Nuevos estándares para la evaluación de riesgos


La automatización se ha apoderado de diversos aspectos dentro de las empresas modernas; esta tendencia no solo apunta hacia las áreas operativas, sino que además se filtra a los departamentos administrativos y organizativos, impulsando la aparición de nuevos riesgos asociados. Durante los últimos años ha florecido una amplia variedad de métodos, herramientas y técnicas que permiten evaluar y medir los peligros de la sistematización; estos estándares son reajustados continuamente para obtener los mejores beneficios.





La sistematización y la automatización de procesos se han convertido en los ejes de los negocios modernos. La mayoría de las empresas tiene muy claro que compartir la carga de trabajo con la tecnología reduce considerablemente los tiempos de ejecución de tareas complejas, pero también están concientes que el precio que se paga por la modernización, es la apertura de brechas en la seguridad, lo que supone peligros potenciales para su propia existencia. A fin de combatir los “agujeros propios de la tecnología”, han sido desarrollados estándares de protección y resguardo de procesos, los cuales se transforman y se adaptan a los nuevos tiempos, para situarse en la primera línea de defensa frente a los riesgos operacionales.

En esta oportunidad nos referiremos a tres de estos estándares, comúnmente conocidos como: Octave, NIST y AS/NZS.

Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation)

Como su nombre lo indica, el Octave es un enfoque que permite evaluar las vulnerabilidades y amenazas que existen sobre los activos y las operaciones críticas de una organización. En la Figura No. 1, podemos observar cómo esta evaluación está orientada fundamentalmente hacia el riesgo operacional y las prácticas de seguridad, siendo tecnología es examinada únicamente en relación a las prácticas de seguridad.

Figura 1

 

Figura No. 1: El enfoque Octave

Una de las particularidades de Octave, es que puede ser realizado por vía de la autogestión; es decir que personal de la "Compañía", perteneciente tanto de las unidades funcionales como al área de TI, trabajan juntos para determinar las necesidades de seguridad de la organización.

Existen dos métodos desarrollados por Octave para abordar a las empresas (los cuales difieren muy poco con respecto al tamaño de las mismas). Las fases fundamentales empleadas en estos métodos son las siguientes:

> Identificar los activos críticos y las amenazas a las que están expuestos.

> Identificar las vulnerabilidades, tanto tecnológicas como organizacionales que originan estos riesgos.

> Desarrollar una estrategia de protección basada en buenas prácticas, así como planes para la mitigación de los riesgos.

NIST (National Institute of Standards and Technology)

El Instituto Nacional de Estándar y Tecnología, es una Agencia Federal (no regulatoria) del Departamento de Comercio de los Estados Unidos. Fue fundada en 1901 y tiene como misión promover la innovación y la competitividad industrial. Para lograr esto, cuenta con varios programas cooperativos, entre los cuales destacan:

> Los Laboratorios NIST: Los cuales conducen investigaciones que procuran avanzar sobre la infraestructura tecnológica, abordándola desde distintos ámbitos a de lograr mejorar el uso, confiabilidad y seguridad de los sistemas de información, computadoras y redes de computadoras.

> El Programa de Extensión Manufacturera: El cual establece asociaciones con las pequeñas empresas manufactureras, a fin de apoyarlas y orientarlas tecnológicamente. Algunos de los aspectos que apoya el programa son las herramientas para el aprendizaje del comercio electrónico y la seguridad de la infraestructura tecnológica.

> El Programa de Avance Tecnológico: Una propuesta que permite al NIST brindar asesoría avanzada, especialmente concebida para el sector tecnológico.

El NIST provee además estándares y herramientas para todos estos programas, permitiendo la evaluación de riesgos relacionados con las Tecnologías de Información. Como acotación final, debemos señalar que en los últimos años el Instituto Nacional de Estándares y Tecnología, ha favorecido activamente el desarrollo de modelos comúnmente utilizados hoy en día, como por ejemplo los orientados hacia la comunicación de transacciones electrónicas (comercio electrónico vía Internet, cajeros automáticos, etc.), entre otros.

AS/NZS (Australian/New Zealand Standard 4360:2004)

Este patrón fue diseñado por la organización “Standards Australia”, (cuya experiencia se remonta hasta el año 1922), una de las compañías no-gubernamentales más importantes en cuanto al desarrollo de estándares, reconocida oficialmente por el gobierno australiano y representante en la región de patrones como la International Organization for Standardization (ISO).

