[NTP/ISO 17799-2007] Dominio 8

Adquisición, desarrollo y mantenimiento de Sistemas

(Aplicación en la Empresa GACH Ingenería S.A.C.)

Servicios

Esta empresa se dedica al rubro de proyectos, instalación, auditoria e implementación de sistemas eléctricos así como la comercialización de materiales eléctricos en general.

-          Proyectos y Optimización de Sistemas Eléctricos.

-          Estudio de Calidad de Energía – Ahorro de Energía

-          Compensación Reactiva

-          Automatización

-          Puesta a Tierra

-          Tableros y Subestaciones Eléctricas

-          Redes Eléctricas en B.T y A.T.

-          Venta de Materiales Eléctricos en general

dominio 8

Adquisición, desarrollo y mantenimiento de Sistemas

En esta cláusula se menciona seis categorías de seguridad, las cuales se ramifican en sub-categorías, cada categoría contiene:

a)      Un objetivo de control declarando lo que se desea alcanzar.

b)      Uno o más controles que pueden ser aplicados para alcanzar el objetivo de control.

Descripción Actual:

La empresa GACH INGENIERIA no cuenta con un área de desarrollo de aplicaciones, pero si tiene conocimientos de la necesidad de implementar aplicaciones que le permita la gestión de la contabilidad, del inventariado( de los equipos con los que cuenta para realizar sus actividades de instalación eléctricas y/o de redes), por lo tanto la aplicación de este dominio en lo referente  a la primera parte no es factible, debido a la ausencia de desarrollo, pero la empresa si adquiere paquetes de trabajo, y cuenta con software existente.

Aplicaciones que cuentan en la actualidad.

Aplicaciones de Seguridad

ANTIVIRUS

                McAfee Antivirus Plus. Es un antivirus con el cual la empresa defiende sus ordenadores de toda clase de malware, incluyendo virus, troyanos, gusanos o programas espías.

                Bit Defender 2010. Es un antivirus cuya característica principal es que no consume muchos recursos del ordenador,  también erradica spyware e intercepta intentos de phishing al navegar. Al mismo tiempo, comprueba el sistema en busca de vulnerabilidades.

Aplicaciones de Diseño

                AutoCAD. Es una herramienta profesional pensada para el diseño y creación de planos, mapas, esquemas y diseños en 2D/3D. Actualmente es un referente en el campo del diseño asistido por ordenador, usado tanto por arquitectos e ingenieros como por la industria y diseñadores en general.

                GCAD 3D. Es un programa de diseño en tres dimensiones pensado para diversos usos como la arquitectura, diseño industrial, etc.

Aplicaciones de Escritorio

Suite Office 2010. Conjunto de aplicaciones con los cuales la empresa realiza sus actividades.

Aplicaciones incluidas

§  Microsoft Access 2010

§  Microsoft Excel 2010

§  Microsoft OneNote 2010

§  Microsoft Outlook 2010

§  Microsoft PowerPoint 2010

§  Microsoft Publisher 2010

§  Microsoft Word 2010

§  Microsoft Visio 2010

§  Microsoft Project 2010

Sistema Operativo

                Windows 7. Es la versión más reciente de Microsoft Windows, línea de sistemas operativos producida por Microsoft Corporation.

Aplicaciones y herramientas secundarias (Winrar, Adobe Reader, etc.)

Categorías del Dominio a implementar:

1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS

IMPLEMENTACIÓN  DE LA CATEGORIA:

Requisitos de Seguridad de los Sistemas

GACH INGENIERIA S.A.C

Objetivo

Requisitos de la seguridad de los Sistemas de Información

Antivirus. Si bien actualmente tienen implementados dos antivirus, no se le está obteniendo el máximo provecho, debido a que sus configuraciones están por defectos, es así que tienen amenaza potencial en cuanto a seguridad informática, producto de la vulnerabilidad innata de las configuraciones predeterminadas.

También el antivirus Bit Defender entre una de sus funcionalidades es listar las vulnerabilidades del ordenador en el cual se encuentra instalado, pero actualmente no hay persona encargada de realizar estas actividades de manera periódica.

