Nuevos estándares para la evaluación de riesgos


La automatización se ha apoderado de diversos aspectos dentro de las empresas modernas; esta tendencia no solo apunta hacia las áreas operativas, sino que además se filtra a los departamentos administrativos y organizativos, impulsando la aparición de nuevos riesgos asociados. Durante los últimos años ha florecido una amplia variedad de métodos, herramientas y técnicas que permiten evaluar y medir los peligros de la sistematización; estos estándares son reajustados continuamente para obtener los mejores beneficios.





La sistematización y la automatización de procesos se han convertido en los ejes de los negocios modernos. La mayoría de las empresas tiene muy claro que compartir la carga de trabajo con la tecnología reduce considerablemente los tiempos de ejecución de tareas complejas, pero también están concientes que el precio que se paga por la modernización, es la apertura de brechas en la seguridad, lo que supone peligros potenciales para su propia existencia. A fin de combatir los “agujeros propios de la tecnología”, han sido desarrollados estándares de protección y resguardo de procesos, los cuales se transforman y se adaptan a los nuevos tiempos, para situarse en la primera línea de defensa frente a los riesgos operacionales.

En esta oportunidad nos referiremos a tres de estos estándares, comúnmente conocidos como: Octave, NIST y AS/NZS.

Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation)

Como su nombre lo indica, el Octave es un enfoque que permite evaluar las vulnerabilidades y amenazas que existen sobre los activos y las operaciones críticas de una organización. En la Figura No. 1, podemos observar cómo esta evaluación está orientada fundamentalmente hacia el riesgo operacional y las prácticas de seguridad, siendo tecnología es examinada únicamente en relación a las prácticas de seguridad.

Figura 1

 

Figura No. 1: El enfoque Octave

Una de las particularidades de Octave, es que puede ser realizado por vía de la autogestión; es decir que personal de la "Compañía", perteneciente tanto de las unidades funcionales como al área de TI, trabajan juntos para determinar las necesidades de seguridad de la organización.

Existen dos métodos desarrollados por Octave para abordar a las empresas (los cuales difieren muy poco con respecto al tamaño de las mismas). Las fases fundamentales empleadas en estos métodos son las siguientes:

> Identificar los activos críticos y las amenazas a las que están expuestos.

> Identificar las vulnerabilidades, tanto tecnológicas como organizacionales que originan estos riesgos.

> Desarrollar una estrategia de protección basada en buenas prácticas, así como planes para la mitigación de los riesgos.

NIST (National Institute of Standards and Technology)

El Instituto Nacional de Estándar y Tecnología, es una Agencia Federal (no regulatoria) del Departamento de Comercio de los Estados Unidos. Fue fundada en 1901 y tiene como misión promover la innovación y la competitividad industrial. Para lograr esto, cuenta con varios programas cooperativos, entre los cuales destacan:

> Los Laboratorios NIST: Los cuales conducen investigaciones que procuran avanzar sobre la infraestructura tecnológica, abordándola desde distintos ámbitos a de lograr mejorar el uso, confiabilidad y seguridad de los sistemas de información, computadoras y redes de computadoras.

> El Programa de Extensión Manufacturera: El cual establece asociaciones con las pequeñas empresas manufactureras, a fin de apoyarlas y orientarlas tecnológicamente. Algunos de los aspectos que apoya el programa son las herramientas para el aprendizaje del comercio electrónico y la seguridad de la infraestructura tecnológica.

> El Programa de Avance Tecnológico: Una propuesta que permite al NIST brindar asesoría avanzada, especialmente concebida para el sector tecnológico.

El NIST provee además estándares y herramientas para todos estos programas, permitiendo la evaluación de riesgos relacionados con las Tecnologías de Información. Como acotación final, debemos señalar que en los últimos años el Instituto Nacional de Estándares y Tecnología, ha favorecido activamente el desarrollo de modelos comúnmente utilizados hoy en día, como por ejemplo los orientados hacia la comunicación de transacciones electrónicas (comercio electrónico vía Internet, cajeros automáticos, etc.), entre otros.

AS/NZS (Australian/New Zealand Standard 4360:2004)

Este patrón fue diseñado por la organización “Standards Australia”, (cuya experiencia se remonta hasta el año 1922), una de las compañías no-gubernamentales más importantes en cuanto al desarrollo de estándares, reconocida oficialmente por el gobierno australiano y representante en la región de patrones como la International Organization for Standardization (ISO).

