Sesión 5: Normas, políticas y gestión de la seguridad de la información

¡Hola a todos!

El día de hoy coincide con el tema 5, relativo a las normas, políticas y gestión de la seguridad de la información. Cada vez más empresas, negocios, instituciones y también usuarios, incluyen en su actividad tecnológica mayores medidas de seguridad de la información para una protección más efectiva y segura de sus datos.

La información es el activo más importante de una organización. Imaginemos qué pasaría si perdiéramos documentos, correos electrónicos, bases de datos, nominas, fax…

Los riesgos a los que la información está expuesta son múltiples, y como ya vimos en la sesión anterior, existen algunas teorías como la del eslabón más débil que sirven para conocer, gestionar y minimizar los riesgos de seguridad.

Ahora bien, los sistemas de gestión de seguridad (SGSI) han de valorarse en función del gasto que nos supone a la par que el impacto que generaría el riesgo.

Es un proceso que se guía por diferentes fases: definir la política, el alcance, análisis de riesgos... y conforme a esos cálculos se gestiona el riesgo y aplicamos medidas de seguridad. ISO 27000.

La política de seguridad está altamente relacionada con el compromiso de la alta dirección, pues implica a toda la organización y ha de estar documentado e informado entre los integrantes.

Respecto a la documentación básica que debe incluir un SGSI, se habla de la política del sistema de seguridad, de los planes de actuación, documentos técnicos, guías de información...

Se crearon las normas ISO 27000 como básicas en toda implantación de un sistema de seguridad.Incluye diferentes dominios de control que contempla las áreas de seguridad que deben estar cubiertas. Se ha ido mejorando con el tiempo, añadiendo nuevas normas. Por ejemplo, podríamos destacar el Círculo de Denim, que incluye una nueva norma basada en la planificación, la actuación, la comprobación y la actualización.

Otros estándares de Seguridad de la Información son:

• Information Security Management Maturity Model (ISM3) basado en metodología de procesos. 
• COBIT: Control Objectives for Information and related Technology, es una marco de trabajo de buenas prácticas de gestión de tecnología de la información (TI). Mantenido por ISACA (Information Systems Audit and Control Association)
• Esquema Nacional de Seguridad (ENS)  Es la política de seguridad de la información de la Administración Pública en España. (R.D. 3/2010) Expresa los principios básicos de seguridad y los requisitos mínimos para proteger la información. Categoriza los sistemas en Alto, Medio o Bajo. Tiene 75 medidas de seguridad.

Una vez hemos analizado la parte teórica de esta sesión, pasamos a ver su proyección práctica. Nosotros, que no tenemos por qué aplicar estos sistemas, hemos aprendido a rastrear la dirección IP a través de comando, que se realiza abriendo cmd en el PC o símbolo del sistema y añadiendo "ipconfig" o "ping", y seguidamente la dirección URL que queremos rastrear. De esta forma aparece un número de dirección que se corresponde con nuestra IP.  

¿Para qué nos sirve esto? 

Hay muchos delitos informáticos como el phishing, o diferentes variantes de la estafa como la estafa nigeriana, que intentan acceder a nuestra información a través de diferentes URL. Cuando nos resulte raro algún correo o mensaje, podemos adivinar y rastrear la dirección IP del remitente mediante este mecanismo, y de este modo asegurarnos de la veracidad de estos mensajes.

Espero seguir aprendiendo con vosotros, ¡hasta pronto!