modificar y retransmitir la información lo que da origen a los siguientes posibles ataques posteriores:Ø...

Read more »

Destrucción de Soportes Documentales

  DEFINICIÓN:Medios en los cuales se contiene la información, según los materiales empleados. Además de los archivos en papel, existen los archivos audiovisuales, fotográficos, fílmicos, informáticos, orales y sonoros.Por ejemplo; dentro del área de sistemas de una organización encontramos información de su cliente, almacenadas en sus servidores. ·         Lo que define a la destrucción de archivos confidenciales es, primero que nada, su carácter irreversible, es decir capaz de garantizar que no existan posibilidades de que pueden ser salvados los soportes en donde se contenía la información confidencial. ·         Segundo, ese proceso depurativo,...

Read more »

Gestión de Riesgo

La realidad empresarial nos dice que la mayoría de las compañías, administraciones autonómicas o locales y ciudadanos apenas conocen los peligros que corren sus sistemas informáticos, no explotan en su totalidad la amplia gama de herramientas que existen para gestionar dichas situaciones, y tampoco han comenzado a implementar los conocimientos y los procesos necesarios para gestionar este tipo de riesgos.Las corporaciones han sufrido en parte, porque la gestión de riesgos en tecnologías de información es un campo nuevo y emergente, en donde los modelos de riesgos tradicionales no se aplican siempre con total limpieza. Normalmente, las corporaciones suelen tener un conocimiento muy limitado del impacto que puede tener la pérdida de los bienes...

Read more »

Phishing

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea[] o incluso utilizando también llamadas telefónicas.Se define al Phishing como la capacidad de duplicar una página web para hacer creer al visitante que...

Read more »

Delitos Informáticos

El fenómeno informático es una realidad incuestionable e irreversible; definitivamente, la informática se ha instalado entre nosotros para no marcharse jamás. Ello es consecuencia del continuo y progresivo desarrollo del campo de la informática aplicada en la actualidad a todos los aspectos de la vida cotidiana; así, por ejemplo, la utilización de computador as en la industria, el comercio, la administración pública, en instituciones bancarias y financieras. Esta verdadera invasión de la computadora en todos los ámbitos de las relaciones socioeconómicas ha motivado que muchos hablen ya de una auténtica “era informática”. En efecto, pocas dimensiones de nuestra vida no se ven afectadas, dirigidas o controladas por la computadora, ya sea de manera...

Read more »