ENTIDADES

ENTIDADES CERTIFICADORAS

Entidad certificadora colombiana

CERT
Es un centro de coordinacion de atencion a incidentes de seguridad informatica Colombiano, el cual esta en contacto directo con los centros de seguridad de sus empresas afiliadas y está en capacidad de coordinar el tratamiento y solucion de las solicitudes y denuncias sobre problemas de seguridad

El CERT Colombia, tambien mantiene comunicacion constante con organizaciones internacionales que trabajan en el sector de la seguridad informatica y hace uso de informacion especializada entregada por estas, para advertir a los integrantes del CERT Colombia, sobre cualquier tipo de contenido malicioso que pueda tener alojado dentro de sus redes, que afecte directamente su operacion, o que amenace la seguridad de sus clientes.

El objetivo principal es el gestionar una eficiente atencion a los incidentes de seguridad informatica que involucren redes y/o servicios Colombianos.


INTEGRANTES DE CERT

CISSP: (Certified Information Systems Security Professional) es una certificación de alto nivel profesional, con el objetivo de ayudar a las empresas a reconocer a los profesionales con formación en el área de seguridad de la información.



CISSP es considerada como una de las credenciales de mayor representatividad en el ámbito de la seguridad informática a nivel mundial.

La Certificación CISSP es entregada por (ISC)2, una organización sin fines de lucro dedicada a aspectos de seguridad de la información y que ha provisto Certificaciones Internacionales a profesionales desde 1992.(ISC)2 fue formada en 1998 por la unión de organizaciones de seguridad en IT.

En caso de CISSP esta orientado a un CISO (con un perfil más técnico que funcional)



SANS

(SysAdmin Audit, Networking and Security Institute) es una institución con ánimo de lucro fundada en 1989, que agrupa a 165.000 profesionales de la seguridad informática



sus principales objetivos son:

*Reunir información sobre todo lo referente a seguridad informática (sistemas operativos, routers, firewalls, aplicaciones, IDS, etc.)
*Ofrecer capacitación y certificación en el ámbito de la seguridad informática e igualmente, el SANS Institute es una universidad formativa en el ámbito de las tecnologías de seguridad

*Se centra en aspectos más técnicos y prácticos



Se trata del Instituto SANS que a su vez fundó GIAC (Global Information Assurance
Certification), que responde a la necesidad de validar las habilidades y capacidades de los profesionales en seguridad.



SANS proporciona un conjunto de cursos destinado a ayudarle a dominar los pasos prácticos necesarios para defender sus sistemas y sus redes contra las amenazas más peligrosas, aquellas que están siendo activamente explotadas. Los cursos, desarrollados con el consenso de cientos de administradores, responsables de seguridad y otros profesionales del ramo, tratan tanto los fundamentos como los detalles técnicos de las áreas más críticas de la Seguridad de la Información.

NORMAS

NORMAS DE SEGURIDAD

Que es una norma?

Las normas son un modelo, un patrón, un ejemplo o criterio a seguir, es una fórmula que tiene valor de regla y tiene como finalidad definir las carecterísticas que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional.

Que son las normas iso?

International Organization for Standardization

(Organización Internacional para la Estandarización)

Las normas ISO surgen para armonizar la gran cantidad de normas sobre
gestión de calidad que estaban apareciendo en distintos países del mundo.

Los organismos de normalización de cada país producen normas que resultan del
consenso entre representantes del estado y de la industria. De la misma
manera las normas ISO surgen del consenso entre representantes de los
distintos países integrados a la I.S.O.

Norma iso 17799

Es proprocional, una base para desarrollar norma de seguridad dentro de las organizaciones y

ser una practica eficaz de las gestion de las seguridad.

No es certificable ya que es la pauta para las demas.

Ha sido redactada de forma flexible e independiente de cualquier solucion de seguridad especifica

Proporciona buenas practicas neutrales con respecto a la tecnologia y a las soluciones disponibles en el mercado.

1995: BS 7799 es un codigo de buenas practicas para la gestion de la seguridad de la informacion

1998: BS 7799-2 tras una revision de ambas partes de BS7799 en (1999) la primera es adoptada como norma iso en el año (2000) y denominada iso/IEC 17799

2002: la norma iso se adopta como (UNE 17799)

2004: se establece la norma UNE (71502) basada en BS7799-2

Esta norma establece diez dominios de control que cubren por completo la gestion de seguridad de la informacion

1. Politica de seguridad

2. Aspectos organizativos para la seguridad

3. Clasificacion y control de activos

4. Seguridad ligada al personal

5. Seguridad fisica y del entorno

6. Gestion de comunicacion y operaciones

7. Control de acceso

8. Desarrollo y mantenimiento de sistemas

9. Gestion de continuidad del negocio

10. Conformidad con la legislacion

De estos diez dominos se derivan 36 objetivos de control y 127 controles (practicas, proced

ISO 27001

Esta norma muestra como aplicar los controles propuestos en la iso 17799 estableciendo los requisitos para construir "SGSI" auditable y certificable.

Es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad, sector público y tecnología de la información (TI).

COMPARACION

*17799 Es un conjunto de buenas practicas en seguridad de la informacion, contiene 133

controles aplicables

*La iso 17799 no es certificable ni fue diseñada para tal fin

*La norma que si es certificable es iso 27001 como tambien lo fue su antecesora BS7799-2

*iso 27001 contiene un anexo que considera los controles de la norma iso 17799 para su posible aplicacion en el SGSI que implanta cada organizacion

*iso 17799 es para 27001 por tanto una relacion de controles necesarios para garantizar la seguridad de la informacion

*iso 27001 especifica los requisitos para implatar, operar, vigilar, mantener, evaluar un sistema de seguridad informatica explicitamente

SEGURIDAD EN REDES

SEGURIDAD INFORMATICA

Entendemos como seguridad un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo.

Entérminos generales, la seguridad puede entenderse como aquellas reglas técnicas ó actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial.

La seguridad informática consiste en asegurar que los recursos del sistema de informacion de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Por esto la existencia de personas ajenas a la información, también conocidas como piratas informáticos o hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.
Tales personajes pueden, incluso, formar parte del personal administrativo de cualquier compañía; ya que las violaciones e intrusiones a los recursos informáticos se realiza por el personal interno, debido a que éste conoce los procesos, metodologías y tiene acceso a la información sensible de su empresa, es decir, a todos aquellos datos cuya pérdida puede afectar el buen funcionamiento de la organización.

Para que un sistema se pueda definir como seguro debe tener estas cuatro características:

Confidencialidad: La información sólo debe ser vista por usuarios autorizados

Integridad:La información sólo puede ser modificada por quien está autorizado y de manera controlada.
Disponibilidad: Debe estar disponible la informacion cuando sea cuando necesaria

No repudio: no tener la posibilidad de negar que se accedio a la informacion del sistema

Terminologia de la seguridad informatica

Activo:Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.

Amenaza: Es un evento que pueden desencadenar un incidente en sus activos.

Riesgo: posibilidad de que se produzca un impacto determinado en un Activo.

Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.

Ataque: evento que atenta sobre el buen funcionamiento del sistema.