El estándar 4360:2004, más que evaluar la seguridad de la información, se encarga de lograr una mayor comprensión de los riesgos en los procesos administrativos en general. Esto incluye, los riesgos operativos y los riesgos tecnológicos, pero enfocados a los procesos del negocio. Para ello se basan en la metodología observada en la figura No.2.

Figura 2

Figura No.2: Metodología del estándar 4360:2004

Queda entendido que para cada actividad se establecen estándares que pueden ser adaptados a las organizaciones, bien sea en función de su tamaño, objetivo y condición tecnológica o de acuerdo al grado de automatización que ostenten sus procesos.

Como hemos observado, existen una serie de metodologías, (algunas orientadas a la evaluación de riesgos tecnológicos y otras orientadas a la evaluación de los procesos de negocio) que, bien sea de manera abierta o particular, contribuyen a aplicar estándares para la evaluación de riesgos en casi todos los modelos organizacionales, dictando a su vez las técnicas para aplicarlos y cumplirlos. A pesar de que la implementación de estándares para la evaluación de riesgos no es una tarea fácil, es un elemento imprescindible dentro de cualquier organización moderna; para alcanzar los objetivos deseados, es necesario que el personal que participa dedique gran parte de su tiempo (de manera exclusiva) al proyecto. Esto sin duda reportará beneficios superlativos a mediano y largo plazo, haciendo que obtenga los mejores beneficios de los estándares para la evaluación de riesgos.

Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers

Fuente:
pc-news.com



Otras noticias de interés:

Acelerando la conexión a Internet en redes inalámbricas
La conexión a internet puede acelerarse gracias a una nueva aplicación software libre desarrollada por investigadores de la Universidad de Illinois, la tiene como método aprovechar el ancho de banda desperdiciado en las redes inalámbricas....
Arreglada vulnerabilidad de Chrome en 24 horas
Estos días se está celebrando el Google’s Pwnium, una competición auspiciada por Google en el marco de la conferencia de seguridad CanSecWest, con el que Google reta a los expertos en seguridad a buscar vulnerabilidades en Chrome. Para animar la...
Nueva Vulnerabilidad en Microsoft Internet Explorer - Ejecución de código remoto con HTML
Una vulnerabilidad se ha identificado en el Microsoft Internet Explorer, que potencialmente podría ser explotado por peronsas maliciosas pudiendo ejecutar comandos arbitrarios. Esta vulnetabilidad es debido a un error al procesar páginas en HTML ma...
10 errores comunes en la administración de sistemas GNU/Linux
En laptoplogic.com ha expuesto una relación de 10 errores detectados frecuentemente entre los usuarios noveles de distribuciones GNU/Linux en la administración de nuestros sistemas. Algunos de ellos no son errores en el sentido estricto de la pal...
Microsoft Windows Metafile (WMF) "SetAbortProc" Remote Code Execution Exploit
Exploit publicado en frsirt.com que ataca Microsoft Windows Metafile (WMF) causando una ejecución de código malicioso....
El virus que ataca a Firefox
Este curioso virus envia una alerta mostrando una imagen indicandote que uses Internet Explorer. ...
Ataques SQL inyección aumentan en sofisticación
La intensidad de los ataques de inyección SQL está aumentando, según revela el informe Hacker Intelligence Initiative (HII) de Imperva. ...
¿Por qué no se han superado las contraseñas cognitivas?
Hace unas semanas, Apple decidió mejorar la seguridad de las contraseñas de sus Apple ID. Me obligaron a cambiar mi contraseña por una más robusta, y a introducir un correo de apoyo. Pero también me hicieron preguntas para poder recuperarla en c...
SERVER BUFFER OVERFLOW
El bug es muy sencillo aparentemente. y también parece que no es perjudicial para los usuarios de IE o de cualquier explorador de Windows. pero lamentablemente no es tan sencillo. Según he demostrado en mis pruebas y experimentos con él....
Firefox 2.0 disponible para su descarga, aunque no ha sido anunciado
Aunque su anuncio oficial se espera para el día de mañana, los más impacientes ya pueden descargar la versión 2.0 de Firefox hoy mismo y dar inicio a la fiesta anticipadamente. A pesar de que todavía nada se dice en su sitio, los archivos ya apa...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • estandares
  • evaluacion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevos
  • opensource
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra