Monthly Archives: octubre 2007

Esquema de implantación de un SGSI bajo ISO 27001

Posted by admin on octubre 26, 2007 None comments

En la web de Audisec han publicado dentro de su sección de servicios un gráfico donde se muestra un esquema de implantación de la ISO 27001. Puede ser bastante útil para tener una visión global del proceso

Sincronizar carpetas…cifradas!

Posted by admin on octubre 26, 2007 9 comments

Al hilo del post que ha puesto hoy Javier Cao en su blog sobre cifrado con TrueCrypt y del que puse yo ayer en el mío sobre copias de seguridad he decidido hacer un remix de los dos, jeje, así que vamos a hacer que nuestro USB tenga una carpeta sincronizada con algún directorio de nuestro PC, y a la vez dicho directorio esté cifrado. La repera vamos…

Lo primero de todo, aprender a usar Truecrypt (cifrado de datos), bien con el post de Javier o bien en su web, o bien googleando, que es muy muy sencillo.

Segundo paso: aprender a usar Allway Sync, (sincronización de archivos) bien en su web, bien googleando, o bien instalándolo sin más, que es aún más fácil que truecrypt.

Ya somos unos fieras manejando esas dos herramientas…bien. Ahora lo único que hay que hacer es crear un volumen cifrado de datos en nuestro USB con Truecrypt, montarlo y sincronizar dicho volumen (o alguna carpeta dentro del mismo) con el directorio que queramos dentro de nuestro PC con Allway Sync.

Por último, y para que todo vaya como la seda, hay que decirle a Allway Sync que sincronice ese “trabajo” (así es como le llama) cada vez que pinchemos el USB al sistema. Esto lo encontraremos en las opciones del programa, a primer golpe de vista. La diferencia es que a nosotros no se nos va a sincronizar cuando pinchemos el USB, si no que como hemos dicho que sincronice el volumen cifrado, lo sincronizará cuando lo hayamos montado con Truecrypt. Así tenemos una carpeta sincronizada y cifrada a la vez, y todo esto con software libre y gratis. BUENO, BONITO Y BARATO.

Copias de Seguridad Y Sincronización de archivos

Posted by admin on octubre 25, 2007 4 comments

Copio y pego directamente de la definición de copia de seguridad de la wikipedia:

Hacer una copia de seguridad o copia de respaldo (backup en inglés) se refiere a la copia de datos de tal forma que estas copias adicionales puedan restaurar un sistema después de una pèrdida de información.

La copia de seguridad es útil por varias razones:

1.- Para restaurar un ordenador a un estado operacional después de un desastre (copias de seguridad del sistema)

2.- Para restaurar un pequeño número de ficheros después de que hayan sido borrados o dañados accidentalmente (copias de seguridad de datos).

3.- En el mundo de la empresa, además es útil y obligatorio, para evitar ser sancionado por las órganos de control en materia de protección de datos. Por ejemplo, en España la Agencia Española de Protección de Datos (AEPD)

Ahora que hemos visto las ventajas de tener una copia de seguridad de nuestros datos vamos a lo que nos interesa. Veamos algunos programitas de ejemplo:

Windows

  • Syncback,que permite sincronizar archivos casi en tiempo real, hacer copias de seguridad y restaurarlas, comprimirlas, ponerles contraseña, etc. También podemos sincronizar (o hacer backup) a través de FTP y a través de red.Muy recomendable.
  • Cobian Backup, que permite hacer todo tipo de copias de seguridad, comprimidas, cifradas, con contraseña, etc. No sincroniza.
  • Estoy probando Allway Sync, que tiene muy buena pinta, aunque solo sincroniza, no hace backup, y tampoco deja la posibilidad de comprimir ni poner contraseña. Como ventaja tiene que permite detectar cuándo ha cambiado algo y sincronizarlo justo después. También permite sincronizar de forma automática un USB nada más pincharlo. Muy recomendable para el tema de USB´S y si no queremos sincronizar a través de FTP ni usar contraseñas ni compresión.

Hay muchos más pero con estos podemos hacer casi lo que queramos.

