ISACA ¿Cómo proteger de manera efectiva la información?

noviembre 21, 2013 § 1 comentario

Sólo 4 por ciento de los profesionales de TI han asegurado que sus empresas están preparadas para garantizar asegurar la privacidad y gobierno de Big Data, de acuerdo con una encuesta global realizada por la asociación profesional ISACA. Hoy la información es la divisa y las empresas no sólo deben protegerla y gestionarla, sino también usarla para generar valor para el negocio.

Para ayudar a las empresas a superar este desafío, ISACA dio a conocer una nueva guía basada en el marco de negocio COBIT 5. La guía COBIT 5: Enabling Information  (COBIT 5: Habilitando la Información) ofrece a los lectores tres beneficios principales:

  • Un modelo de información completo que incluye todos los aspectos de la información: usuarios, objetivos y buenas prácticas
  • Una guía sobre cómo usar COBIT 5 para abordar los problemas comunes del gobierno de la información, como Big Data y las preocupaciones de privacidad.
  • Un entendimiento profundo de por qué la información necesita controlarse y administrarse, junto con pasos concretos de cómo lograrlo.

“Las compañías de todas las industrias y todas las geografías están luchando con grandes volúmenes de datos y con requerimientos de cumplimiento cada vez más complejos”, aseguró Steven De Haes, presidente del equipo de desarrollo de la publicación. Cuando las estructuras de gobierno y de procesos están implementadas, las empresas están mucho mejor equipadas para manejar estos desafíos” agregó.

COBIT 5: Enabling Information, también ayuda a las empresas a manejar  tres aspectos clave de Big Data: la detección del fraude, la analítica predictiva de TI y la conciencia situacional de mercadotecnia.

“En muchas empresas, la información está distribuida en diferentes puntos aislados, se repite en copias redundantes dispersas por la compañía, y está subutilizada”, señaló De Haes. “El objetivo de ISACA es ayudar a las compañías a simplificar el gobierno de la información para que no sólo puedan manejar este importante activo que proviene de un vasto número de canales, sino también encontrar valor de ella” finalizó.

COBIT 5: Enabling Information puede adquirirse en la ISACA Bookstore. El marco COBIT 5 puede descargarse sin cargo en www.isaca.org/cobit.



Fuente: ISACA

Nuevas normas de la UIT en la seguridad

noviembre 15, 2013 § Deja un comentario

Los miembros de la UIT han acordado nuevas normas internacionales (Recomendaciones UIT-T) que describen las consideraciones de seguridad esenciales para la computación en nube y, crucial para la conservación a largo plazo y la utilidad de los recursos basados ​​en IP, un “marco para el descubrimiento de información de gestión de identidad” para permitir interoperabilidad entre sistemas de información heterogéneos.

Recomendación UIT-T X.1600 “marco de seguridad para la computación en la nube”, después de haber llegado a la aprobación de la primera etapa («determinado») y ahora sometido a una revisión final, describe las amenazas de seguridad en el entorno de computación en la nube y, a través de una metodología de marco. UIT-T X.1600 actuará como un ‘manual’ guía para la futura normalización de las técnicas de mitigación de riesgo identificados, y además proporciona una referencia de implementación de seguridad en la nube a nivel de sistemas.
 
Recomendación UIT-T X.1255 “Marco para el descubrimiento de la información de gestión de identidad” , aprobada, los detalles de un marco de arquitectura abierta en la que la gestión de identidad (IdM) información – “objetos digitales” elementos identificadores y habilitadores intercambio de información entre las entidades, incluyendo los abonados, usuarios, redes, elementos de red, aplicaciones de software, servicios y dispositivos – se puede descubrir, acceder y representar por los sistemas de IdM heterogéneos que representan información IdM de diferentes maneras, con el apoyo de una variedad de modelos de confianza y el empleo de diferentes metadatos esquemas.
 
UIT-T X.1255 establece un marco que permite el descubrimiento de información relacionados con la identidad y su procedencia; atributos de identidad relacionados con la información, incluyendo pero no limitado a logotipos y nombres de sitios visuales legibles, y los atributos y la funcionalidad de las aplicaciones. El marco, además, describe un modelo de datos y un protocolo para permitir la interoperabilidad meta-nivel en el manejo de esta información a través de entornos heterogéneos IdM.
 