En el caso del antivirus McAfee, tiene las siguientes funcionalidades, que actualmente no están siendo utilizadas de la manera  eficiente:

Ö        Integración del  cortafuegos y protección de e-mail y web

Ö        Protección en tiempo real y análisis programable

Ö        Borrado permanente de archivos

Ö        Limpiador de disco

En el caso del antivirus Bit Defender, tenemos las siguientes características:

Ö        Panel de estado claro y conciso

Ö        Consumo de recursos muy bajo

Ö        Cifrado de mensajería instantánea

Ö        Modo Juego y Modo Portátil

Observaciones:

Cabe mencionar que el borrado de la información sensible está siendo gestionado por el Sistema Operativo y que el ordenador principal posee el antivirus McAfee.

1.3 Lista de Actividades

FASE I. Recopilación y Registro.

1.       Identificar la forma en la cual se gestiona la información.

2.       Identificar las características de cada área en cuanto a accesibilidad y confidencialidad de la información.

3.       Identificar los recursos físicos con los cuales cada área dispone.

4.       Listar las vulnerabilidades existentes en cuanto al manejo de la información.

5.       Listar vulnerabilidades inherentes en la información que se transmite o accede.

6.       Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes.

7.       Registrar los requerimientos de seguridad de los interesados.

8.       Registrar las vulnerabilidades de las actuales aplicaciones.

9.       Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.

10.   Elaborar una guía acerca de los procesos de gestión de riesgos, para identificar los requisitos para controles de seguridad, basándose en la ISO/IEC TR 13335-3 conjuntamente con los requisitos de seguridad del manejo y accesibilidad de información

11.   Realizar en cual se detallen las métricas a utilizar en la fase se seguimiento y control.

FASE II. Implementación

1.       Configurar las aplicaciones existentes  de acuerdo a los requisitos de seguridad  registrados.

2.       Elaborar un documento en el cual se detalla  las especificaciones de seguridad de las actuales aplicaciones y de aquellos aspectos que deben considerarse en la adquisición de nuevos paquetes de software o aplicaciones.

3.       Elaborar un documento en el cual se determinan criterios para la evaluación de productos de seguridad de TI, basándose en la ISO/IEC 15408.

FASE III. Seguimiento y control

Realizar un seguimiento periódico  para determinar si la implementación ha sido satisfactoria, para ello se utilizaría las siguientes métricas:

Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/críticos).

Estadísticas de vulnerabilidad de sistemas y redes, como nº de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categorías del fabricante o propias).

1.4 Recomendaciones:

Involucrar a los "propietarios de activos de información" en evaluaciones de riesgos a alto nivel y conseguir su aprobación de los requisitos de seguridad que surjan. Debido que si son realmente responsables de proteger sus activos, es en interés suyo hacerlo de una manera correcta

Estar actualizado en cuanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientación sobre la implementación, como, p. ej., OWASP...

Deseas saber más?
DESCARGAR

       

Read more »

ITSEC . Information Technology Security

¿QUÉ ES EL ITSEC ?

ITSEC  es un  esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criterio de evaluación de la seguridad estandarizado para la UE. La ITSEC se apunta a evaluaciones de productos y sistemas ( que puede estar compuesto de muchos componentes y productos seguros). La ITSEC concede  a los productos que se evalúan satisfactoriamente niveles de seguridad de E1(el más bajo) al E6 ( el más alto)

El estándar de seguridad TCSEC, aunque es bien conocido a nivel global por los distintos países,  no está reconocido formalmente en Europa. En Europa se gestó el estándar ITSEC y su cubierta blanca hizo que se conociera como “Libro Blanco”. El ITSEC se aplica a un TOE(target of evaluation) , que es el sistema o producto que se someterá a un análisis y que está sujeto a evaluación en cuanto a su seguridad. El TOE contiene dos elementos:

1.            Un conjunto de componentes del sistema que contribuyen directamente a satisfacer los objetivos de seguridad

2.            Un conjunto de componentes que no se encargan de cumplir la seguridad, pero que deben estar presentes y operar, de forma correcta, para que la seguridad se cumpla. Son componentes relevantes para la seguridad

El ITSEC es un sistema estructurado de los criterios para la seguridad de evaluación de la computadora dentro de productos y de sistemas.