GNU/Linux

  • Unison: permite sincronizar archivos, pero aún no he visto cómo programarlo sin cron
  • grsync: otro software para sincronizar archivos en gnu/linux.
  • Snapbackup: programa muy interesante de copias de seguridad.
  • sbackup: programa bastante útil para hacer copias de seguridad

Casi todos los de GNU/Linux tienen problemas a la hora de ser programados sin usar cron.

Como última recomendación es casi obligatorio visitar la web de alerta-antivirus, especialmente sus secciones de “seguridad” y “útiles gratuitos”.

EDITADO: Si combinamos Allway Sync con TrueCrypt tenemos una carpeta en nuestro PC sincronizada con una carpeta cifrada en nuestro dispositivo USB, sincronizándose ambos directorios cada vez que pinchamos nuestro USB. Interesante, ¿verdad?. Si os interesa escribo algo al respecto, es muy fácil y creo que muy útil

Listado amenazas comunes

Posted by admin on octubre 24, 2007 None comments

Hoy quiero comentar una guía de administración de riesgos de seguridad publicada por Microsoft en 2004, pero que no ha perdido vigencia ni mucho menos. En ella hay un par de anexos (el C y el D) muy interesantes en los que se muestran distintas amenanzas y vulnerabilidades frecuentes, que nos pueden servir de ayuda a la hora de completar nuestros análisis de riesgos.

Enfoque a la hora de definir métricas e indicadores

Posted by admin on octubre 23, 2007 None comments

A la hora de establecer unas métricas e indicadores para ver “cómo anda” nuestro SGSI tenemos básicamente dos alternativas:

  • De abajo a arriba: vemos que información tenemos disponible en cuanto a seguridad de la información y a partir de ella seleccionamos los indicadores. Su principal ventaja es que arroja resultados de forma muy rápida.
  • De arriba a abajo: Primero se definen los indicadores de seguridad que vamos a tener en cuenta y después recogemos datos gracias a ellos. Optaremos por esta opción. El primer paso será definir unos objetivos de negocio estratégicos a controlar, para posteriormente definir métricas e indicadores que nos permitan medir en qué medida estamos consiguiendo los objetivos de la organización. Después se elabora el plan de implantación y por último revisamos el cuadro de mandos periódicamente.

Vamos a ver un ejemplo para comprender mejor los conceptos de métrica, indicador, fórmula y propósito:

  • Una métrica sería el porcentaje de incidentes de seguridad notificados por los empleados
  • El propósito sería evaluar el riesgo que existe si los empleados no nos informan acerca de los incidentes de seguridad que ocurren en nuestro SGSI, y ya de paso, evaluar la concienciación de los mismos.
  • La fórmula consiste en dividir el número de eventos de seguridad reportados por los usuarios entre los eventos totales registrados por nuestro SGSI.
  • El indicador sería el 100%, lo que querría decir que todos los empleados notifican todos los eventos de seguridad que les suceden.

Es importante ver que el cuadro de mandos ayuda a la empresa, y más concretamente al grupo de trabajo, a hacer del SGSI algo propio y que tienen que mantener actualizado y vigente. Gracias al cuadro de mandos la empresa se hace partícipe del SGSI, alimentándolo con distintas métricas que ayudan a la mejora de ambos.

Éxito en el análisis de riesgos dentro de una pyme

Posted by admin on octubre 5, 2007 None comments

Hace poco escribí un post en el que hablaba sobre cómo hacer un análisis de riesgos en una pyme, y hoy, a modo de reflexión, me gustaría exponer algunas ideas que tengo en la cabeza y que creo que son la base del éxito de cualquier análisis (y gestión) de los riesgos de una empresa pequeña, de esas que llaman pymes :)

Seguramente se haya hablado bastante sobre el tema, pero por que haya una opinión más puruleando por la red no creo que pase nada. Os invito a colaborar a todos aquellos que leáis esto.

