Grupo: http://groups.google.com/group/forosi/topics
- Consulta sobre SSL [2 actualizaciones]
- Renvío noticia sobre Riachuelo [1 actualización]
- OT servicio de Microsoft My Phone [1 actualización]
- Implementación de Políticas de Seguridad en la empresa [6 actualizaciones]
- The Business of malware [3 actualizaciones]
- Formar departamento de Seguridad de la Información [10 actualizaciones]
Tema: Consulta sobre SSL
- Pablo <pablogabriel62@gmail.com> Mar 29 05:48PM -0700 ^
Entre muchas de las dudas que tengo respecto a SSL, intentaré listar
las consultas lo mas ordenadamente posible
1- Que relacion existe entre la cantidad de bits del
certificado(algoritmo encipcion asimetrica) y la fortaleza de la
encripción en la transmision (encripcion simetrica)
2- Como configuro y verifico la encripcion asimetrica (DH, RSA,DSA)
3- Como configuro y verifico la encripcion simetrica (3des, aes, des,
etc)
Muchas gracias
Saludos
- Raul Batista <raul.batista@gmail.com> Mar 30 12:55AM -0300 ^
Hola Pablo,
El término encripción aunque bastante difundido, es errado. En
castellano corresponde usar cifrado y descifrado.
A mi me parece que antes de intentar responder las preguntas que
haces, que me parece muestran que te falta aun información, es mejor
recomendarte material para que termines de estudiar el tema.
Este libro es muy bueno, tiene la base teórica y luego aborda la
práctica para programacion:
"CRIPTOGRAFIA, Tecnicas de Desarrollo para Profesionales." (Editorial
Alfaomega ISBN: 9789872311384)
Estos dos son excelente material en castellano de reconocidos autores
y de descarga libre
"Libro Electrónico de Seguridad Informática y Criptografía" (Autor:
Jorge Ramió Aguirre ISBN 84-86451-69-8)
http://www.criptored.upm.es/guiateoria/gt_m001a.htm
"Criptografía y Seguridad en Computadores"
http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto
Articulos:
"SSL, Secure Sockets Layer y otros protocolos seguros para el comercio
electrónico"
http://www.morales-vazquez.com/pdfs/ssl.pdf
en ingles:
"SSL Demystified"
http://www.windowsitpro.com/article/encryption2/ssl-demystified.aspx
"How SSL Works"
http://www.definityhealth.com/marketing/how_ssl_works.html
"Secure Socket Layer (SSL): How it works"
http://www.verisign.com/ssl/ssl-information-center/how-ssl-security-works/
Una herramienta muy interesante para estudiar y practicar
criptografía: http://www.cryptool.org/
Saludos,
Raúl
(*) http://etimologias.dechile.net/?chamuyo
--
_______________
Saludos,
Raúl Batista
- "Prof Ing Arellano González" <larellanogonzalez@yahoo.com.ar> Mar 29 06:14PM -0700 ^
Idem anterior. Cordiales saludos. Luis
Prof Ing Luis Enrique Arellano González
Ing Informática-Abogado-Lic Criminalística
Director Curso de Informática Forense
Facultad Regional Avellaneda
Universidad Tecnológica Nacional
"Lauda Finem" ADVERTENCIA LEGAL (Leyes Nacionales 11.723 y 26.032): Este mensaje de correo electrónico fue emitido en la República Argentina, en concordancia con las libertades y restricciones establecidas por dichas leyes. El contenido del presente mensaje es clasificado y se encuentra restringido por el secreto profesional al que se encuentra supeditado su generador y propietario. Bajo ninguna circunstancia autorizo su retransmisión o divulgación a terceros, sin mi expreso expreso conocimiento y consentimiento. Solicito sea eliminado sin más trámite y de inmediato, de la casilla de correo de quien lo recibió por error, lo considera improcedente o duda de su confidencialidad o no repudio.