El producto o el sistema que es evaluado, llamado blanco de la evaluación, se sujeta a una examinación detallada de sus características de la seguridad que culminan en la prueba funcional y de la penetración comprensiva e informada.

La aparición de los estándares es uno de los signos de una industria madura. Todos están de acuerdo que son importantes. En el área de la seguridad, el esquema ITSEC ya ha preparado el terreno, definiendo un estándar internacional, documentándolo, y estableciendo mecanismos de apoyo para examinar los productos

FUNCIONALIDAD Y CONFIANZA

ITSEC al igual que CTCPEC (Canadian Trusted Computer Evaluation Ctiteria), y siguiendo lo que ya había hecho antes la agencia alemana de seguridad de la información, establece una diferencia entre ambos términos

La funcionalidad se refiere a lo que hace un sistema para ser seguro

Confianza se refiere a lo que los desarrolladores y evaluadores del sistema han hecho para garantizar la seguridad del sistema

CLASES Y NIVELES: RELACIONES CON TCSEC (libro naranja)

En ITSEC se han definido diez clases, de las cuales cinco (F-C1, F-C2, F-B1, F-B2, F-B3) forman un a jerarquía, ya que han sido derivadas de los requisitos de funcionalidad de las clases jerarquizadas de TCSEC (libro naranja). Las otras cinco (F-IN, F-AV, F-DI, F-DC, F-DX) serán creadas en el futuro para incluir más tipos de seguridad

Como se ha dicho las clases entre ITSEC y TCSEC (libro naranja) se corresponden así

F-C1  está basada de los requisitos de funcionalidad de la clase C1

F-C2 está basada de los requisitos de funcionalidad de la clase C2

F-B1 está basada de los requisitos de funcionalidad de la clase B1

F-B2 está basada de los requisitos de funcionalidad de la clase B2

F-B3 está basada de los requisitos de funcionalidad de la clase B3 y A1

Por otra parte ITSEC define siete niveles (E0, E1, E2, E3, E4, E5, E6). Estos niveles , unidos a las cinco clases que se han señalado, se corresponden con las clases del libro naranja de la siguiente forma….

Deseas saber más?
DESCARGAR

       

Read more »

Cobit

Partiendo de la definición de COBIT, que es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan, dando así el mayor soporte sobre seguridad de procesos y lineamientos que se asume deben seguir en su totalidad las Organizaciones.

Si bien la seguridad es un lineamiento de protección, debe estar basado en un modelo de gestión y es donde El presente trabajo nos muestra de manera muy detallada la interacción entre estos dos conceptos

GOBIERNO DE TI.

“Es un marco de referencia y un juego de herramientas de soporte que permite a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los Stakeholders.”  IT Governance Institute

• Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).

• Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para convertirlas en servicios.

• Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables por los usuarios finales.

• Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista

PLANEAR ORGANIZAR

Este dominio cubre las estrategias y las tácticas, y tiene que ver con identificar la manera en que TI puede aportar de la mejor manera al éxito de los objetivos del negocio. Además, la realización de la visión estratégica requiere ser planeada, comunicada y administrada desde diferentes perspectivas.

Finalmente, se debe implementar una estructura organizacional y una estructura tecnológica apropiada. Este dominio cubre los siguientes cuestionamientos típicos de la gerencia a nivel de seguridad:

• ¿Están alineadas las estrategias de TI y del negocio?

• ¿La empresa está alcanzando un uso óptimo de sus recursos?

• ¿Entienden todas las personas dentro de la organización los objetivos de TI?

• ¿Se entienden y administran los riesgos de TI?

• ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?...

