Convergencia de practicas. Reflexiones y Tendencias.
Espedito Passarello. Consejo Profesional de Ingenieria en Electrónica, Telecomunicaciones y Computación (COPITEC). UADE 2006 1
Lic. Espedito Passarello Licenciado en Ingeniería de Sistemas (UBA) Computador Cientifico (UBA) Certified ISMS BASED ON BS 7799 Certified Information Security Management Systems on BS 7799- DQS Gmbh – German Register for Management Systems (2003).
2
La convergencia de las NTIIC Dimensión tecnológica: Interoperatibilidad Estandares de la industria. Disposición de nuevos componentes y recursos.
3
TELEFONIA MOVIL O COMPUTADRES MOVILES MULTIMEDIA (N95nokia) • • • • • • • • •
CÁMARA DE 5 MEGAPIXELES, WI FI, GPS, 160 MB RAM, SUITE OFFICE NAVEGADOR WEB REPRODUCTOR DE AUDIO Y V IDEO. VERSIÓN APACHE (SOFT DE SERVIDOR) PROTOCOLO WIBREE /BLUETOOTH/WIMAX
TELEFONIA MOVIL O SERVIDORES PERSONALES PORTAÁTILES (IBM, INTEL)
• ACCESO DESDE REDES O INTERNET. • SEAN REDES DE CELULARES O NO. • LLAMADAS DE VOZ IP
La dimensión de las Practicas, comunidades de practicas.
• Convergencia de Best Practiques. “la mejor tecnología NO puede operar sola, reconocimiento de la gestión de conocimientos, se debe involucrar mas a las personas en los procesos y formas de actuar”. Será posible articulando la organización bajo comunidades de practicas.
• orientadas al logro de la Gobernabilidad de NTIIC alineadas a los Modelos de Negocios
Los Profesionales • Que actuan dentro del marco de acción de las disciplinas relacionadas con las Nuevas Tecnologías de la Información, la Informática y las Comunicaciones (NTIIC). • Esto incluye las tecnologías referidas a la electrónica, las Telecomunicaciones (incluye Internet), Ingeniería de software y Sistemas ( Integración de Sistemas y el Desarrollo de Aplicaciones).
Que requieren?
• una visión integral, buscando el conocimiento permanente que permita máxima seguridad y eficacia en las formas de como implantar las mejores practicas que permitan la mejora de la gestión EMPRESARIA.
Mejores practicas. El caso de la gestión de la seguridad de la información
Conocimientos y Competencias • La Seguridad de las tecnologías y sistemas de información se ha convertido en un factor clave para el éxito y la rentabilidad de los negocios. • Es necesario contar con profesionales con competencias y conocimientos para desarrollar políticas de Seguridad que garantice la aplicación de salvaguardas contra; • pérdidas económicas graves, • el quebranto de la imagen pública, • el incumplimiento legal o la fuga de información.
Leyes, regulaciones y Normas Actualmente las empresas están preocupadas por cumplir con las regulaciones y normas nacionales e internacionales, con el objetivo de ser competitivos y protegerse tanto de posibles ataques como de problemas legales (Habeas data, Firma Digital, Propiedad Intelectual, Delitos Informáticos, etc.). • EL compliance, gobierno corporativo y cumplimiento con normas como ITIL, COBIT, ISO SERIE 27000 (BS7799), BS15000, SarbanesOxley (SOX)... • La responsabilidad social de las empresas.
Leyes, regulaciones y Normas • Europa: Aprobaron la ley de almacenamiento de datos electrónicos Los ministros de Justicia de la Unión Europea dieron el martes su visto bueno final a las nuevas leyes que exigirán a las operadoras de telecomunicaciones almacenar los datos telefónicos y de Internet hasta por dos años, para ayudar en la lucha contra el terrorismo y otros delitos graves. De este modo, las compañías de telecomunicaciones e Internet tendrán que almacenar los datos entre seis meses y dos años, dependiendo de lo que decida cada Estado miembro.
GESTION DE LA SEGURIDAD DE LA INFORMACIÓN: CONSIDERACIONES ESPECÍFICAS
13
PUNTOS CLAVES
1 ¿Cuáles son sus características y adecuaciones ? 2 ¿Cuáles son los criterios para seleccionarlas? 3 ¿Cuáles son las estrategias alternativas y como se aplican para realizar los cambios ? 4 ¿Que factores (humanos, técnicos, organizacionales, ..) serán necesarios y cuales sus obstáculos? 5 ¿cuáles son las métricas que permitan valorar los beneficios?