La Recomendación constituye un primer paso hacia la arquitectura de objeto digital (DOA) por la Corporación para las Iniciativas Nacionales de Investigación (CNRI), cuyo objetivo es lograr el “acceso universal a la información” es posible con los objetos digitales singularmente identificables estructurados de modo que se garantice la independencia de la plataforma.
 
Las nuevas recomendaciones se acordaron en una reunión del Comisión de Estudio 17 (Seguridad) en Ginebra, 26 agosto-4 septiembre.

Fuente: Jentel

Análisis detallado sobre la nueva ISO 27001:2013

octubre 26, 2013 § Deja un comentario

Tras unos días de vigencia de la nueva ISO 27001:20013 y tras haber realizado ya una lectura más reposada y meditada del nuevo estándar y los cambios introducidos solo puedo decir que esta me gusta mucho el texto de esta versión y que ahora está “mejor enfocada” hacia la valoración del funcionamiento del SGSI por los resultados operativos relacionados con el cumplimiento de los objetivos de seguridad.

En un mundo donde cada vez más la gestión TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los propios departamentos de la Organización).

Como esta revisión ha sido exhaustiva y completa he preferido crear un documento completo con los comentarios sobre la nueva norma para que sea descargable y más manejable que el texto incrustado en el blog.

Podéis proceder a la descarga del documento con licencia Creative Common en “Análisis detallado de la nueva ISO 27001:2013” [PDF] (mirror). Otros documentos relacionados a la actualización de ISO 27000:2013.

La nueva norma va a tener como consecuencia que empecemos todos a hablar del ansiado “cuadro de mando” de la seguridad de la información. Algo en lo que ya he empezado a investigar y cuyo origen parte de las reflexiones colgadas en el post Ciberdefensa: taxonomía de eventos de seguridad.

Fuente: Blog de Javier Cao Avellaneda

Actualización de PCI 3.0

octubre 24, 2013 § Deja un comentario

Ciberdelincuencia, robo de identidad y el fraude van en aumento; y en la mayoría de los casos, las violaciones de datos están asociadas con las tarjetas de crédito y datos del titular. El impacto de la violación de datos afecta a las organizaciones y a sus clientes.

Es fácil notar que la mayoría de las organizaciones tienen dificultades para cumplir con los requisitos necesarios para el procesamiento de datos del titular de las tarjetas de crédito. Por eso, basado en la retroalimentación de la industria, PCI Security Councilha introducido algunos cambios en las regulaciones de cumplimiento y los mismos serán publicados en la versión 3.0 de PCI, cuya versión final está programada para el lanzamiento el próximo 07 de noviembre de 2013, y se espera que será efectiva a partir de enero de 2014.

¿Cuáles son las actualizaciones y cuál será del impacto del cumplimiento de PCI de la organización?

La actualización 3.0 también clarificará la intención de los requisitos y los métodos de aplicación: Flexibilidad:se añade mayor flexibilidad en términos de cómo cumplir con los requisitos de PCI y cómo las organizaciones deben mitigar los riesgos. Responsabilidad compartida:PCI 3.0 cita que la protección de datos de los titulares de las tarjetas es una responsabilidad compartida debido al aumento en el número de puntos de acceso a los datos de los titulares.

Entre los factores considerados para las revisiones en PCI 3.0

  • Mejoras en la seguridad del pago
  • Aplicabilidad global
  • Costo del cambio de la infraestructura
  • Impacto de los cambios

¿Novedades de PCI 3.0 y por qué la nueva versión?

PCI Requirement No. Current PCI DSS Standard(as of October 2013) Proposed PCI DSS Update for 3.0 on top of existing standards Purpose
1 Install and maintain a firewall configuration to protect cardholder data. Have a current diagram that shows cardholder data flows. To clarify that documented cardholder data flows are an important component of network diagrams.
2 Do not use vendor-supplied defaults for system passwords and other security parameters. Maintain an inventory of system components in scope for PCI DSS. To support effective scoping practices.
3 Protect stored cardholder data. No change from the existing version.
4 Encrypt transmission of cardholder data across open, public networks. No change from the existing version
5 Use and regularly update antivirus software. Evaluate evolving malware threats for systems not commonly affected by malware. To promote ongoing awareness and due diligence to protect systems from malware
6 Develop and maintain secure systems and applications. Update list of common vulnerabilities in alignment with OWASP, NIST, and SANS for inclusion in secure coding practices. To keep current with emerging threats.
7 Restrict access to cardholder data by business need-to-know. No change from the existing version
8 Assign a unique ID to each person with computer access. Security considerations for authentication mechanisms such as physical security tokens, smart cards, and certificates. To address feedback about requirements for securing authentication methods, other than passwords, that need to be included.
9 Restrict physical access to cardholder data. Protect POS terminals and devices from tampering or substitution. To address the need for physical security of payment terminals.
10 Track and monitor all access to network resources and cardholder data. No change from the existing version
11 Regularly test security systems and processes. Implement a methodology for penetration testing, and perform penetration tests to verify that the segmentation methods are operational and effective. To address requests for more details about penetration tests, and for more stringent scoping verification.
12 Maintain a policy that addresses information security. Maintain information about which PCI DSS requirements are managed by service providers and which are managed by the entity.
Service providers need to accept responsibility for maintaining applicable PCI DSS requirements.
To address feedback from the 3rd-Party Security Assurance SIG.