El estándar 4360:2004, más que evaluar la seguridad de la información, se encarga de lograr una mayor comprensión de los riesgos en los procesos administrativos en general. Esto incluye, los riesgos operativos y los riesgos tecnológicos, pero enfocados a los procesos del negocio. Para ello se basan en la metodología observada en la figura No.2.

Figura 2

Figura No.2: Metodología del estándar 4360:2004

Queda entendido que para cada actividad se establecen estándares que pueden ser adaptados a las organizaciones, bien sea en función de su tamaño, objetivo y condición tecnológica o de acuerdo al grado de automatización que ostenten sus procesos.

Como hemos observado, existen una serie de metodologías, (algunas orientadas a la evaluación de riesgos tecnológicos y otras orientadas a la evaluación de los procesos de negocio) que, bien sea de manera abierta o particular, contribuyen a aplicar estándares para la evaluación de riesgos en casi todos los modelos organizacionales, dictando a su vez las técnicas para aplicarlos y cumplirlos. A pesar de que la implementación de estándares para la evaluación de riesgos no es una tarea fácil, es un elemento imprescindible dentro de cualquier organización moderna; para alcanzar los objetivos deseados, es necesario que el personal que participa dedique gran parte de su tiempo (de manera exclusiva) al proyecto. Esto sin duda reportará beneficios superlativos a mediano y largo plazo, haciendo que obtenga los mejores beneficios de los estándares para la evaluación de riesgos.

Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers

Fuente:
pc-news.com



Otras noticias de interés:

La ISO pone en stand-by al OOXML
Tras los recursos oficiales de cuatro países: India, Brasil, Sudáfrica y Venezuela en contra de la aprobación como estándar del OOXML, la organización Internacional de Estandarización ha puesto en modo de “espera” al formato de documentos d...
Facebook te pone en riesgo
Con el fin de evaluar el verdadero peligro que presentan los sitios de redes sociales el equipo de investigación de Check Point simuló una estafa de phishing en una muestra aleatoria de usuarios de Facebook...
Problemas de seguridad aplicaciones Facebook
El problema lo han detectado desde una empresa de seguridad, y ocurre solo en el acceso móviles a Facebook, y aunque en un primer momento parecía que afectaba a todos los móviles, las últimas informaciones nos indican que solo ocurre en los móvi...
La relación de matrix con las empresas del mundo real
Repetimos es solamente ficción.. aunque parezca real 1. Ud. necesita hacer "reload" cada cierto tiempo 2. El 0,1% del código no es comprendido, pero es capaz de comprometer al 99% restante para q...
- Suplantación de usuarios en Hotmail -
Las vulnerabilidades del tipo Cross-Site Scripting se producen al no filtrar de forma adecuada las URLs o el código HTML, permitiendo que un tercero pueda inyectar comandos que se ejecutarán en el sistema del usuario al visualizar la página web....
Sobre las máquinas de votación y de las captahuellas.... para este 15 de agosto
Ya hemos escuchado hablar muchas veces sobre los sistemas y las máquinas de votación, pues los comentarios a medida que se acerca el gran día hablan de montones de situaciones que se pueden presentar. Aparte de las máquinas de votación de Smartm...
Cómo desconectarse de la vida virtual
Hay una generación que no recuerda el mundo antes de internet y que vive observada en las arenas públicas de la vida virtual. Pero también hay un número creciente de personas que creen que su grado de exposición es demasiado alto....
Cronograma Software Freedom Day 2011 Puerto La Cruz
El próximo 17-09-2011 en la ciudad de Puerto La Cruz en el Estado Anzoátegui, se celebrará el Dia de la Libertad del Software (Software Freedom Day) donde participaran diferentes comunidades del país tales como VaSlibre, Ubuntu-VE, Fedora Venezue...
Seguridad en la web
Con el incremento del uso de Internet, también aumentan las amenazas tanto a las empresas proveedoras de este servicio, como a los propios usuarios, a través de métodos como el spam o correo basura....
Publicados los resultados del Observatorio Tecnológico de PortalProgramas
Han publicado los resultados de la 8va edición de los Premios PortalProgramas al Software Libre 2016....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • estandares
  • evaluacion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevos
  • opensource
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra