¿Qué se debe tener en cuenta para auditar la seguridad?

auditoria2

 

Cuando se trata de implementar modelos para gestionar la seguridad de la información el aspecto más importante para garantizar la mejora del sistema son las revisiones, y una de sus principales herramientas son las auditorías de seguridad.

Realizar una auditoría de seguridad suele ser una tarea complicada pero que sirve para entregar mucha información acerca del estado actual de la protección de la información en una empresa. Además, brinda la posibilidad de comparar los sistemas de gestión con respecto a normativas y requerimientos legales que deben cumplir las organizaciones.

Con todas la implicaciones que tiene una auditoría de seguridad de la información es necesario tener claro cuáles son los puntos por los cuales se quiere empezar. Para esto es recomendable analizar queen la política de seguridad se tenga en cuenta la clasificación de los activos de información al igual que las medidas de protección respectivas.

Con una auditoría se debe llegar a validar que los niveles de riesgo a los cuales está expuesta una organización realmente cumplen con sus políticas, garantizando que esta, a su vez, cumple con las regulaciones externas y los estándares que apliquen según la industria. Este análisis debe ser transversal a la organización, revisando todos sus procesos.

Cuando se trata de auditoría de un sistema de gestión de la seguridad, se pueden considerar dos opciones. La primera es realizar una auditoría interna es decir, utilizando un equipo de trabajo de la empresa. La gran ventaja de este tipo de auditorías es que las realizan personas que conocen los procesos y cómo funciona la empresa, por lo cual puede llegar a ser más rápida y realizarse con una mayor periodicidad.

La otra opción es hacer una auditoría externa, en la cual participa un experto ajeno a la empresa y se hace más independiente. La principal ventaja que tiene hacer este tipo de auditorías es que al no conocer mucho de la empresa no hay prejuicios que puedan hacer que se omitan algún tipo de revisiones, que de otra forma parecerían obvias. Dentro de este tipo de auditorías es común que se realice algún Penetración Test para buscar las vulnerabilidades que puedan dar lugar a un incidente de seguridad.

Independiente del tipo de auditoría seleccionado siempre se debe velar porque además de tener especialistas técnicos, se incluyan también especialistas en gestión de procesos para trabajar no solamente sobre la tecnología sino también sobre la forma en que fluye la información a lo largo de la empresa.

En cualquier caso debe ser clara la necesidad de la revisión periódica de los riesgos en las empresas, lo cual se puede lograr a través de auditorías constantes, siguiendo un proceso juicioso y que esté incorporado como parte de la gestión de la seguridad. Finalmente para que una auditoría genere realmente valor debe estar ligada a los objetivos estratégicos de tal forma que su cumplimiento no sea ajeno a garantizar la seguridad de la información.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

¿Cómo funciona el phishing?

como funciona el phishing

Favor de dar clic en la infografía (imagen) para que lo enlace a la página adecuada y volver a dar clic en la imagen para que puedan visualizar en pantalla completa. Gracias!!!

Salón De La Fama De Desastres De Datos

salon de la famaFavor de dar clic en la imagen para que lo enlace a la página correspondiente y después dar clic en los círculos para interactuar con los mensajes de la linea del tiempo. Diviertete y aprende.

Kroll Ontrack anuncia la lista de los 10 peores desastres de pérdida de datos de 2013

Kroll Ontrack, proveedor de recuperación de datos y gestión de información, ha anunciado hoy los diez casos más curiosos de pérdida de datos ocurridos en 2013. Durante los últimos 11 años, Kroll Ontrack ha recopilado y publicado la lista de los peores casos de pérdidas de datos tanto físicos como lógicos en todo el mundo.

