La ISO cuenta con estándares que especifican los requerimientos necesarios para las organizaciones al implementar sistemas de gestión, entre los cuales se tiene el estándar ISO/IEC 27001:2013 (Implementación de un Sistema de Gestión de Seguridad de la Información) el cual brinda un apoyo para poder lograr un cumplimiento de seguridad de la información en las compañías. Para esto, se debe seguir un proceso específico para poder lograr establecer de forma adecuada el sistema de gestión. Así mismo, el estándar ISO 22301:2012 plantea la gestión de continuidad del negocio el cual ayuda a buscar una operación continua del negocio a las compañías y es un ítem que hace parte de un SGSI. Se observarán el proceso de implementación de estos dos estándares para poder lograr un nivel de cumplimiento en cuanto a las mejores prácticas de seguridad de la información.
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónPECB
Un análisis del proceso de responsabilidad y autoridad en la seguridad de la información en las empresas.
Vamos a cubrir:
• Como establecer la organización de la seguridad de la información en las empresas.
• Asignación de roles, responsabilidades y autoridad en los procesos del SGSI.
• Asignación de roles, responsabilidades y autoridad en los controles de la seguridad de la información.
Presentador:
Ing. Manuel Collazos Balaguer es Director General de Prime Profesional SAC, Ingeniero de la Universidad Nacional de Ingeniería, Certificados ISO 27001 Master, consultor, auditor e instructor internacional en Sistemas de Gestión de Riesgos.
Organizador: Ardian Berisha
Data: November 16, 2016
Link of the recorded session published on YouTube: https://youtu.be/OF3l_9QeJAA
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónPECB
Un análisis del proceso de responsabilidad y autoridad en la seguridad de la información en las empresas.
Vamos a cubrir:
• Como establecer la organización de la seguridad de la información en las empresas.
• Asignación de roles, responsabilidades y autoridad en los procesos del SGSI.
• Asignación de roles, responsabilidades y autoridad en los controles de la seguridad de la información.
Presentador:
Ing. Manuel Collazos Balaguer es Director General de Prime Profesional SAC, Ingeniero de la Universidad Nacional de Ingeniería, Certificados ISO 27001 Master, consultor, auditor e instructor internacional en Sistemas de Gestión de Riesgos.
Organizador: Ardian Berisha
Data: November 16, 2016
Link of the recorded session published on YouTube: https://youtu.be/OF3l_9QeJAA
Las fuentes abiertas y las habilidades del analista OSINT, juegan un papel clave en la detección, defensa y respuesta ante las nuevas amenazas como la desinformación, las fake news o ataques a infraestructuras críticas, en los que intervienen actores tan diversos como el crimen organizado, el hacktivismo, el ciberterrorismo o los propios Estados, con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
En la exposición, se mostrarán ejemplos prácticos del uso de diversas técnicas OSINT e inteligencia artificial para adquirir y procesar grandes volúmenes de datos (tanto texto como contenido multimedia), con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
Durante el proceso de implementación de un SGSI o de un SGCN en contact centers o en BPOs, se presentan retos específicos de las realidades cambiantes de este tipo de negocios. El dinamismo que presentan hace que la implementación de estos sistemas requiera de una especial atención en los diferentes proyectos a los cuales se enfrentan las organizaciones, exploraremos de forma breve algunos de estos retos.
La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio. La conferencia presenta una evolución de las técnicas de seguridad en el software, desde las clásicas (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. Se enumeran herramientas de análisis de código basadas en técnicas de Machine Learning, y se presenta una visión respecto la influencia que las nuevas tecnologías y la Inteligencia Artificial pueden tener en el sector de la seguridad.