Deseas saber más?
DESCARGAR

       

Read more »

Normas ISO

  Debido a la necesidad de documentar procedimientos eficaces de procesos tecnológicos surgen las normas de estandarización internacional (ISO), luego estas, se comercializaron para utilizarlas en procedimientos administrativos; su desarrolló se generó a través del campo de la ingeniería.

Las tecnologías desarrolladas por el ser humano a lo largo de la historia fueron utilizadas, en un principio, a niveles regionales; cuando éstas comenzaron a ser exportadas de su lugar de origen no lograban compatibilidad con las tecnologías existentes en otros países; es por eso que se crearon organizaciones nacionales, regionales y luego internacionales, formando una jerarquía bien definida, estas organizaciones determinan las características concretas que deben poseer los equipos para que puedan ser utilizados en cualquier parte del mundo asegurando su máximo desempeño.

Estos organismos internacionales emiten series de normas que son revisadas periódicamente y se comprueban de acuerdo con tecnologías de producción y medición desarrolladas más recientemente por el ser humano para asegurar sus exactitudes.

NORMAS ISO

La ISO (International Standarization Organization) es la entidad internacional encargada de favorecer la normalización en el mundo. Con sede en Ginebra, es una federación de organismos nacionales, éstos, a su vez, son oficinas de normalización que actuan de delegadas en cada país, como por ejemplo: AENOR en España, AFNOR en Francia, DIN en Alemania, etc. con comités técnicos que llevan a término las normas. Se creó para dar más eficacia a las normas nacionales.

¿QUÉ ES UNA NORMA?

Las normas son un modelo, un patrón, ejemplo o criterio a seguir. Una norma es una fórmula que tiene valor de regla y tiene por finalidad definir las carecterísticas que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional. Pongamos, por ejemplo, el problema que ocasiona a muchos usuarios los distintos modelos de enchufes que existen a escala internacional para poder acoplar pequeñas máquinas de uso personal: secadores de cabello, máquinas de afeitar, etc. cuando se viaja. La incompatibilidad repercute en muchos campos. La normalización de los productos es, pues, importante.

La finalidad principal de las normas ISO es orientar, coordinar, simplificar y unificar los usos para conseguir menores costes y efectividad.

Tiene valor indicativo y de guía. Actualmente su uso se va extendiendo y hay un gran interés en seguir las normas existentes porque desde el punto de vista económico reduce costes, tiempo y trabajo. Criterios de eficacia y de capacidad de respuesta a los cambios. Por eso, las normas que presentemos, del campo de la información y documentación, son de gran utilidad porque dan respuesta al reto de las nuevas tecnologías

TIPOLOGÍA DE NORMAS

Las normas pueden ser cuantitativas (normas de dimensión, por ej. las DIN-A, etc) i cualitativas (las 9000 de cualidad, etc.)

Los campos de aplicación son amplios y en el ámbito de la información científica y técnica es también muy importante. Las normas en el campo de la información y documentación que presentamos son útiles para la redacción de las Referencias bibliográficas....

Deseas saber más?
DESCARGAR

       

Read more »

Anonymous

PROYECTO CHANGEOLOGY

El fin principal de Anonymous es la defensa de la libertad de expresión, allí donde sea atacada, no importa en que país o por parte de que institución. Tampoco importa si el ataque a la libertad de expresión se realiza en el mundo virtual, o en el mundo real. Anonymous está allí para defenderla.

ATAQUES DE ANONYMOUS

Ø  El 11 de abril de 2011 Anonymous lanzó un ataque DDoS contra la página web del Ministerio del Interior y de Justicia de Colombia^.

Ø  Tres días más tarde atacó las páginas web del Senado de Colombia y del programa Gobierno en Línea.

Ø  El 15 de abril de 2011 hizo lo propio con el sitio web de la Presidencia de la República.

Ø  El 19 de abril, tras señalamientos del Ministerio de Defensa que calificaban como terroristas a los miembros de Anonymous y que indicaban que ya estaban siendo identificados, el colectivo negó estas acusaciones y dejó fuera de servicio el sitio web del Ministerio de Defensa de Colombia ataque del que había advertido días antes en un comunicado.