--- El mar 29-mar-11, gustavo leale <gusleale@hotmail.com> escribió:
De: gustavo leale <gusleale@hotmail.com>
Asunto:
Para:
Fecha: martes, 29 de marzo de 2011, 16:38
Martes, 29 de marzo de 2011
La Justicia prohibió la navegación comercial en la cuenca Riachuelo-Matanza
El Juzgado Federal de Quilmes declaró a la cuenca Matanza-Riachuelo como "zona crítica de protección especial" y dispuso la "suspensión preventiva de la navegación fluvial comercial" por ese afluente. La medida "conlleva el desalojo inmediato de todas las obstrucciones que invaden la misma (por la cuenca), la reorganización del tránsito vehicular en la zona" y la suspensión de la navegación.
La disposición fue tomada por el juez Federal Luis Armella, en el marco de la "causa Mendoza" por la cual la Corte Suprema de Justicia ordenó en 2008 el saneamiento de esos ríos a los gobiernos nacional, provincial y de la Ciudad de Buenos Aires. Se les requirió que "en forma inmediata realice todas las acciones de derecho que resulten conducentes para darle curso normativo, efectivo y reglamentario a lo resuelto".
La "zona crítica de protección especial con servidumbre de paso ambiental" implica puntualmente a las zonas atravesadas por el Riachuelo y su camino de sirga (es decir la traza costera) y los arroyos que desembocan en él, es decir la Capital Federal y los partidos de Avellaneda, Lanús, Lomas de Zamora, Almirante Brown, Cañuelas, Esteban Echeverría, Ezeiza, General Las Heras, La Matanza , Marcos Paz, Merlo, Morón, Presidente Perón y San Vicente.
Sobre esos lugares se decidió "el desalojo inmediato de todas las obstrucciones que invaden la misma (por la zona), la reorganización del tránsito vehicular en la zona conforme las pautas emanadas en la presente y la suspensión preventiva de la navegación fluvial comercial (…) que incluye la inexistencia de toda embarcación dentro de su cuerpo de agua en estado de flotabilidad y/o hundimiento".
En una resolución de 38 carillas, el magistrado requirió al secretario de Medio Ambiente, Juan José Mussi, que, en su carácter de presidente de la de Autoridad de Cuenca Matanza Riachuelo (ACUMAR), "realice todas las acciones que resulten conducentes para darle curso normativo, efectivo y reglamentario a lo resuelto en la presente manda" y que disponga "en forma inmediata" la publicación de la resolución en el Boletín Oficial.
También se encomendó al prefecto Naval Oscar Adolfo Arce que instruya a los miembros de esa fuerza de seguridad para dar "inmediato y efectivo cumplimiento a la suspensión preventiva de la navegación fluvial comercial en el Río Matanza-Riachuelo". Los ministerios de Seguridad "de cada una de las jurisdicciones gubernamentales involucradas en la remediación ambiental" deberán establecer "la implementación de recorridas periódicas" sobre esa traza costera.
En tanto, se facultó a las fuerzas de seguridad "a retirar a todo aquél que, en infracción a lo aquí ordenado, se encuentre invadiendo el área de protección apuntada". El magistrado advirtió que el incumplimiento de la medida por parte de la Autoridad de Cuenca "conllevará anexada una incuestionable negligencia que los hará pasibles de soportar con sus propios patrimonios el pago de una multa diaria por cada día de incumplimiento".
- alejandro agis <alexagis@gmail.com> Mar 29 08:41PM -0300 ^
Amigos, teniendo en cuenta que la data en la nube es cómoda pero
absolutamente no confiable, les cuento que hace unos minutos sincronice mi
teléfono HTC HD2 como siempre lo hago, por comodidad y fácil disposición de
mi agenda este donde este.
Ahora la sorpresa sincronizo y termino con mas de 300 contactos de alguien
argentino que no conozco para nada.
Ahora ya lo se, va a saltar el corifeo de viudas de "thinfoil hat" stallman,
diciéndome que esto es por confiar en el demonio de redmond, pero guárdense
todo el flame ware, no es el tema, el tema es la nube.
Es posible que alguien serio pueda ofrecer un servicio y tenga este
disclaimer y por otro lado incentive el uso del mismo?