En la presentación expuesta se puede apreciar los resultados de las auditorias efectuadas a los dispositivos Smart TV (LG 43uf6407, SAMSUNG UE32F5500AW, Panasonic TX-40CX680E) y la Barra de sonido OKI SB Media Player 1g. Durante el workshop se pudieron apreciar fugas de información en las cabeceras de respuesta, servicios expuestos y componentes desactualizados. En el caso de la Barra de sonido OKI y en todos los mediacenter InOut TV las carencias en seguridad son acentuadas, ya que disponen de servicios como XAMPP, con credenciales por defecto, esto sumado la falta de actualizaciones supone un potencial riesgo que ello conlleva. Durante la auditoría también se efectuó una captura del tráfico, llegando en algunos casos a enviar la lista total de canales sintonizados y el orden en que están ordenados en el Smart TV.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Dados los diversos cambios en las tecnologías y el creciente número de amenazas al sector de medios de pago, el PCI SSC emite, en ciclos definidos, actualizaciones a todo su ecosistema de normas. Asimismo, es muy importante conocer cuales son los requerimientos de validación y reporte del cumplimiento y tener en cuenta que los comercios o proveedores de servicios por sus procesos de pago, arquitectura, etc. deben considerar que controles de la norma PCI DSS les apliquen. Debido a esto, es necesario entender cuales son los diferentes cuestionarios de Autoevaluación (SAQ), que no es más que un subconjunto de controles de la norma aplicados a un escenario especifico en el cual el propio comercio o proveedor de servicios puede demostrar su cumplimiento, abarcando sus principales inconvenientes al llenarlo y los retos más importantes.
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
Las redes sociales permiten, entre otros muchos aspectos, incrementar nuestro nivel de exposición. Este hecho implica a su vez que el nivel de riesgo también se incrementa, poniendo en peligro nuestra privacidad, que puede ser abusada con intenciones muy diversas. La presentación expone los riesgos a los que se expone cualquier usuario cuando crea una identidad digital en una red social, pero desde un punto de vista nada habitual. Para ello, se presentan casos prácticos en los que se demuestra las capacidades de explotación de los datos que exponemos, tanto de forma consciente como inconscientemente.
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
Esta presentación se centra, por un lado, en los aspectos más sensibles o complejos del registro en el RNDB, mostrando tanto los errores habituales en el proceso de registro como los puntos donde este proceso puede ser ambigüo o conducir a error y, por tanto, generar una incorrecta declaración de las bases de datos en el Registro; por otro lado, se presentan errores habituales y recomendaciones, basadas en nuestra experiencia en el cumplimiento de Protección de Datos, más allá del registro de BBDD. Una empresa puede haber llevado a cabo esta declaración pero no cumplir con la Ley y, por lo tanto, verse sujeta a sanciones.
En esta presentación se analizan resoluciones de la SIC en casos de incumplimiento de la Ley 1581/2012 desde un punto de vista técnico y jurídico. El objetivo de esta presentación es entender en qué fallaron las empresas que pudieron ser sancionadas, tanto por los aspectos de cumplimiento que no se trataron adecuadamente, como los errores y aciertos comentidos en el proceso de investigación de la SIC que pudieron empeorar o mejorar el resultado. Aprender de los errores cometidos ayuda a no comenterlos de nuevo o mejorar en el proceso de cumplimiento en la Protección de Datos.
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
Estamos acostumbrados a utilizar diferentes redes sociales de manera habitual. Aprovechamos sus características, tanto a nivel particular como profesional. Sin embargo, no siempre somos conscientes de los detalles que una tercera persona u organización puede obtener sobre nosotros o nuestro entorno. ¿Hasta qué punto se puede hacer un uso abusivo de las redes sociales para conseguir información que no hemos hecho pública? Esta charla intentará encontrar respuestas a esta y otras cuestiones sobre los riesgos derivados en el uso de las redes sociales.
En la presentación se tratan aspectos relacionados con la necesidad de tomar decisiones en nuestro día a día. En ocasiones, determinadas decisiones tienen un gran impacto en la sociedad y quienes han de tomarlas se encuentran bajo una fuerte responsabilidad y presión. A continuación, describiendo el problema del exceso de información que disponemos actualmente así como el de la fiabilidad de las fuentes y, por último, comentando el proceso y las bondades del uso de técnicas OSINT en la ayuda para la toma de decisiones como objetivo final. A modo de ejemplo, y tras ver una clasificación de las herramientas OSINT disponibles, se muestra un análisis sobre los atentados de París utilizando la última versión de la herramienta Tinfoleak.
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Taller práctico sobre “Ingeniería inversa en aplicaciones Android", impartido por Vicente Aguilera, en el que se presenta una metodología para llevar a cabo procesos de ingeniería inversa en Android, incluyendo las herramientas y técnicas disponibles. Se lleva a la práctica sobre diversas aplicaciones para poner en práctica los conocimientos adquiridos.