La actualización incluye las siguientes mejoras:

  • Eliminación de los requisitos redundantes
  • Aclaración de los procedimientos de prueba para cada requisito
  • Fortalecimiento de los requisitos de pruebas de penetración y validación de segmentos de red
  • Mayor flexibilidad en métodos de mitigación de riesgo que comprende los requerimientos de fuerza y complejidad de contraseña.

Fuente: The Hacker News

Nuevas versiones de ISO/IEC 27001 y 27002 (Draft finales)

septiembre 18, 2013 § 2 comentarios

Tal y como señala Anthony M. Freed, al contar la historia de la norma ISO 27000 (antes BS 7799), se celebran los primeros 20 años de su nacimiento y mientras tanto, el comité evaluador ya está listo para lanzar la versión 2013 de la misma.

¿Qué quiere decir esto?

Esto significa que, salvo alguna catástrofe, tendremos las nuevas versiones de las norma ISO/IEC 27001 y 27002 a final de año.

El draft estuvo a disposición del público hasta el 23 de marzo de 2013. Ahora, los comentarios del público fueron analizados y los organismos nacionales votaron a favor de la publicación final de las nuevas normas. A finales de abril se acordaron algunos cambios de menor importancia -como que un control se convirtió en dos- y el texto corregido fue lanzado para una votación final a principios de julio (cambios I,cambios II y cambios III). Las votaciones cerraron el pasado 3 de septiembre, y si todo va bien, la publicación oficial será durante el mes de octubre. La BSI, British Standards Institution, tiene una oferta especial para los que compren su copias borradores ahora, porque luego recibirán automáticamente una copia de la norma final publicada, sin costo.

¿Qué ha cambiado en la norma 27001?

Tal vez el cambio más evidente de la nueva versión es el diseño. Ya no hay requisitos de duplicados y el texto es menos prescriptivo, dando mayor libertad para aplicar los requisitos de la manera que mejor se adapte a las organizaciones. La siguiente figura muestra la relación entre la versión 2005 de la nueva norma y los FDIS.

¿Qué ha cambiado en la norma 27002?

En la actualidad hay sólo 114 controles, en contraposición con los 133 originales, y que se enumeran en 14 dominios, en lugar de los once originales. Muchos controles no han cambiado desde la versión 2005, aunque el texto de la guía se ha actualizado. Algunos controles se han eliminado ya que no se consideran comunes en un mundo interconectado. Otros se han fusionado, ya que eran diferentes maneras de decir la misma cosa, y también hay algunos nuevos controles. El Anexo A de la norma ISO/IEC 27001 refleja la ISO/IEC 27002.

Sin embargo, quizás el cambio más significativo es que el capítulo sobre la evaluación y tratamiento del riesgo se ha eliminado.

En esta sección se muestra cómo se han mapeado los nuevos controles y también los controles que se han eliminado en la nueva ISO.

¿Es necesario actualizar inmediatamente?

Cuando se publique la nueva norma se darán a conocer los acuerdos de transición. El régimen de transición para ISO 9001:2000 puede servir como un buen ejemplo, ya que los cambios entre esa norma y su predecesora, la norma ISO 9001:1994, fueron significativos. En ese caso, la transición se permitió durante un período de dos años. Sin embargo, adoptar un proceso de certificación gradual asegura una transición exitosa a diferentes partes de la norma revisada así como los procesos de seguimiento. Además, las inscripciones a la antigua norma pueden ser admitidos durante un período de tiempo pero luego sólo se permitirá registros para la nueva norma. También podría ser posible, por un período de tiempo, elegir si las auditorías se llevarán a cabo sobre la nueva norma o sobre la antigua. Sin embargo, estas son sólo conjeturas basadas en experiencias anteriores.