Aviso de declinación de responsabilidades: el uso de My Phone está sujeto a
> pretende reflejar cada circunstancia o caso de uso, y Microsoft declina
> expresamente la prestación de cualquier derecho de usuario adicional
> resultante u obligación de Microsoft.
Se que a la lista de correo hay bastantes personas de MS que la leen, lo
unico que pido es que averigüen que anduvo mal, no me interesa quejarme,
solo me interesa que esto funcione.
Alejandro
- AisC <antonio.sartori@gmail.com> Mar 29 12:50PM -0700 ^
Estimados,
Tengo unas consulta en relación a las Políticas de Seguridad.
Basado en su experiencia, ¿Cuáles creen que son las políticas de
seguridad esenciales que deben ser implementadas en una empresa como
mínimo para luego ir implementando cada vez más?
Esto desde la perspectiva de una empresa que no cuenta con políticas
establecidas ni cultura en seguridad de TI, pero que sí cuenta con el
apoyo de la plana ejecutiva y que desea establecer una unidad de
seguridad de la información.
Desde ya muchas gracias por sus comentarios.
AisC
- Diego Rodriguez <diegcam1@gmail.com> Mar 29 03:03PM -0500 ^
Politicas de Control de Acceso,
Politicas de uso de servicios informaticos
Politicas de confidencialidad
Politicas de Incidentes
Politicas de uso de equipos de computo
etc
2011/3/29 AisC <antonio.sartori@gmail.com>
- "SMi Consultores" <smi.consultores@gmail.com> Mar 29 02:09PM -0600 ^
Estimado Antonio:
Las Políticas de las Tecnologías de Información y Comunicaciones pueden
incluir al menos temas como:
a) Seguridad de la información incluyendo:
· Uso de Internet;
· Uso del Correo Electrónico;
· Uso de las estaciones de Trabajo;
· Proceso Antivirus;
· Adquisición de Hardware y Software;
· Seguridad de Contraseñas;
· Seguridad de la Información Sensitiva ( puede ser Política de
Cifrado) ;
· Seguridad de Servidores;
· Seguridad de equipos de comunicación;
· Seguridad en redes inalámbricas (Si existen);
· Seguridad en Redes con Terceros;
· Acceso y Configuración remotos;
· Administración de respaldos; y,
· Administración de dispositivos móviles de almacenamiento magnético.
b) Procesos de respaldo y recuperación en caso de un desastre y
situaciones de mal funcionamiento de uno o varios componentes del sistema de
información;
c) Tercerización (outsourcing);
d) Mantenimiento y desarrollo de sistemas; y,
e) Documentación de todos los procesos que se desarrollan en el área de
TIC.
De estas pueden haber variaciones es decir Ejm. Proceso Antivirus se puede
dividir en Política de Antivirus, Política de Parches de Seguridad, Política
de Reacción ante ataques de origen víricos, etc...
Espero te sirva
Alfonso Alfonso P.
SMI Consultores
Honduras C.A
La seguridad de su negocio...es nuestro negocio.
-----Mensaje original-----
De: forosi@googlegroups.com [mailto:forosi@googlegroups.com] En nombre de
AisC
Enviado el: martes, 29 de marzo de 2011 01:51 p.m.
Para: ForoSI
Asunto: [forosi:15169] Implementación de Políticas de Seguridad en la
empresa
Estimados,
Tengo unas consulta en relación a las Políticas de Seguridad.
Basado en su experiencia, ¿Cuáles creen que son las políticas de
seguridad esenciales que deben ser implementadas en una empresa como
mínimo para luego ir implementando cada vez más?
Esto desde la perspectiva de una empresa que no cuenta con políticas
establecidas ni cultura en seguridad de TI, pero que sí cuenta con el
apoyo de la plana ejecutiva y que desea establecer una unidad de
seguridad de la información.
Desde ya muchas gracias por sus comentarios.
AisC
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
- chirri armando <xchirrix@gmail.com> Mar 29 03:21PM -0500 ^
Gracias por la informacion alfonso,ha sido muy util y especifica.
El 29 de marzo de 2011 15:09, SMi Consultores
--
Ricardo Rodriguez Guzman
- "Oficial de Seguridad de la Información" <osi@coopjep.fin.ec> Mar 29 03:49PM -0500 ^
Estimado AisC
Considero fundamental partir de una politica general de Seguridad de la
información y a partir de ella ir generalndo alcances en lo que respecta
a Administracion de activos criticos de información, clasificacion de la
informacion, uso de contraseñas, niveles de acceso y/o privilegios.
tratamiento a los incidentes de seguridad, administración de claves de
superusuarios, etc...
Todo depende del tipo de empresa u organización para la que te enfoques.
ya que tiene variación la valoración de Confidencialidad Integridad y
disponibilidad para el tipo de organización.
Saludos
RGuerreroL
AisC escribió:
- "SMi Consultores" <smi.consultores@gmail.com> Mar 29 04:01PM -0600 ^
Por nada, es un gusto ser útil. Como el tema le llamaste Implementación de
Políticas de Seguridad en la empresa déjame darte algunos consejos:
1. Siempre es bueno que las políticas de Seguridad se deriven de un
Análisis de Riesgos sino no son apegadas a la empresa y a sus riesgos.
2. Se me olvidaban algunas como la de Control de Acceso , Las de
Continuidad de Negocio, La Seguridad Física entre otras. No es bueno tener
tantas.
3. Lo importante en todo caso en la implementación es que tengan
sanciones por incumplimiento definidas según el departamento de Recursos
Humanos.
4. Te recomiendo poner las que tienen que ver con Seguridad de
Servidores o Seguridad de equipos de comunicación (Switch,Routers,
Firewalls) en un solo documento enfocadas desde la óptica de hardening de
los mismos y la gestión de vulnerabilidades y parches de los sistemas
operativos, esto porque sino tendrías muchas más políticas que las que se
deberían.
También es bueno ver la audiencia como ser del lado del usuario y del lado
del técnico para que ambos tengan responsabilidad.
Saludos
Alfonso Alfonso P.
Logo SMI SMI Consultores
Honduras C.A
La seguridad de su negocio...es nuestro
negocio.
De: forosi@googlegroups.com [mailto:forosi@googlegroups.com] En nombre de
chirri armando
Enviado el: martes, 29 de marzo de 2011 02:21 p.m.
Para: forosi@googlegroups.com
Asunto: Re: [forosi:15172] Implementación de Políticas de Seguridad en la
empresa
Gracias por la informacion alfonso,ha sido muy util y especifica.
El 29 de marzo de 2011 15:09, SMi Consultores <smi.consultores@gmail.com>
escribió:
Estimado Antonio:
Las Políticas de las Tecnologías de Información y Comunicaciones pueden
incluir al menos temas como:
a) Seguridad de la información incluyendo:
· Uso de Internet;
· Uso del Correo Electrónico;
· Uso de las estaciones de Trabajo;
· Proceso Antivirus;
· Adquisición de Hardware y Software;
· Seguridad de Contraseñas;
· Seguridad de la Información Sensitiva ( puede ser Política de
Cifrado) ;
· Seguridad de Servidores;
· Seguridad de equipos de comunicación;
· Seguridad en redes inalámbricas (Si existen);
· Seguridad en Redes con Terceros;
· Acceso y Configuración remotos;
· Administración de respaldos; y,
· Administración de dispositivos móviles de almacenamiento magnético.
b) Procesos de respaldo y recuperación en caso de un desastre y
situaciones de mal funcionamiento de uno o varios componentes del sistema de
información;
c) Tercerización (outsourcing);
d) Mantenimiento y desarrollo de sistemas; y,
e) Documentación de todos los procesos que se desarrollan en el área de
TIC.
De estas pueden haber variaciones es decir Ejm. Proceso Antivirus se puede
dividir en Política de Antivirus, Política de Parches de Seguridad, Política
de Reacción ante ataques de origen víricos, etc...
Espero te sirva
Alfonso Alfonso P.
