Dashboard » Debates » Seguridad de la información

Preguntas y Respuestas sobre Seguridad de la información


Jermmy Rodríguez Moreno realizo una pregunta

Quien es el encargado de presentar la estrategia de ciberSeguridad de la empresa?

Quien es el encargado de presentar la estrategia de ciberSeguridad de la empresa?

El CISO, el administrador de seguridad de Ti? o quien deberia ser?



Ver los 2 comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
casi 3 años

La estrategia es una desicion de la alta direccion y generalmente se aplica a toda la.organizacion.

Cada area que congorma la.organizacion es responsable de distintas actividades, como clasificar la informacion, cumplir con las politicas internas y las leyes de cada pais (si es que aplicara)

El oficial de seguridad es el encargado de verificar que las politicas se cumplan y recopilar la evidencia de ello.

Como tal al presentar los resultados, el CISO/ISO es el portavoces de los reportes que cada getente le entrega


Omar Jacobo Muñoz Veliz ha comentado hace
casi 3 años

Al tener mayor inexperiencia, el CISO debe de cumplir con todo y tomar desiciones sobre las areas de oportunidad y sugerir las mejoras o cambios


Completa tu perfil para poder comentar.


Diego Ahumada realizo una pregunta

Modelo de Madurez para evaluar implementación del NIST CSF

Hola a todos,

Para los que han realizado una evaluación o diganóstico a alguna compañía en cuanto al estado actual de la implementación o adopción del Framework de Ciberseguridad del NIST. ¿Que modelo de madurez han utilizado? o ¿Que metodología de evaluación han utilizado?

Hay por ahí algunos planes de trabajo de aseguramiento o programas de auditoría, pero más que revisar si se cumple o no cumple con las funciones y categorías que se detallan el Framework , me gustaría saber qué metodologías o modelos se pudiera aplicar para indicar el nivel de madurez.

Ideal si alguien ya lo hubiera hecho y comentará su experiencia y los resultados obtenidos y como fueron recibidos estos por los stakeholders.

Muchas gracias y espero sus respuestas, Saludos.



Ver todos comentarios
Gianncarlo Gómez ha comentado hace
alrededor de 3 años

Hola Diego,

Particularmente aplico el modelo de madurez de CMMI para que puedas determinar un perfil actiual y porteriormente el perfil destino, para ello puedes usar la lista de subcategorias (controles) que la peudes descargar de este enlace:

https://www.nist.gov/file/270221

Ahora, segun el propio NIST, deberas seguir los siguientes pasos para implementar el CSF:

Paso 1: Priorización y definición del Alcance Paso 2: Orientarse. Paso 3: Crear un perfil actual. Paso 4: Realizar una evaluación de riesgos. Paso 5: Crear un perfil de destino. Paso 6: Determinar, analizar y dar prioridad a las brechas detectadas. Paso 7: Implementar el Plan de Acción.

Saludos.


Completa tu perfil para poder comentar.


Tralix Mexico S De Rl De Cv Rfc Tle011122 Sc2 realizo una pregunta

Diferencia entre salvaguarda y control?

05.- Análisis y Gestión de riesgo (ISO 31000). ¿Cual es la diferencia entre salvaguarda y control?. La verdad es que lo había entendido y leído todo el tiempo como si fuera lo mismo (como si fuera una diferencia de idioma, como regionalismos), lo he entendido mal?. Saludos y gracias por tus respuestas!



Ver todos comentarios
Gianncarlo Gómez ha comentado hace
alrededor de 3 años

Estimado Jorge,

Ambos sopn sinonimos.

Saludos.


Completa tu perfil para poder comentar.


Tralix Mexico S De Rl De Cv Rfc Tle011122 Sc2 realizo una pregunta

¿Contenido de la Política de Seguridad de la Información?

En 03.- Ciclo PDCA de un SGSI. Mencionaste que la política solo debe de tener 2 o 4 párrafos. ¿Que pasa con los detalles de las polítcas especificas de controles, procesos , procedimientos , estas se manejan en documentos separados? Osea que debo tener un documento de política corto con solo compromiso de la alta dirección con el SGSI, la importancia o relevancia de lo que es la información para la organización y de poder implementar, evaluar, mejorar etc el SGSI, y otros documentos con cada política específica?



Ver todos comentarios
Gianncarlo Gómez ha comentado hace
más de 3 años

Hola,

La Politica de Seguridad de la Informacion debe ser un documento de alto nivel, donde se muestren las intenciones de la Alta Direccion para el SGSI, debe contener el compomiso de la AD, provicion de recursos e indicar o servir de marco de referencia para los indicadores segun la causula 5.2 del ISO/IEC 27001:2013, para ello no se necesita un documento extenso, es por ello que siempre sugiero que su contenido sea corto y no exceda los tres parrafos.

Algunos ejemplos: http://www.movistar.co/atencion-cliente/proteccion-al-usuario/regulacion_proteccion/politica-seguridad-de-la-informacion http://apps.tigo.com.gt/tigobusiness/certificaciones/politica_de_seguridad_de_informacion_tigo_business_publico.pdf

Ahora, las ¨PoliticaS de Seguridad de la Informacion (Notrese la "S"), son el conjunto de documentos que hace referencia el controle A.5 del ISO/IEC 27001:2013 y sirbven para decalrar poilticas relaciaodnas a, por ejemplo, Acceso a Internet, correo electronuico, contraseñas, boprrado seguro, etc.

Si colocas todas estas poticas (Es decir, La Pliitca de Seguridad de la Informacion y erl conjunto de Poiliticas de Seguridad) en un solo documento, pues tendras un libro muy extenso que dificilmente los trabajadorfes podran y querran leer.

Saludos.


Completa tu perfil para poder comentar.


Tralix Mexico S De Rl De Cv Rfc Tle011122 Sc2 realizo una pregunta

¿Esta permitido utilizar otro proceso de gestión de riesgos que no sea el de ISO 27005 en un SGSI Basado en la 27001 ?

¿Esta permitido utilizar otro proceso de gestión de riesgos que no sea el de ISO 27005 en un SGSI Basado en la 27001 ?, Esto para la certificación de la 27001, esta permitido utilizar otro método de análisis de riesgo?



Ver todos comentarios
Gianncarlo Gómez ha comentado hace
más de 3 años

Hola,

Segun la clausula 6 del ISO/IEC 27001:2013, se menciona que elk analñisi de riesgos de esta norm,a esta basada en el ISO 31000, no se habla del ISO 27005.

Ahora, la norma no fuerza a utilizar algun fram,ework para elk analisis y gestion del riesgo, asi que puedes usar el ISO 31000, 27005, MAGERIT, OCTAVE, COSO, etc.

En el proceso de auditoria, te exigiran que mantenas una metodologia documentada sobre el Analisis y Gestion de Riesgo, que esta sea verificable durante el tiempo y que los propietarios del riesgo swean concientes de los riesgos asignados, entre otros.

Saludos.


Completa tu perfil para poder comentar.


Tralix Mexico S De Rl De Cv Rfc Tle011122 Sc2 realizo una pregunta

¿El documento de aplicabilidad es obligatorio?

El documento de aplicabilidad es obligatorio para las auditorías de certificación (por ejemplo para la BSI) ?



Ver todos comentarios
Gianncarlo Gómez ha comentado hace
más de 3 años

Hola.

Segun el ISO/IEC 27001:2013, el documento de aplicabilidad es obligatorio y debe mantenerse como informacion documentada.

Saludos.


Completa tu perfil para poder comentar.


Samuel Elias Ludeña Valarezo realizo una pregunta

Problema solucionado

Problema solucionado



Ver los 2 comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
más de 3 años

Hola Samuel, el certificado esta validado por nuestra entidad(Backtrackacademy) y lo puedes presentar tanto en empresas privadas, publicas y par lo que deseees. Saludos


Samuel Elias Ludeña Valarezo ha comentado hace
más de 3 años

Hola, muchas gracias.


Completa tu perfil para poder comentar.


Elizabeth Morales realizo una pregunta

Software para administrar contraseñas

Hola comunidad, alguien conoce de alguna herramienta de gestión de contraseñas que permita: 1. Administrar las contraseñas que tiene como custodio. 2. Envíe notificaciones de expiración y cambio de contraseñas. 3. Almacenar la base de datos de las contraseñas de las personas que tienen como custodio en un solo "repositorio" La opción que he revisado es administrar las contraseñas ya se con KeePassXC, password1 almacenarlas en dropbox, onedrive y notificarlas a través de la encripción de correo pero ese mecanismo lo veo manual, no sé si alguien me puede recomendar alguna opción mejor?



Ver los 3 comentarios
Valdemar L ha comentado hace
alrededor de 3 años

Hola, Te recomiendo que le des una mira a passwordStore https://www.passwordstore.org tiene muchas caracteristicas importantes como por ejemplo, cifrado con GPG. Tiene una particularidad que puedes tener almacenado en un repo GIT con una capa de seguridad adicional como tu llaveSSH, tiene un cliente para android con el cual puedes tener sincronizado perfectamente con tu repositorio para usar en cualquier parte, solo tienes que guardar un GPG en el cliente del celular. entre otra muchas otra caracteristica interesante, si ya tienes tus password en algun gestor, tambien en la pagina hay agunos scripts para migrar a passwordStore.

Espero que te sirva, saludo.


Jose R Lara ha comentado hace
más de 2 años

Tambien coincido con Omar y Lastpass, he tenido muy buena experiencia con este.

saludos,


Completa tu perfil para poder comentar.


Leidy Flores realizo una pregunta

Como instalar el ossec agent en un servidor linux

¿ Como puedo instalar el ossec agent en un servidor linux para que pueda ser reconocido por el ossec-server que tiene OSSIM?



Ver todos comentarios
Felipe Barrios ha comentado hace
más de 3 años

Segun la documentación:


# Add Apt sources.lst
wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash

# Update apt data
sudo apt-get update

# Server
sudo apt-get install ossec-hids-server

# Agent
sudo apt-get install ossec-hids-agent


Completa tu perfil para poder comentar.


Salvador Alexander Escamilla Ponce realizo una pregunta

Nueva red Meganet - Kim dotcom

Que piensas tu acerca de la nueva red meganet que lanzara kim dotcom, crees que les quitara el trabajo a los expertos en seguridad informatica?

https://www.genbeta.com/actualidad/meganet-asi-es-el-internet-alternativo-que-propone-kim-dotcom



Ver todos comentarios
Omar Jacobo Muñoz Veliz ha comentado hace
más de 3 años

El uso que le puede dar con el blockchain lo veo bien, lo dificil esta en que los dispositivos moviles tienen que soportar toda la carga del sistema, aplicaciones y servicios ejecutandose por lo que soportar un proceso como el mantener un nodo lo veo dificil, si se usa una gran cantidad de cifrado requiere un gran procesamiento algo que un movil no puede hacer tan menudo como una computadora. Lo siguiente es que el espionaje dudo que desaparezca ya que cada peticion en un nodo ha de tener un origen y un destino por lo que sera cuestion de tiempo el encontrar alguna vulnerabilidad ya sea en cifrado o comunicacion. Es un sueño muy futurista que necesita mucho trabajo y del que dudo que quite el trabajo a los expertos en seguridad informatica. Saludos


Completa tu perfil para poder comentar.