Nuevos estándares para la evaluación de riesgos


La automatización se ha apoderado de diversos aspectos dentro de las empresas modernas; esta tendencia no solo apunta hacia las áreas operativas, sino que además se filtra a los departamentos administrativos y organizativos, impulsando la aparición de nuevos riesgos asociados. Durante los últimos años ha florecido una amplia variedad de métodos, herramientas y técnicas que permiten evaluar y medir los peligros de la sistematización; estos estándares son reajustados continuamente para obtener los mejores beneficios.





La sistematización y la automatización de procesos se han convertido en los ejes de los negocios modernos. La mayoría de las empresas tiene muy claro que compartir la carga de trabajo con la tecnología reduce considerablemente los tiempos de ejecución de tareas complejas, pero también están concientes que el precio que se paga por la modernización, es la apertura de brechas en la seguridad, lo que supone peligros potenciales para su propia existencia. A fin de combatir los “agujeros propios de la tecnología”, han sido desarrollados estándares de protección y resguardo de procesos, los cuales se transforman y se adaptan a los nuevos tiempos, para situarse en la primera línea de defensa frente a los riesgos operacionales.

En esta oportunidad nos referiremos a tres de estos estándares, comúnmente conocidos como: Octave, NIST y AS/NZS.

Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation)

Como su nombre lo indica, el Octave es un enfoque que permite evaluar las vulnerabilidades y amenazas que existen sobre los activos y las operaciones críticas de una organización. En la Figura No. 1, podemos observar cómo esta evaluación está orientada fundamentalmente hacia el riesgo operacional y las prácticas de seguridad, siendo tecnología es examinada únicamente en relación a las prácticas de seguridad.

Figura 1

 

Figura No. 1: El enfoque Octave

Una de las particularidades de Octave, es que puede ser realizado por vía de la autogestión; es decir que personal de la "Compañía", perteneciente tanto de las unidades funcionales como al área de TI, trabajan juntos para determinar las necesidades de seguridad de la organización.

Existen dos métodos desarrollados por Octave para abordar a las empresas (los cuales difieren muy poco con respecto al tamaño de las mismas). Las fases fundamentales empleadas en estos métodos son las siguientes:

> Identificar los activos críticos y las amenazas a las que están expuestos.

> Identificar las vulnerabilidades, tanto tecnológicas como organizacionales que originan estos riesgos.

> Desarrollar una estrategia de protección basada en buenas prácticas, así como planes para la mitigación de los riesgos.

NIST (National Institute of Standards and Technology)

El Instituto Nacional de Estándar y Tecnología, es una Agencia Federal (no regulatoria) del Departamento de Comercio de los Estados Unidos. Fue fundada en 1901 y tiene como misión promover la innovación y la competitividad industrial. Para lograr esto, cuenta con varios programas cooperativos, entre los cuales destacan:

> Los Laboratorios NIST: Los cuales conducen investigaciones que procuran avanzar sobre la infraestructura tecnológica, abordándola desde distintos ámbitos a de lograr mejorar el uso, confiabilidad y seguridad de los sistemas de información, computadoras y redes de computadoras.

> El Programa de Extensión Manufacturera: El cual establece asociaciones con las pequeñas empresas manufactureras, a fin de apoyarlas y orientarlas tecnológicamente. Algunos de los aspectos que apoya el programa son las herramientas para el aprendizaje del comercio electrónico y la seguridad de la infraestructura tecnológica.

> El Programa de Avance Tecnológico: Una propuesta que permite al NIST brindar asesoría avanzada, especialmente concebida para el sector tecnológico.

El NIST provee además estándares y herramientas para todos estos programas, permitiendo la evaluación de riesgos relacionados con las Tecnologías de Información. Como acotación final, debemos señalar que en los últimos años el Instituto Nacional de Estándares y Tecnología, ha favorecido activamente el desarrollo de modelos comúnmente utilizados hoy en día, como por ejemplo los orientados hacia la comunicación de transacciones electrónicas (comercio electrónico vía Internet, cajeros automáticos, etc.), entre otros.