Tenemos que recodar nuestro marco de actuación: estamos en una pyme, donde no hay cultura informática. Vamos a suponer por lo menos que hay un informático al cargo de la informática (en muchas no lo hay) pero que no tiene ni idea de qué es todo esto de la seguridad de la información, ni de análisis de riesgos ni nada de nada, por lo que tendremos que guiarlo durante todo el proceso. Si el informático está así cómo estará la dirección de la empresa[...]. En este tipo de empresas prima la facilidad de uso de los sistemas de información sobre la seguridad o la calidad, por lo que cualquier proceso “poco habitual” va a ser poco menos que mal visto por los empleados. Por otro lado tenemos el tema de costes, ya que no podemos estar en casa del cliente tanto como nos gustaría porque se nos va a ir el presupuesto…¿Queda claro el marco?. Comenzamos entonces…

Factores de éxito en el análisis y gestión de riesgos en una pyme:

  • Elegir un buen grupo de trabajo (en este caso nuestro amigo informático).
  • Darle una formación básica sobre análisis y gestión de riesgos (AGR) y que la traslade al personal de la mejor manera posible para que al menos sepan que hace el señor ese con el informático preguntándole tantas cosas :)
  • Hacernos coleguita de nuestro grupo de trabajo / informático y convencerlo de que todo esto es por su bien. Hacerle ver que no venimos a desprestigiar su trabajo, venimos a ayudarle.
  • Explicar a la dirección (si es posible) qué consecuencias tiene para su negocio tener un AGR. Por ejemplo, conocer a qué amenazas está expuesta su empresa y tenerlas controladas, reduciendo la probabilidad de ocurrencia, patatín patatán…y decirle qué consecuencias tiene no tenerlo.
  • Comenzar con las cosas más básicas, aunque no vayamos por orden. Para una persona sin conocimientos en este campo es más fácil entender el riesgo de no tener un antivirus que el riesgo de no tener la aprobación de la dirección para sacar soportes fuera de la empresa con información confidencial.
  • Hacer partícipe en todo momento a nuestro equipo de trabajo. Que no parezca que estamos imponiendo nada, todo lo contrario, que se note que todo esto es algo en lo que la empresa tiene que participar activamente.
  • Adaptarnos a las necesidades del cliente/empresa. Si se trata de una empresa que presta servicios a través de una web tendremos que tener en cuenta sobretodo la disponibilidad de dicha web. Si se trata de una empresa que se dedica a llevar la contabilidad de otras empresas tendremos que centrarnos en que dicha información no esté accesible a extraños (confidencialidad) y que sea correcta (integridad). No podemos hacer un AGR genérico, ya que no tendrá éxito, hay que adaptarse a la problemática de la empresa en cuestión.
  • Facilitar las cosas: no empecemos hablando de integridad, disponibilidad, confidencialidad, trazabilidad, etc, (aunque las tengamos en cuenta internamente y las tengamos en la cabeza) ya que podemos volver locos a todo el personal de la empresa. Comencemos poco a poco: que conozcan los riesgos, cuáles son, por qué existen, cómo solucionarlos y después, si es oportuno, les contaremos si lo que pueden perder es integridad, disponibilidad, …
  • No perdernos en tablas inmensas llenas de números que no nos aportan nada de información sobre los riesgos de nuestra organización. Aquí podemos volver a hablar de cómo hacer un AGR para pymes.
  • Tener siempre presente que sin la colaboración de todos los empleados el AGR nunca tendrá éxito, ya que lo que controlamos por un lado con medidas técnicas lo perdemos por otro con la falta de concienciación del personal.

Software Control Parental

Posted by admin on octubre 3, 2007 None comments

Buscando en la web de alerta antivirus algunas aplicaciones de seguridad (visitad esta web, es muy recomendable) he encontrado un interesante programa de control parental, k9 web protection.

He visto varios programas de este tipo y este incorpora un horario semanal en el que puedes definir a qué horas se puede navegar y a qué horas no (salvo que conozcas la contraseña), bastante útil para estos casos. Además puedes monitorizar la red, registrando todo tipo de eventos, añadir palabras prohibidas, etc etc etc.

Incluso puedes ponerlo en “modo monitor” para que no bloquee nada pero registre toda la actividad de la red.

MUY RECOMENDABLE