Ø   A mediados de junio, tras la aprobación de la 'Ley Lleras' en primer debate en el Senado de la República, Anonymous anunció su operación Onda Larga.

Ø  El ataque de Denegación de servicio, consta del envió de grandes peticiones o consultas a un servidor, (del orden de millones por segundo) con lo cual logran que el servidor web deje de responder y la web quede inutilizada.

Ø  El ataque de Denegación de servicio, consta del envió de grandes peticiones o consultas a un servidor, (del orden de millones por segundo) con lo cual logran que el servidor web deje de responder y la web quede inutilizada....

Deseas saber más?
DESCARGAR

       

Read more »

Orange Book / Common Criteria

Common Criteria es el reemplazo internacionalmente aceptado para el pasado de moda Departamento de Defensa de las evaluaciones de seguridad “Orange Book”. Government agencies around the world as well as many other organizations require Common Criteria evaluation as part of their product selection process. Agencias gubernamentales de todo el mundo, así como muchas otras organizaciones requieren de una evaluación de Common Criteria, como parte de su proceso de selección de productos.

Common Criteria allows product vendors to describe the security functions they offer in a standard manner, and allows customers to describe the security functions they require. Common Criteria permite a los proveedores de productos  describir las funciones de seguridad que ofrecen de manera estándar, y permite a los clientes  describir las funciones de seguridad que requieren. Common Criteria makes it possible to map these two sets of features to a meaningful suite of products. Common Criteria permite asignar estos dos conjuntos de características para un conjunto significativo de los productos.

Departamento de Defensa de USA: Orange Book / Common Criteria

HISTORIAEn la década de 1980 los Estados Unidos Departamento de Defensa proporcionó directrices y requisitos para establecer la seguridad en las instalaciones de procesamiento de datos de su ordenador. Estos criterios, tal como se especifica en el Departamento de Defensa de los Criterios de Trusted Computer System Evaluation, DoD 5200.28-STD (también conocido como TCSEC o el Libro Naranja), se aplicaba también a los sistemas informáticos en las empresas que trabajan con un contrato del gobierno Los criterios corresponden a una denominación particular, la seguridad en función del tipo y monto de la garantía proporciona el sistema.

 Las denominaciones de seguridad van desde D (la menor cantidad de la seguridad) a través de C1, C2, B1, B2, B3 y A1. La Agencia de Seguridad Nacional (NSA) realizaron una evaluación formal para determinar si un sistema de procesamiento de datos conforme a los lineamientos y requisitos para la designación de seguridad dado.

Entre 1988 y 1990, IBM ® mejorada MVS ™, ® RACF, JES2, JES3, TSO, VTAM ®, DFP, y PSF para cumplir los criterios B1. MVS / ESA ™ Versión 3 Release 1 Modificación 3 Nivel superado la evaluación formal realizada por la Agencia de Seguridad Nacional y obtuvo la designación de seguridad B1. Desde hace varios años, las versiones posteriores de RACF, MVS / ESA y OS/390 ® fueron diseñados para continuar cumpliendo con los criterios B1, aunque no se realizaron evaluaciones formales. Pero con el tiempo nuevas funciones tales como UNIX ® System Services se han añadido a MVS, que no podría ser utilizado en un sistema con una designación de la seguridad B1. Y las configuraciones de cliente evolucionado a exigir la creación de redes, que no se podía utilizar en un sistema de B1. Con el tiempo los criterios comunes y 15408 ISO reemplazado los antiguos estándares del Gobierno de EE.UU. se describe en el Libro Naranja.

CRITERIOS FIABLES DE SISTEMA DE EVALUACIÓN (ORANGE BOOK) Criterios fiables de evaluación del sistema (TCSEC) es un Estados Unidos Gobierno del Departamento de Defensa (DoD) norma que establece los requisitos básicos para evaluar la eficacia de la seguridad informática controles integrados en un sistema informático .  El TCSEC se utilizó para evaluar, clasificar y seleccionar los sistemas informáticos que se consideran para el tratamiento, almacenamiento y recuperación de sensibles o información clasificada .