AS/NZS (Australian/New Zealand Standard 4360:2004)

Este patrón fue diseñado por la organización “Standards Australia”, (cuya experiencia se remonta hasta el año 1922), una de las compañías no-gubernamentales más importantes en cuanto al desarrollo de estándares, reconocida oficialmente por el gobierno australiano y representante en la región de patrones como la International Organization for Standardization (ISO).

El estándar 4360:2004, más que evaluar la seguridad de la información, se encarga de lograr una mayor comprensión de los riesgos en los procesos administrativos en general. Esto incluye, los riesgos operativos y los riesgos tecnológicos, pero enfocados a los procesos del negocio. Para ello se basan en la metodología observada en la figura No.2.

Figura 2

Figura No.2: Metodología del estándar 4360:2004

Queda entendido que para cada actividad se establecen estándares que pueden ser adaptados a las organizaciones, bien sea en función de su tamaño, objetivo y condición tecnológica o de acuerdo al grado de automatización que ostenten sus procesos.

Como hemos observado, existen una serie de metodologías, (algunas orientadas a la evaluación de riesgos tecnológicos y otras orientadas a la evaluación de los procesos de negocio) que, bien sea de manera abierta o particular, contribuyen a aplicar estándares para la evaluación de riesgos en casi todos los modelos organizacionales, dictando a su vez las técnicas para aplicarlos y cumplirlos. A pesar de que la implementación de estándares para la evaluación de riesgos no es una tarea fácil, es un elemento imprescindible dentro de cualquier organización moderna; para alcanzar los objetivos deseados, es necesario que el personal que participa dedique gran parte de su tiempo (de manera exclusiva) al proyecto. Esto sin duda reportará beneficios superlativos a mediano y largo plazo, haciendo que obtenga los mejores beneficios de los estándares para la evaluación de riesgos.

Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers

Fuente:
pc-news.com



Otras noticias de interés:

Kazaa registra una seria vulnerabilidad
Los usuarios de programas de intercambio como Kazaa e iMesh han sido instados a descargar un parche de seguridad después de que se descubriera un serio problema en sus redes. ...
Tenga cuidado con la información que publique en Facebook
Los expertos en seguridad informática están en guardia desde que Facebook fue objeto recientemente de una serie de robo de datos, en momentos en que los ciberestafadores convierten los sitios de socialización en su nuevo centro de operaciones....
El enemigo puede estar dentro
Uno de los factores críticos a la hora de gestionar la seguridad de la información en las organizaciones, es el factor humano....
Fallo en el software del #iPhone y #iPads
Un fallo en el software del iPhone y iPads puede permitir a los piratas informáticos crear aplicaciones que secretamente instalar programas para robar información, enviar mensajes de texto o destruir la información, de acuerdo con un experto en se...
Nueva vulnerabilidad en servidores Samba
Se ha detectado una nueva vulnerabilidad en Samba, implementación Unix Open Source del protocolo SMB/NetBIOS que se utiliza para compartir archivos e impresoras en entornos Windows. ...
Seguridad por niveles: Libro de Alejandro Corletti
Desde el sitio web kriptopolis.org he conocido de este interesante material, contiene más de 700 páginas, que desarrolla todos los temas de interés para profundizar en Seguridad de la Información, presentándolo desde el modelo de capas TCP/IP y ...
Privacidad del nuevo Timeline de Facebook
Con cada nueva actualización o cambio en la política de privacidad de Facebook se produce una oleada de confusión, preguntas y mensajes de advertencia de los usuarios sobre cómo estos cambios pueden afectar a su privacidad o a la forma en que és...
Concurso para hackers ...
Ofrecen USD 100.000 por descrifrar código !!! ...
Proponen nodos suicidas para proteger las redes de los hackers
Informáticos de la Universidad de Cambridge han propuesto una nueva técnica para proteger las cada vez más numerosas redes descentralizadas: nodos “suicidas”. La idea consiste en proporcionar a todos los nodos de una red la posibilidad de auto...
VirtualBox, Software Libre para virtualización
Aunque es software libre, no corre solamente sobre el mismo, también acepta sistemas operativos privativos como Windows NT 4, 2000, XP, Vista, e incluso está siendo desarrollado para OS/2 Warp y Mac OS X. Lógicamente, funciona también en GNU+Linu...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • estandares
  • evaluacion
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevos
  • opensource
  • pgp
  • php
  • riesgos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra