Los 25 errores más comunes en seguridad de correo electrónico

marzo 9, 2007 § Deja un comentario

IT Security publica un artículo, orientado a usuarios, en el que describe los 25 errores más comunes que se cometen en cuanto a la seguridad del correo electrónico y la forma evitarlos.

Son consejos que pueden servir de guía a la hora de redactar una política de uso de correo electrónico o impartir formación en el uso seguro del mismo.

Fuente: http://www.iso27000.es/

Anuncios

Tres nuevas guías NIST

marzo 9, 2007 § Deja un comentario

En el mes de Febrero, NIST (National Institute of Standards and Technology de EEUU) ha publicado o actualizado tres nuevas guías relativas a seguridad de la información. Son las siguientes:

SP800-94: Guía de Sistemas de Detección y Prevención de Intrusiones.
SP800-45: Guía de Seguridad de Correo Electrónico.
SP800-97: Guía de IEEE 802.11i (redes inalámbricas seguras).

Fuente: http://www.iso27000.es/

Awareness (concientización) para PYMES

marzo 9, 2007 § Deja un comentario

ENISA acaba de publicar su “Guía del usuario: Elaborar programas de sensibilización sobre la seguridad de la información” en la que se ilustran los principales procesos para planificar, organizar y poner en práctica iniciativas destinadas a sensibilizar al público sobre la seguridad de la información: planificación y valoración, ejecución y gestión, evaluación y modificación.

En la guía se analizan cada uno de estos procesos y se identifican cronológicamente las actuaciones y dependencias. El modelo de proceso que ENISA propone permite la definición inicial del ámbito de actuación y la planificación de actividades, así como la ejecución y evaluación de los programas.

Se destaca la fase de planificación y valoración como decisiva para el éxito del programa y se hace hincapié, en particular, en la importancia de definir las metas y los objetivos de las iniciativas, de determinar quiénes serán los grupos destinatarios, de desarrollar un plan de comunicaciones y de medir el éxito de los programas de sensibilización.

Se incluyen plantillas y ejemplos de las herramientas propuestas como la de conclusiones , la del plan de trabajo y la de formulario de recopilación de datos de los grupos destinatarios.

En la Guía se mencionan los obstáculos que dificultan el éxito y se ofrecen consejos prácticos para superarlos durante las fases de planificación y aplicación de los programas, y se describen los principales factores de éxito de toda iniciativa en materia de seguridad de la información. Por ejemplo, antes de aplicar (o modificar) un programa de sensibilización, conviene definir una línea de referencia teniendo en cuenta el estado actual; por otra parte, la publicidad es un elemento esencial de toda campaña de sensibilización, ya que multiplica sus efectos al aumentar el número de personas que reciben el mensaje.

Se trata de una interesante guía que publicó ENISA en 2006 en inglés y que ahora ha traducido al francés, alemán y español.

Fuentes:
http://www.iso27000.es/
http://bitacora.palomallaneza.com/?p=66

Guía para un SGSI en organizaciones médicas

marzo 9, 2007 § Deja un comentario

A finales de 2004, la Japan Information Processing Development Corporation publicó una guía en inglés de implantación de SGSIs en organizaciones médicas.

A lo largo de 79 páginas, el documento hace un recorrido relativamente detallado de todas las fases del ciclo PDCA y de las tareas que deberían llevarse a cabo en cada una de ellas. A pesar de estar pensado para organizaciones médicas, su contenido es aplicable en su mayor parte a cualquier tipo de empresa u organismo.

El documento puede descargarse de www.isms.jipdec.jp

Fuente: http://www.iso27000.es/

Guía para evaluar la próxima generación de soluciones de seguridad para el correo electrónico

febrero 28, 2007 § Deja un comentario

La solución de problemas específicos no es la respuesta.

Muchas empresas han aplicado soluciones específicas capaces de hacer frente solamente de un único problema. Las soluciones antispam y antivirus que comprueban el correo pueden emplearse a nivel de usuario o como plug-in. Pero este tipo de enfoque rara vez forma parte de una estrategia general de seguridad, y suele provocar lagunas o superposiciones en la seguridad. Adicionalmente, la mayor parte de estas soluciones específicas tienen interfaces de gestión distintas, lo cual puede provocar un aumento del coste y el esfuerzo administrativo.

Con la evolución de la seguridad del correo electrónico, frecuentemente deja de valer la pena el estrato suplementario de gestión que requieren estas soluciones específicas, puesto que hacen frente a un único problema del correo, utilizando habitualmente un solo método de defensa. El spam, en particular, ha evolucionado más allá de lo que pueden abordar estas soluciones, lo cual hace básicamente ineficaces estos productos.

Documento completo en PDF disponible en CIO España

Fuente: http://www.iso27000.es/

Elementos de una buena arquitectura de seguridad

febrero 28, 2007 § Deja un comentario

Arquitecturas de seguridad eficaces ayudan a las organizaciones a mejorar la coordinación y esfuerzos empresariales en seguridad. Mediante el aprendizaje del modo en que las arquitecturas de la seguridad funcionan se puede ayudar a los auditores internos a maximizar los resultados de las auditorías de seguridad y a desempeñar un papel más proactivo en las actividades relacionas con la seguridad de su organización.

Antivirus, cortafuegos y los sistemas de detección de intrusiones desempeñan un papel clave en la protección de las organizaciones contra amenazas externas. Para maximizar estas herramientas de seguridad, así como políticas y procedimientos existentes, las compañías deben disponer de una arquitectura empresarial que integre todos estos diversos elementos.

Esta arquitectura debe ser una actividad estructurada y coordinada que tenga en cuenta a las presonas, procesos y las herramientas que funcionan en conjunto para securizar los recursos de una organización y debe estar ligada al flujo continuo de la información que recorre la organización entera para adaptarla a los cambios. Para maximizar los esfuerzos de la auditoría, los nuevos auditores TI necesitan entender los componentes principales de una arquitectura de seguridad, los diversos marcos para diseñar y evaluar una arquitectura eficaz y cómo determinar la eficacia de la arquitectura.

Artículo completo de Nelson E. Gibbs

Fuente: http://www.iso27000.es/

¿Dónde estoy?

Actualmente estás explorando la categoría guia en Seguridad Informática.