 El TCSEC, a menudo conocido como el Libro Naranja, es la pieza central del Departamento de Defensa de arco iris de la serie de publicaciones.  Inicialmente publicado en 1983 por el National Computer Security Center (NCSC), un brazo de la Agencia de Seguridad Nacional , y luego actualizado en 1985, TCSEC fue reemplazado por el Common Criteria norma internacional publicada originalmente en 2005…..

Deseas saber más?
DESCARGAR

       

Read more »

Sarbanes Oxley Act

Las Tecnologías de Información se han convertido en el corazón de las operaciones de cualquier organización, desde los sistemas transaccionales hasta las aplicaciones enfocadas a la alta gerencia ayuda tanto a operar como a definir el rumbo que tiene que seguir una organización. Dentro de las operaciones de una organización y una de las áreas que está tomando mayor relevancia es cuando tienes diferentes procesos en tu cadena de valor y que está a cargo de un tercero. Por otro lado las operaciones de una organización tienen que seguir ciertos estándares y lineamientos y a su vez esto puede provocar cambios en la manera de realizar las cosas. La administración de la cadena de proveedores y la ley Sarbanes Oxley tiene mucha relación entre sí y el departamento de Tecnologías de Información juegan un papel muy importante.

¿A quienes se aplica?

Se aplica a todas las empresas que están registradas en la New York Stock Exchange(NYSE) y la National Association of Securities  Dealers by Automatic Quotation, conocida  como NASDAQ, y bajo la supervisión de laSecurities and Exchange Commission (SEC).  Por lo tanto, también rige para todas lasempresas extranjeras que cotizan en dichasbolsas de valores, incluyendo a la casamatriz, las subsidiarias y afiliadas.

¿Qué regula?

La SOX contiene 11 Leyes y numerosas secciones, regulando  diferentes aspectos e involucrando a los ejecutivos de las  empresas, directorio, gobiernos corporativos, comités de  auditoría, agentes de valores, corredores de bolsa, clasificadoras  de riesgo y firmas auditoras, entre otros.  Lo primero que hace la ley SOX es crear el “Public Company  Accounting Oversight Board”, más conocido como PCAOB, que  es la Junta de Supervisión de Firmas de Contabilidad Pública y  que comenzó a operar en abril de 2003. Su principal función es  llevar el registro de las firmas auditoras, inspeccionar su trabajo y  verificar que cumplan con los estándares de control de calidad y  principios éticos. El PCAOB puede aplicar sanciones y medidas  disciplinarias.

¿Qué regula?

La ley SOX aborda el tema de la independencia de losauditores. Entre otros, limita los servicios que estas firmas pueden prestar a sus clientes de auditoría y detalla las actividades que requieren ser aprobadas previamente por elComité de Auditoría.  Así, queda prohibido prestar a los clientes de auditoríaservicios de contabilidad y otros relacionados con la  preparación de las cuentas anuales; diseñar y/o implementar  sistemas de información financiera; prestar servicios  actuariales o de auditoria interna; servicios de managementen general y de recursos humanos; servicios de brokerage,  de consultoría de inversión y/o de banca de inversión;  servicios legales, outsourcing Auditoría Interna y “cualquierotro servicio que el PCAOB determine”. El resto de los  servicios no prohibidos explícitamente, incluyendo la asesoría  tributaria, pueden ser prestados con el único requisito de que  sean aprobados por el Comité de Auditoria del cliente...

Deseas saber más?
DESCARGAR

       

Read more »

BSI

BSI es una organización de servicios independiente y global que inspira confianza y asegura las soluciones a más de 80,000 clientes basados en estándares. Siendo el primer organismo normalizador a nivel mundial, el Grupo tiene alrededor de 2,300 empleados operando en 120 países en más de 50 oficinas globales. Las ofertas clave del Grupo son:

El desarrollo y venta de estándares privados, nacionales e internacionales e información de soporte.

Auditorías de segunda y tercera parte en sistemas de gestión y certificación.

Pruebas y certificación de productos y servicios.

Administración del desempeño en soluciones de software.

Servicios de capacitación y soporte de implementación y mejores prácticas.

BSI tiene experiencia y recursos para implementar y poner en práctica un conjunto de pruebas para cumplir con cualquier estándar internacional, europeo o británico así como las especificaciones del fabricante.

British Standard BS 15000

El estándar fue creado por el Grupo de Gestión de Servicio de BSI, este grupo está conformado por expertos de la industria que representan distintas organizaciones e industrias, todos ellos con prácticas de excelencia en la Gestión de Servicio.

Es el primer estándar mundial para la gestión de servicios de TI. Se dirige tanto a proveedores de la gestión de servicios, así como a empresas que subcontratan o gestionan sus propios requisitos.

BS 15000 especifica un conjunto de procesos de gestión interrelacionados basados en gran medida en el marco de trabajo ITIL y se pretende que formen una base de una auditoría del servicio gestionado.

En esencia, la norma BS 15000 contiene conceptos cuidadosamente concebidos que definen y demarcan los elementos que una organización debe tener en cuenta para estructurar y soportar los Servicios de IT a sus clientes, ya sean internos o externos

El estándar BS 15000 consiste de 2 partes:

La primera parte son las especificaciones del sistema de gestión, y contiene alrededor de 14 páginas de requisitos normativos. Está estructurado de acuerdo a las reglas para especificaciones fijadas por el BSI.

En general BS 15000 define lo que requiere hacer y cumplir una organización para alcanzar su certificación respecto al estándar. Cubre el cumplimiento de requisitos para:

El Sistema de Gestión (Management Systems),

El Planeamiento del servicio (Service Planning),

Las Relaciones entre procesos (Process Reationships),

La Estructuración del Servicio (Delivery Service),

El Control, y

La Liberación de Servicios (Release).

La segunda parte del BS 15000 es conocida como el “Code of Practice” y se extiende en detalle sobre cada requisito, ofreciendo dirección y guía al Proveedor del Servicio que desee alcanzar el estándar.

Sigue la misma estructura de la primera parte, pero es un poco menos formal en terminología. Provee guía y dirección practica respecto a como debe ser considerado el proceso, como debe ser documentado, que debería ser realizado, y que debería monitorearse para lograr una efectividad real del proceso en la práctica.

Su estructura y vocabulario está cuidadosamente manejado, logrando que las dos partes de la norma manejen los mismos conceptos y sean totalmente complementarias….

Deseas saber más?
DESCARGAR

       

Read more »

Sans Institute

SANS es la más confiable y con la mayor fuente de información en seguridad en el mundo. SANS nos ofrece una formación en el ámbito de seguridad a través de varios métodos como conferencias en vivo y virtuales, capacitaciones en línea, etc. Los cursos de seguridad informática son desarrollados por líderes de la industria en los campos de la seguridad y la seguridad de aplicaciones.

Estos cursos son impartidos por profesionales del mundo real que son los mejores, no solo por el material que ofrecen si no que uno puede aplicar inmediatamente los conocimientos al regresar a su oficina.

Además de un primer nivel de capacitación, SANS ofrece una certificación a través del programa de certificación ANSI GIAC así como numerosos recursos de seguridad gratuita, que también incluyen boletines, libros blancos y webcats.

Certificaciones y Cursos que ofrece SANS

Seguridad Informática: Seguridad informática se refiere a los riesgos relacionados con el uso del ordenador, y asegura la disponibilidad, integridad y confidencialidad de la información manejada por el sistema informático, permitiendo que los usuarios autorizados para llevar a cabo las tareas legítimas y útiles dentro de un entorno informático seguro.

•             SECURITY 309: Intro to Information Security

•             SECURITY 351: Stay Sharp: Computer and Network Security Awareness

•             SECURITY 401: SANS Security Essentials

•             SECURITY 505: Securing Windows

Seguridad de la Información: Seguridad de la Información se refiere a los procesos y metodologías que se han diseñado e implementado para proteger a los medios impresos, electrónicos o decualquier otra forma de información confidencial, privada y confidencial o datos deacceso, uso, mal uso, divulgación, destrucción, modificación o interrupción.