Del 10 al 1, los extraños desastres de pérdida de datos de este año 2013:

  1. Un disco duro roto tras un largo viaje (Hong Kong): Después de recorrer 40,000 kilómetros en bici para recaudar fondos, un fotógrafo descubrió que el disco duro con todas las fotos y vídeos que había hecho durante su aventura estaba roto. La recuperación de los datos supuso un enorme reto para el equipo de Hong Kong debido a que el disco duro estaba dañado en varias zonas y en múltiples superficies. Después de probar todas las técnicas de recuperación posibles, el equipo de ingenieros pudo recuperar casi todas las imágenes.
  2. Un caos de película (Polonia): El problema surge durante el proceso de producción de una película para un festival de cine. El primer día de producción estaban haciendo una copia de seguridad del portátil a un disco duro externo cuando uno de los miembros del equipo de manera accidental golpea y tira la mesa. El ordenador portátil y el disco duro se rompieron al caer al suelo, haciendo imposible acceder a los datos. 18 meses después de un trabajo de producción e inversiones infructuosas, y a solo dos meses de la celebración del festival, el equipo de Kroll Ontrack pudo recuperar el 80% de los datos, permitiendo que los productores llegasen a tiempo para presentar su película en el festival. Tal fue su agradecimiento, que en los créditos de la película, Kroll Ontrack está incluido como socio tecnológico.
  3. Datos perdidos después de una fiesta salvaje (Reino Unido): Una estudiante universitaria recurre al servicio de emergencia de Kroll Ontrack para recuperar el trabajo de final de curso de su portátil. Cuando los ingenieros le preguntan por las causas de la pérdida de datos, ella les explicó que en la fiesta de fin de curso su portátil terminó flotando en un charco de bebidas.
  4. La furia del jugador (Francia): Una madre intenta encender el ordenador familiar sin éxito, recibiendo siempre el mismo mensaje de error. Cuando les pregunta a sus tres hijos si saben si ha pasado algo raro con el ordenador, ya que ellos fueron los últimos en usarlo, ninguno responde. Sospechando que sí deben de saber qué le pasó al ordenador, les vuelve a preguntar. El mayor de los hijos confesó que su hermano, enfadado después de perder una partida en un videojuego, estampó sus puños contra el teclado en un acto de ira contra el aparato.
  5. Atraco frustrado (Italia): Un ladrón robó en una casa, entre otros elementos, un ordenador portátil. Pero algo le debió de asustar durante el robo, y en su huida, abandonó el portátil en el jardín. Su dueño lo encontró al día siguiente, después de haber pasado toda la noche bajo la lluvia. Kroll Ontrack recuperó todos los datos del disco de estado sólido interno.
  6. Cuidado si estás bajo los efectos del alcohol (Estados Unidos): Después de una noche de fiesta, un hombre se levantó en mitad de la noche para ir al cuarto de baño. A la mañana siguiente descubrió que había confundido el inodoro con su ordenador portátil. Kroll Ontrack logró recuperar el 100% de los datos.
  7. Sabotaje (Reino Unido): Kroll Ontrack recibe un paquete con los trozos de un disco duro. Cuando los ingenieros se ponen en contacto con la empresa para conocer la razón por la que estaba roto, la compañía les explica que el disco duro había sido golpeado repetidas veces con un martillo, e insiste en que necesita recuperar los datos. Kroll Ontrack recuperó un archivo, a partir del cual la empresa pudo confirmar que un empleado había tratado de borrar el archivo y destruir la prueba. Gracias a ese archivo recuperado se pudo procesar al empleado.
  8. Desastres naturales (Estados Unidos): Desafortunadamente, algunos de los mayores casos de pérdida de datos se deben a desastres naturales. Una compañía dedicada al diseño de espacios, prevenida por la llegada del huracán Sandy, hizo copias de seguridad de todos sus servidores. Sin embargo, no pudieron prever el desbordamiento del río situado casi a un kilómetro de distancia, que inundó sus oficinas dejando todos los servidores y cintas de backup sumergidos bajo más de 70 cm de agua. Kroll Ontrack pudo recuperar el 100% de los datos de esta empresa, en activo desde 1957. La compañía reconoció que, de no haber recuperado todos los datos, tendrían que haber reconstruido su negocio desde cero.
  9. ¡Arañas! (Italia): Kroll Ontrack recibió el encargo de recuperar los datos de un servidor de cinco años de antigüedad que se había roto. Cuando el ingeniero abrió el disco duro se encontró con arañas e incluso un nido dentro, cerca de los cabezales. En esta ocasión, también se recuperó el 100% de los datos.
  10. El teléfono móvil no está hecho a prueba de balas (Estados Unidos): no hace falta añadir más. Se recuperaron todos los datos, 10GB en total.