Cristian de la Redacción de Segu-Info

Cinco preguntas clave para potencializar el uso de Big Data

septiembre 14, 2013 § Deja un comentario

Una tendencia como Big Data—denominado “el nuevo oro negro” por el Foro Económico Mundial—tiene la capacidad de mejorar los procesos de toma de decisión, reducir el tiempo de lanzamiento al mercado e incrementar las ganancias. Sin embargo, también puede presentar un riesgo determinante, desde desastrosas brechas en las bases de datos hasta temas de cumplimiento en materia de privacidad. Con la finalidad de ayudar a las empresas a mantener el control de un flujo cambiante y masivo de información, ISACA lanza la nueva guía titulada Privacidad y Big Data, la cual resalta puntos críticos y preguntas básicas a considerar sobre el manejo de una cantidad masiva de datos. Está guía se puede descargar de manera gratuita y en español desde la página http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Privacy-and-Big-Data.aspx

“Los CIOs a menudo se enfrenta a la presión por parte de su junta directiva y la de su presidente para implementar una estrategia para el manejo de un volumen importante de datos, sin antes considerar un protocolo de manejo y control de riesgos, con el único objetivo de ser un competidor importante en el mercado” expresó Richard Chew, CISA, CISM, CGEIT, analista de seguridad de la información en el Emerald Management Group. “La denominada tendencia del Big Data provee una importante ocasión para incrementar el valor de la información, sin embargo, una empresa puede ser mucho más exitosa a largo plazo si se establece políticas y marcos de referencia como COBIT” finalizó.

De acuerdo al texto Privacidad y Big Data, las organizaciones deben responder 16 preguntas básicas, las cuales incluyen cinco cuestiones clave. De ser ignoradas, pueden exponer a la empresa a un riesgo y daño importante:

1. ¿Nuestras fuentes de información son confiables?
2. ¿Qué tipo de información se está introduciendo sin exponer a la empresa a un conflicto legal o regulatorio?
3. ¿Cómo se están protegiendo nuestras fuentes, nuestros procesos y nuestras decisiones en relación a robos o acciones de corrupción?
4. ¿Qué tipo de políticas se han establecido para asegurar la confidencialidad de todos los empleados con respecto a la información de los principales grupos de interés de la empresa durante y después de que laboran aquí?
5. ¿Cuáles son las acciones emprendidas por la empresa, que puedan representar tendencias favorables que pueden ser aprovechadas por la competencia?

A medida que esta tendencia crece, las empresas requieren políticas de privacidad mucho más robustas, con soluciones que faciliten a las empresas prevenir brechas. De igual forma sean capaces de reforzar la seguridad frente a un ambiente tecnológico cada vez más complejo.

“Para lograr coordinar un correcto gobierno de TI, un manejo apropiado de riesgos, y una entrega efectiva de proyectos a implementar para el manejo de grandes volúmenes de información, muchas empresas han puesto en marcha un marco de referencia como COBIT desarrollado por expertos en el tema a nivel global” agregó Yves LeRoux, CISM, CISSP, presidente de la fuerza de tarea de ISACA y estratega en tecnología para CA Technologies.

“A través del uso de COBIT, las empresas pueden identificar de manera mucho más sencilla la información más susceptible, asegurarla a través de la aplicación de leyes y regulaciones así como un monitoreo proactivo de la actividad y la respuesta oportuna a las brechas de privacidad” finalizó.

Fuente: ISACA

Publicada ISO/IEC/TR 27019:2013

agosto 9, 2013 § Deja un comentario

Esta norma proporciona principios de guía y buenas prácticas basadas en la norma ISO/IEC 27002 para la gestión de seguridad de la información y aplicada a sistemas de control de procesos en entornos industriales de suministro de la energía.

El objetivo de esta norma es extender el conjunto de normas ISO/IEC 27000 para el dominio de los sistemas de control de procesos y la tecnología de automatización, permitiendo de este modo que la industria de la energía pueda poner en práctica un sistema de gestión de información de seguridad normalizado (SGSI) en conformidad con la norma ISO/IEC 27001 que se extienda desde la empresa hasta el nivel de control de procesos.

La misma ya se puede adquirir en el sitio oficial de ISO/IEC/TR 27019:2013.

Cristian de la Redacción de Segu-Info

¿Dónde estoy?

Actualmente estás explorando la categoría estandares en Seguridad Informática.