•             SECURITY 401: SANS Security Essentials

•             SECURITY 504: Hacker Techniques, Exploits and Incident Handling

•             FORENSICS 408: Computer Forensic Essentials

•             DEVELOPER/SECURITY 542: Web App Penetration Testing and Ethical Hacking

•             LEGAL 523: Legal Issues in Information Technology and Information Security

•             MANAGEMENT 512: SANS Security Leadership Essentials For Managers

•             MANAGEMENT 524: Security Policy & Awareness

IT Security: Seguridad Tecnología de la Información también conocida como, Seguridad Informática es el proceso de implementación de las medidas y sistemas diseñados para proteger de forma segura y proteger la información (de negocio y los datos personales, conversaciones de voz, imágenes fijas, imágenes en movimiento, presentaciones multimedia, incluyendo aquellos que aún no concebido) utilizando varios las formas de la tecnología desarrollada para crear, almacenar, utilizar e intercambiar esa información contra el acceso no autorizado, mal uso, mal funcionamiento, modificación, destrucción, o la divulgación indebida, preservando asíel valor, la confidencialidad, la disponibilidad de la integridad, el uso previsto y su capacidad para llevar a cabo sus permite las funciones críticas….

Deseas saber más?
DESCARGAR

       

Read more »

Security Focus

Las vulnerabilidades en sistemas de información, servidores, páginas web, en otras palabras en activos de información son cada vez mayores y surgen día a día nuevas amenazas, es por ello que debemos tener en cuenta y tomar las medidas del caso respectivas para hacer frente a estos.

En muchas partes del mundo existen personas que en conjunto forman comunidades que se abocan a manejar temas de seguridad y lo comparten mediante foros de información a todos los usuarios que pueden ser personas naturales, pequeñas, medianas y grandes empresas. Debido a esta gran afluencia de usuarios que se preocupan por estos temas es que se creó y desarrolló un lugar especial donde estas comunidades puedan compartir información valiosa de como poder hacer frente a posibles vulnerabilidades que nos aquejan diariamente.

Esta información la podemos obtener de manera rápida, tan solo ingresando a la nube o internet donde los servidores de este servicio estarán activos las 24 horas y nos brindarán la ayuda necesaria, actualizada y sobre todo confiable para poder solucionar nuestros problemas de seguridad e inquietudes que se nos puedan presentar en nuestro devenir de trabajo empresarial.

 El tema hace  referencia a una empresa que brinda servicios de seguridad de información, esta es una breve reseña de su historia la cual se remonta al año de su creación en 1999, SecurityFocus ha sido un pilar en la comunidad de seguridad. Del contenido original de noticias a documentos técnicos detallados y columnistas invitados, se han esforzado por ser la fuente de la comunidad para todas las cosas relacionadas con la seguridad. SecurityFocus se formó con la idea de que la comunidad necesitaba un lugar para reunirse y compartir su sabiduría colectiva y el conocimiento. En SecurityFocus, la comunidad ha sido siempre su principal objetivo. El sitio web de SecurityFocus ahora se centra en unas pocas áreas clave que son de mayor importancia para la comunidad de seguridad.

Ø  BugTraq un alto volumen, la lista de correo completa revelación para el análisis detallado y el anuncio de las vulnerabilidades de la seguridad informática. BugTraq sirve como la piedra angular de la comunidad de seguridad en toda la Internet.

Ø  La base de datos de vulnerabilidad SecurityFocus ofrece a los profesionales de seguridad con la información más actualizada sobre las vulnerabilidades para todas las plataformas y servicios.

Ø  SecurityFocus listas de correo permiten a los miembros de la comunidad de seguridad de todo el mundo para discutir todo tipo de problemas de seguridad. Actualmente hay 31 listas de correo, la mayoría son moderados, para mantener los mensajes en tema y para eliminar el spam.

Deseas saber más?
DESCARGAR

       

Read more »