SMI Consultores
Honduras C.A
La seguridad de su negocio...es nuestro negocio.
-----Mensaje original-----
De: forosi@googlegroups.com [mailto:forosi@googlegroups.com] En nombre de
AisC
Enviado el: martes, 29 de marzo de 2011 01:51 p.m.
Para: ForoSI
Asunto: [forosi:15169] Implementación de Políticas de Seguridad en la
empresa
Estimados,
Tengo unas consulta en relación a las Políticas de Seguridad.
Basado en su experiencia, ¿Cuáles creen que son las políticas de
seguridad esenciales que deben ser implementadas en una empresa como
mínimo para luego ir implementando cada vez más?
Esto desde la perspectiva de una empresa que no cuenta con políticas
establecidas ni cultura en seguridad de TI, pero que sí cuenta con el
apoyo de la plana ejecutiva y que desea establecer una unidad de
seguridad de la información.
Desde ya muchas gracias por sus comentarios.
AisC
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
<mailto:forosi%2Bunsubscribe@googlegroups.com>
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
<mailto:forosi%2Bunsubscribe@googlegroups.com>
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
--
Ricardo Rodriguez Guzman
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
Tema: The Business of malware
- Mariano Mileti <mariano.mileti@gmail.com> Mar 29 01:22PM -0300 ^
http://computerschool.org/computers/malware/
:)
Slds.-
- "Cristian Borghello | www.segu-info.com.ar" <segu.info@gmail.com> Mar 29 05:39PM -0300 ^
Muy bueno, pasara a formar alguna PPT mia :)
Cristian
El día 29 de marzo de 2011 13:22, Mariano Mileti
- naoh <naoh59@gmail.com> Mar 29 05:10PM -0400 ^
niiice
thnks!!
El 29 de marzo de 2011 16:39, Cristian Borghello | www.segu-info.com.ar <
--
No pain, no game
- AisC <antonio.sartori@gmail.com> Mar 29 05:54AM -0700 ^
Estimados,
Me gustaría conocer su opinión en relación a:
¿Cúal debería ser la estructura ideal de un departamento de seguridad
de la información en la actualidad?.
Muchas gracias.
AisC
- JUAN BERRIO <judabe2003@gmail.com> Mar 29 08:19AM -0500 ^
Buenos Días, me parece que una estructura organizacional de seguridad de la
información, puede ser así:
****************
*Gerencia de T.I*
****************
******************************************
*Arquitecto de Seguridad de la Información*
*******************************************
***************************************
*Oficial de Seguridad e la Información*
***************************************
******************************************
*Analistas de seguridad de la información*
******************************************
Cordialmente,
JUAN DAVID
- Mario Wilson Castro Torres <wcastro@uao.edu.co> Mar 29 01:34PM ^
Holas paras todos, cual es la diferencia entre arquitecto, oficial y analista de seguridad?
Gracias,
Mario Wilson Castro
From: forosi@googlegroups.com [mailto:forosi@googlegroups.com] On Behalf Of JUAN BERRIO
Sent: martes, 29 de marzo de 2011 08:20 a.m.
To: forosi@googlegroups.com
Subject: Re: [forosi:15160] Formar departamento de Seguridad de la Información
Buenos Días, me parece que una estructura organizacional de seguridad de la información, puede ser así:
****************
*Gerencia de T.I*
****************
******************************************
*Arquitecto de Seguridad de la Información*
*******************************************
***************************************
*Oficial de Seguridad e la Información*
***************************************
******************************************
*Analistas de seguridad de la información*
******************************************
Cordialmente,
JUAN DAVID
El 29 de marzo de 2011 07:54, AisC <antonio.sartori@gmail.com<mailto:antonio.sartori@gmail.com>> escribió:
Estimados,
Me gustaría conocer su opinión en relación a:
¿Cúal debería ser la estructura ideal de un departamento de seguridad
de la información en la actualidad?.
Muchas gracias.