Segunda edición del (ISC)2 Security Congress EMEA celebrado en Munich (Alemania). Vicente Aguilera presenta su ponencia: “Your are beging watched...” en la que se habla de los problemas de privacidad existentes en las redes sociales, y dónde presenta una nueva versión de su ya famosa herramienta Tinfoleak, realizando una demostración en directo sobre cómo extraer información y actividad relevante de los usuarios de Twitter y cómo explotar esta información en el mundo real. Esta ponencia forma parte del Track "Technology, Business and the Future".
Vicente Aguilera vuelve en la NcN 2015 impartiendo el taller: Técnicas OSINT para investigadores de seguridad. El taller pretende dar a conocer, de forma práctica, como utilizar fuentes de acceso público en Internet para recopilar información detallada sobre un objetivo. Además de las redes sociales de uso masivo, se mostrarán recursos online y herramientas útiles en la búsqueda de información como parte del proceso de investigación en distintos ámbitos. Dirigido a investigadores, pentesters, ingenieros sociales, personal de cuerpos y fuerzas de seguridad, analistas de mercado y estudios sociológicos, así como cualquier persona interesada en evaluar su reputación online.
4. Los sistemas de gestión
Sistema de Gestión: Plataforma que permite manejar de forma
integrada las actividades para lograr cumplir los objetivos de una
organización.
Anteriormente se trabajaban en forma independiente
Conjunto de reglas y principios relacionados entre sí de forma
ordenada, para contribuir a la gestión de procesos generales o
específicos de una organización.
Permite establecer una política, unos objetivos y alcanzar dichos
objetivos.
5. Introducción
ISO 27001:2013
Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema
gerencial general basado en un enfoque de riesgos para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar la seguridad de la información.
ISO 22301:2012
Proceso continuo de gestión y gobierno, con el apoyo de la alta dirección y
con los recursos adecuados para implementar y mantener la gestión de
continuidad de las operaciones y/o negocios.
6. Introducción
¿Qué buscan proteger?
ISO 27001
Proteger la información: la información es considerada un Activo (un recurso) que tiene valor o utilidad
para sus operaciones comerciales y su continuidad:
Activos de Información (datos, manuales de usuario, etc.)
Documentos en Papel (contratos)
Activos de software (aplicación, software de sistema, etc.)
Activos físicos (computadores, medios magnéticos, etc.)
Personal (clientes, trabajadores)
Imagen y reputación de la organización
Servicios (comunicaciones, etc.)
7. Introducción
¿Qué buscan proteger?
ISO 22301:2012
Garantizar la continuidad del negocio:
Asegurar que todos los procesos de negocio críticos estarán disponibles
para los clientes, proveedores, y otras entidades que deben acceder a ellos.
La gestión de la continuidad no se implanta cuando ocurre un desastre, sino
que hace referencia a todas aquellas actividades que se llevan a cabo
diariamente para mantener el servicio y facilitar la recuperación.
8. ISO 27001:2013 SGSI
Planificar
Hacer
Verificar
Actuar
Planear:
Definir el enfoque de evaluación del riesgo de la
organización.
Identificar los riesgos asociados al alcance
establecido.
Analizar y evaluar los riesgos encontrados.
Identificar y evaluar las opciones de tratamiento de los
riesgos.
Seleccionar objetivos de control y controles sugeridos
por la norma y/u otros que apliquen.
Obtener la aprobación de la gerencia para los riesgos
residuales e implementar el SGSI.
Preparar el Enunciado de Aplicabilidad.
9. ISO 27001:2013 SGSI
Planificar
Hacer
Verificar
Actuar
Hacer:
Plan de tratamiento del riesgo.
Implementar el plan de tratamiento del riesgo.
Implementar controles seleccionados.
Definir la medición de la efectividad de los controles a
través de indicadores de gestión.
Implementar programas de capacitación.
Manejar las operaciones y recursos del SGSI.
Implementar procedimientos de detección y respuesta
a incidentes de seguridad.
10. ISO 27001:2013 SGSI
Planificar
Hacer
Verificar
Actuar
Verificar:
Procedimientos de monitoreo y revisión para:
Detectar oportunamente los errores.
Identificar los incidentes y violaciones de seguridad.
Determinar la eficacia del SGSI.