Gerenciando la inseguridad
• El cambio constante de nuestro entorno, el rápido desarrollo tecnológico, la necesidad de integrar nuevos sistemas y aplicaciones, provoca, en muchos casos, descuidos importantes en la seguridad de las organizaciones.
Gerenciando la inseguridad
• Los cambios legales que obligan a adoptar medidas de seguridad para la protección de la información, la proliferación del "hacking" o los virus, la creciente extensión de las redes de las empresas, su integración con Internet y su uso masivo, hace necesario una vigilancia permanente del estado de la seguridad de los sistemas. • El correo basura (mensajes de texto-SMS) acosa a usuarios de celulares (Spam movil).
Gerenciando la inseguridad
• Todos estos factores hace cada vez más difícil a las empresas disponer de los recursos propios suficientes y de los conocimientos actualizados que les permitan detectar las vulnerabilidades de los sistemas y poner en marcha las pertinentes mejoras para evitarlas.
Gerenciando la inseguridad
• No sirve introducir solamente medios técnicos para garantizar la privacidad de los datos, sino que hay que definir reglas de protección, normativas de uso de los sistemas, planes de recuperación ante desastres, etc.
Como responsable de normalización de actividades de seguridad de la información I
• AÑO 2001/2- ESTUDIO DE LA ISO/IEC 17799 • TECNOLOGÍA DE LA INFORMACIÓN (TI). CÓDIGO DE BUENAS PRÁCTICAS
• ADOPCIÓN NACIONAL COMO IRAM-ISO/IEC 17799:2002: Tecnología de la Información. Código de Buenas Prácticas de la Gestión de la seguridad de la Información • Especifica 127 controles técnicos agrupados en 10 temáticas de gestión
Como responsable de normalización de actividades de seguridad de la información II
• AÑO 2003- ESTUDIO DE LA NORMA • BS-7799-2(2002) TECNOLOGÍA DE LA INFORMACIÓN (TI). ESPECIFICACIONES SGSI
• ESQUEMA DE NORMA IRAM 17798:2004: Tecnología de la Información. Especificaciones para los sistemas de Gestión de Seguridad de la Información • Año 2005- Gestión de Riesgos y Prevención del Fraude. • Referencia para los procesos de certificación
Normas asociadas. • ISO IEC Guide 2, 1996 General vocabulary. • ISO IEC Guide 73: 2002. Risk management. • ISO 10007:2003. Quality management systems• • • •
Guidelines for configuration managenent. ISO 12207:1995. Software life cycle processes. ISO IEC TR 18044. Information segurity incident management. ISO IEC 18028-4. IT Network security-Securing remote access. ISO IEC 21827: 2002. Ingeniería de seguridad de los
sistemas. Modelo de Madurez de Capacidad (SSE-CMM)
Necesidad de la normalizacion de la gestión de la seguridad de la información
• No existen reglas y criterios únicos para definir cuando un SGSI se puede considerar que salvaguarda y protege la información. • No existe aún una referencia internacional de actuación.Van elaborándose iniciativas en diferentes países. • Existe amplia diversidad de criterios con que las organizaciones evalúan sus riesgos y valoran sus activos de información.
Reflexión final
• El centro de gravedad de nuestras organizaciones hoy lo constituyen las personas competentes y el conocimiento, por es necesario reconfigurar nuestras maneras de trabajar lo cual exige reflexionar sobre nuestra situación actual, saber hacia dónde queremos llegar, proveer los recursos para poder llegar y darnos la oportunidad de cambiar.
Conclusion - Ingeniería de la seguridad de la Información. • -Competencia primaria: Construcción de sistemas de seguridad de la información y los Sistemas de Gestión asociados (medible, controlable ). Determinación de criterios de construcción (robusta) que permita resolver la ecuación (desigual)existente entre el rol del que previene y los múltiples factores de riesgos/incertidumbre. -Métodos de evaluación de los potenciales puntos débiles para establecer medidas de protección.
• Gracias por su presencia
• Información de contacto -
[email protected]