AisC
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar<http://www.segu-info.com.ar>
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com<mailto:forosi@googlegroups.com>
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com<mailto:forosi%2Bunsubscribe@googlegroups.com>
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar<http://www.segu-info.com.ar>
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com<mailto:forosi@googlegroups.com>
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com<mailto:forosi+unsubscribe@googlegroups.com>
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
Este mensaje y/o sus anexos son para uso exclusivo de su destinatario intencional. Puede contener información legalmente protegida por ser privilegiada o confidencial. Si usted no es el destinatario intencional del mensaje, por favor infórmenos de inmediato y elimine el mensaje y sus anexos de su computador y sistema de comunicaciones. Igualmente, le comunicamos que cualquier retención, revisión no autorizada, distribución, divulgación, reenvío, copia, impresión, reproducción o uso indebido de este mensaje y/o anexos, está estrictamente prohibida y sancionada legalmente.
- "Marcos Lezcano" <mlezcano@visionamos.com> Mar 29 08:56AM -0500 ^
Salario, "misión del cargo" dependiendo de la entidad, las responsabilidades
generales asignadas, los niveles de autoridad sobre personas,
sobreinformación, sobre dineros y valores, toma de decisiones propia o
autónoma, educación, experiencia, formación y habilidades. Hay entidades que
contratan un Analista de seguridad y le ponen muchas responsabilidades pero
le pagan menos creyendo que de esta forma están ahorrando, pero la persona
anda desmotivada por ejemplo.
De: forosi@googlegroups.com [mailto:forosi@googlegroups.com] En nombre de
Mario Wilson Castro Torres
Enviado el: Martes, 29 de Marzo de 2011 08:35 a.m.
Para: 'forosi@googlegroups.com'
Asunto: RE: [forosi:15161] Formar departamento de Seguridad de la
Información
Holas paras todos, cual es la diferencia entre arquitecto, oficial y
analista de seguridad?
Gracias,
Mario Wilson Castro
From: forosi@googlegroups.com [mailto:forosi@googlegroups.com] On Behalf Of
JUAN BERRIO
Sent: martes, 29 de marzo de 2011 08:20 a.m.
To: forosi@googlegroups.com
Subject: Re: [forosi:15160] Formar departamento de Seguridad de la
Información
Buenos Días, me parece que una estructura organizacional de seguridad de la
información, puede ser así:
****************
*Gerencia de T.I*
****************
******************************************
*Arquitecto de Seguridad de la Información*
*******************************************
***************************************
*Oficial de Seguridad e la Información*
***************************************
******************************************
*Analistas de seguridad de la información*
******************************************
Cordialmente,
JUAN DAVID
El 29 de marzo de 2011 07:54, AisC <antonio.sartori@gmail.com> escribió:
Estimados,
Me gustaría conocer su opinión en relación a:
¿Cúal debería ser la estructura ideal de un departamento de seguridad
de la información en la actualidad?.
Muchas gracias.
AisC
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
<mailto:forosi%2Bunsubscribe@googlegroups.com>
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
Este mensaje y/o sus anexos son para uso exclusivo de su destinatario
intencional. Puede contener información legalmente protegida por ser
privilegiada o confidencial. Si usted no es el destinatario intencional del
mensaje, por favor infórmenos de inmediato y elimine el mensaje y sus anexos
de su computador y sistema de comunicaciones. Igualmente, le comunicamos que
cualquier retención, revisión no autorizada, distribución, divulgación,
reenvío, copia, impresión, reproducción o uso indebido de este mensaje y/o
anexos, está estrictamente prohibida y sancionada legalmente.
--
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de
www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas
automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a
forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a
forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en
http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y
http://www.segu-info.com.ar/netiquette.htm
- Amilcar <amilmac@gmail.com> Mar 29 11:18AM -0300 ^
Juan, todas las buenas prácticas recomiendan que Seguridad informática /
Protección de Activos de Información sea independiente de la Gerencia de
T.I. y responda a la alta dirección directamente, a fin de poder asegurar el
control por oposición de intereses.
Saludos
Amilcar
2011/3/29 JUAN BERRIO <judabe2003@gmail.com>
- Carlos Lucero <lucerocarlos@gmail.com> Mar 29 11:44AM -0300 ^
Buen día.