Detectar eventos de seguridad antes que se conviertan en
incidentes de seguridad.
Determinar efectividad de las acciones correctivas tomadas para
resolver una violación de seguridad.
Realizar revisiones periódicas.
Medición de la efectividad de los controles.
Revisar las evaluaciones del riesgo periódicamente y revisar
el nivel de riesgo residual aceptable.
Realizar auditorías internas al SGSI.
Realizar revisiones gerenciales.
Actualizar los planes de seguridad a partir de resultados del
monitoreo.
11. ISO 27001:2013 SGSI
Planificar
Hacer
Verificar
Actuar
Actuar:
Implementar las mejoras identificadas en el
SGSI.
Aplicar acciones correctivas y preventivas
de seguridad al SGSI.
Comunicar los resultados y acciones a las
partes interesadas.
Asegurar que las mejoras logren sus
objetivos señalados.
12. ISO 27002:2013 SGSI
Ítem Nombre
5. Políticas de Seguridad de la Información
6. Organización de la seguridad de la información
7. Seguridad de los recursos humanos
8. Gestión de activos
9. Control de acceso
10. Criptografía
11. Seguridad física y Ambiental
12. Seguridad de las Operaciones
13. Seguridad de las Comunicaciones
14. Adquisición, desarrollo y mantenimiento de Sistemas
15. Relaciones con Proveedores
16. Gestión de incidentes de seguridad de la Información
17. Aspectos de seguridad de la información en la Gestión de Continuidad de Negocios
18. Cumplimiento
13. ISO 22301:2012 SGCN
Planificar
Hacer
Verificar
Actuar
Planificar:
En este elemento o componente se
consideran los principales requisitos dentro
del contexto del liderazgo, planeamiento,
organización o soporte.
Establecen objetivos, procesos,
procedimientos de continuidad de negocio,
para dar alcance los resultados obtenidos,
dándole conformidad a los requisitos
establecidos por la alta dirección y las
políticas de la organización.
14. ISO 22301:2012 SGCN
Planificar
Hacer
Verificar
Actuar
Hacer:
Fase del proceso integrada por la
evaluación de riesgos, proyecto de control
y operativo, métodos de continuidad y
business impact análisis (BIA).
Se implementa y pone en marcha los
procesos y procedimientos de continuidad
de negocio para alcanzar los objetivos.
15. ISO 22301:2012 SGCN
Planificar
Hacer
Verificar
Actuar
Verificar:
Fase integrada por el análisis y evaluación,
auditoria y revisión, monitoreo y medición.
Se realiza un seguimiento, a los procesos,
conforme a lo establecido en la fase de
planificación, reportando los resultados
alcanzados, se hacen hallazgos que
permiten tomar acciones mejoramiento.
16. ISO 22301:2012 SGCN
Planificar
Hacer
Verificar
Actuar
Actuar:
Fase que abarca los requisitos de acciones
de mejoras y/o correctivas y mejora
constante.
Se realizan acciones, para promover la
mejora de los procesos, implementando
acciones correctivas y volviendo a iniciarse
el ciclo con un nuevo plan de mejora.
17. Mapeo Estándares
ISO 22301 es totalmente utilizable como parte de un proceso de certificación de la norma ISO / IEC 27001.
Cláusula A.17 – ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE CONTINUIDAD DE
NEGOCIO.
18. Mapeo Estándares
Los controles a implementar en ISO 27002:2013
buscan garantizar la DISPONIBILIDAD de componentes
que apoyan la operación, lo cual busca garantizar la
continuidad del negocio.
Las normas:
Administración de Documentación
Control de Recurso Humando
Auditorias Internas
Revisiones por la dirección
Acciones Correctivas
Definición de Objetivos y métricas.
ISO 27001
ISO 22301
19. Conclusión
El sistema de gestión SGSI da una completa gestión de la seguridad y el SGCN es
una parte importante de la seguridad de la información.
Pueden abarcarse la implementación de ambos estándares en una misma
aplicación.
Se pueden utilizar actividades comunes para la implementación de ambos sistemas.
Los sistemas de gestión permiten dar respuesta a las necesidades de un mercado
competitivo y cada vez más exigente, de forma rentable, manteniendo el bienestar
laboral y social, controlando los impactos generados de la operación, con base en
los lineamientos legales de cada país.