En donde trabajo se esta integrando a certificación un área para Certificar
Seguridad antes de que los sistemas lleguen a producción. Este pertenece a
la gerencia de TI, y es independiente del área de Seguridad Informática. y
la estructura en principio es similar a la que indica Juan David. (aunque no
esta nada muy definido aun.)
- JUAN BERRIO <judabe2003@gmail.com> Mar 29 09:54AM -0500 ^
Me parece muy acertada la aclaración de Amilcar, en lo que respecta a llevar
trasparencia en seguridad de la información desde una entidad superior como
una Gerencia General, la estructura planteada de mi parte, puede estar más
orientada a seguridad informática, que a Seguridad e la información, Por lo
que se puede optar por tener como entidad mayor las Gerencia General o un
proceso de cumplimiento y Auditoria.
Gracias por la aclaración Amilcar.
slds
JUAN DAVID
- Francisco Alvarez <fasi1222@gmail.com> Mar 29 09:03AM -0600 ^
En las mejores praticas el area de seguridad de la informacion debe de
pertenecer al alta direccion. no a la gerencia de TI.
- Raul Batista <raul.batista@gmail.com> Mar 29 12:59PM -0300 ^
Hola Antonio,
Soy de la opinión que no hay una organización ideal, sino la necesaria
y posible para una empresa u organización determinada. Obviamente que
cumpla con su función de acuerdo a prácticas profesionales
reconocidas/recomendadas.
Ninguna empresa es igual a la otra de modo que la organización más
apropiada dependerá de varios factores:
-Política de seguridad (existe?)
-Apoyo y compromiso de la alta gerencia con esa política (aprobaron un
presupuesto?)
-Estándares de seguridad adoptados o de cumplimiento necesario.
-Plan de seguridad
-Roles, funciones y tareas definidos en la política/plan de seguridad.
Perfiles necesarios para cumplirlos.
-Tipo de organización
-Nivel de madurez de la seguridad de la información en la organización
-Regulaciones o leyes que se debe cumplir
-Presupuesto (si, otra vez)
-Cultura de la organización
Creo que el foco debe estar puesto en las funciones y
responsabilidades definidas para el área de seguridad y luego ver en
base al plan y el presupuesto como organizarse y con que tipo de
profesionales. Si solo hay presupuesto para una persona hay que
adecuarse a esas posibilidades, si hay para más se pueden separar
roles y funciones.
Sobre política, estándares, funciones y organización de una SGSI se
recomienda ver ISO 27002 y las definiciones de ISO27001 en el punto 4.
Dos vínculos muy interesantes al respecto:
Como organizar el departamento de Seguridad
http://cybsec.com.ar/upload/Como%20organizar%20el%20departamento%20de%20seguridad_v4.pdf
El rol del CISO
http://cxo-community.com/articulos/blogs/blogs-carrera-profesional/3388-el-rol-del-ciso.html
Saludos,
Raúl
--
_______________
Saludos,
Raúl Batista
- AisC <antonio.sartori@gmail.com> Mar 29 11:12AM -0700 ^
Muchas gracias a todos por sus opiniones sobre el tema planteado.
Creo que ha quedado bastante claro que debemos tomar en consideración
para ir construyendo la estructura del Departamento de Seguridad.
La presentación compartida por Raúl esta muy buena!.
AisC
Has recibido este mensaje porque estás suscrito al Grupo "ForoSI" de www.segu-info.com.ar
Por favor NO utilices correos de Hotmail. Estas cuentas son eliminadas automáticamente sin previo aviso.
Si quieres publicar en este grupo, envía un mensaje de correo electrónico a forosi@googlegroups.com
Para anular la suscripción a este grupo, envía un mensaje a forosi+unsubscribe@googlegroups.com
Para obtener más opciones, visita este grupo en http://groups.google.com/group/forosi
Por favor lee atentamente la FAQ en http://www.segu-info.com.ar/faq.htm y http://www.segu-info.com.ar/netiquette.htm
No hay comentarios:
Publicar un comentario