Adriana. a ver si puedo darte una mano, resumidamente.
el Punto 1). El penetration testing es obligatorio, no creas q porque aplicás
estandares iso y auditorias ya estas tranquila.
Ninguna plataforma informatica va a ser 100% segura. Por eso te tenes q encargar por lo menos
de acercarte lo mas posible a cubrir todas las areas por donde podes correr riesgos.
Por ejemplo todas las semanas alguien descubre vulnerabilidades en los sistemas operativos
ya sea de Unix, Linux, Microsoft. Y en un penetration testing tenes q hacerle pruebas
desde la 1era vulnerabilidad conocida hasta la ultima. es como la actualizacion de un antivirus
si no estas actualizada en los testeos de PT no sirve de nada.
3) Los Modelos ISO y OSSTMM son una base no contemplan todo lo que hoy en dia es riesgos de seguridad
aunque los sumes a los dos.
4) Las areas de seguridad informatica deben ser diferentes manejadas diferentes personas.
en lo posible no tengan relacion entre si y todas coordinadas por expertos. un ejemplo basico.
Los auditores no pueden ser los mismos que administran los servidores. o la plataforma de red.
Porque alguien tiene q auditar si los administradores tambien se mandan cagadas.
Siempre tiene q haber areas diferentes, helpdesk, soporte tecnico, desarrollo, planeamiento, auditoria, admines de servidores de correo, archivos, web. etc. hasta el guardia q cuida el acceso al edificio es parte de un area seguridad informatica y todas las areas deben estar capacitadas al dia. Si nó no sirve de nada porque aunque
inviertas miles de dolares en seguridad y gente experta. si dejas un minimo fallo sin contemplar es cuestion de tiempo que por ahi vas a perder.
Un ejemplo en un Banco el administrador de los equipos de la red olvido incorporar una politica de dominio para q los usuarios de los equipos pudiesen colocar pendrives en los equipos pero el resto estaba completamente cubierto.
Y resulta q un cliente antes del cierre del banco se le cayo al piso su pendrive mientras sacaba su billetera.
Después la gente de limpieza del Banco lo encontró y se lo dio a un administrativo de plataforma del mismo.
Que hiso este? se lleno de ansiedad para ver que habia dentro y enchufó el pendrive en la pc y vio que tenia fotos y archivos excel. pero el PD tenia colado un virus que infecto la pc y el servidor de archivos. que paso con los antivirus si estos estaban actualizados? nada ni se enteraron del virus.
y por un error humano esa sucursal estubo sin actividad 3 dias. Ni hablar la perdida q le produjo al Bco eso.
Saludos
Diego Garcia / STI
To: seguridad_informatica2@...
From: ezuluagas@...
Date: Wed, 21 Jan 2009 00:40:13 +0000
Subject: [seguridad_informatica2] Re: dudas
¡Y compartilas en Fotos de Windows Live! Estas fiestas divertite sacando fotos.
el Punto 1). El penetration testing es obligatorio, no creas q porque aplicás
estandares iso y auditorias ya estas tranquila.
Ninguna plataforma informatica va a ser 100% segura. Por eso te tenes q encargar por lo menos
de acercarte lo mas posible a cubrir todas las areas por donde podes correr riesgos.
Por ejemplo todas las semanas alguien descubre vulnerabilidades en los sistemas operativos
ya sea de Unix, Linux, Microsoft. Y en un penetration testing tenes q hacerle pruebas
desde la 1era vulnerabilidad conocida hasta la ultima. es como la actualizacion de un antivirus
si no estas actualizada en los testeos de PT no sirve de nada.
3) Los Modelos ISO y OSSTMM son una base no contemplan todo lo que hoy en dia es riesgos de seguridad
aunque los sumes a los dos.
4) Las areas de seguridad informatica deben ser diferentes manejadas diferentes personas.
en lo posible no tengan relacion entre si y todas coordinadas por expertos. un ejemplo basico.
Los auditores no pueden ser los mismos que administran los servidores. o la plataforma de red.
Porque alguien tiene q auditar si los administradores tambien se mandan cagadas.
Siempre tiene q haber areas diferentes, helpdesk, soporte tecnico, desarrollo, planeamiento, auditoria, admines de servidores de correo, archivos, web. etc. hasta el guardia q cuida el acceso al edificio es parte de un area seguridad informatica y todas las areas deben estar capacitadas al dia. Si nó no sirve de nada porque aunque
inviertas miles de dolares en seguridad y gente experta. si dejas un minimo fallo sin contemplar es cuestion de tiempo que por ahi vas a perder.
Un ejemplo en un Banco el administrador de los equipos de la red olvido incorporar una politica de dominio para q los usuarios de los equipos pudiesen colocar pendrives en los equipos pero el resto estaba completamente cubierto.
Y resulta q un cliente antes del cierre del banco se le cayo al piso su pendrive mientras sacaba su billetera.
Después la gente de limpieza del Banco lo encontró y se lo dio a un administrativo de plataforma del mismo.
Que hiso este? se lleno de ansiedad para ver que habia dentro y enchufó el pendrive en la pc y vio que tenia fotos y archivos excel. pero el PD tenia colado un virus que infecto la pc y el servidor de archivos. que paso con los antivirus si estos estaban actualizados? nada ni se enteraron del virus.
y por un error humano esa sucursal estubo sin actividad 3 dias. Ni hablar la perdida q le produjo al Bco eso.
Saludos
Diego Garcia / STI
To: seguridad_informatica2@...
From: ezuluagas@...
Date: Wed, 21 Jan 2009 00:40:13 +0000
Subject: [seguridad_informatica2] Re: dudas
Hola Adriana quisiera colaborarte en todo lo que estas solicitando,
pero mi conocimientos acerca del tema de prubeas de penetración no es
muy grande.
Te comento la historia yo trabajo para cierta empresa donde se esta
implementado un SGSI bajo la norma en ISO 27001, a mi no me han hecho
participe de la actividad en tal desarrollo. Pero según mis pequeños
conocimiento y lo que he visto en la empresa si es necesario realizar
pruebas de penetración tanto de nivel negro hasta el blanco y estas
deben ser paulatinas o periodicamente.
Ademas el manejo de Seguridad Informática es manejado por otro
proceso diferente al del Informática en la empresa es control
Interno, en el Subproceso Control de Calidad, riesgo y Seguridad de
la información. ademas hay otro Subproceso de Control Informático,
todos estos independientes del area de Informática.
Si quieres mayor información acerca de estos temas, me puedes dar un
correo donde te puedad regalar mas información.
Att Esteban
--- En seguridad_informatica2@gruposyahoo.com.ar , "iosorio33"
<iosorio33@...> escribió:
>
> Hola a todos:
> Estoy desde hace un mes y medio en el curso de seguridad
> informatica. Actualmente se esta creando una area para la
seguridad
> informatica en la empresa para la cual laboro, lo que me motivo a
> tomar este curso.
> Tengo unas inquietudes, que aunque un tutor me dio respuesta
> quisiera conocer otros puntos de vista, acerca de los siguientes
> temas:
> 1. Si aplico los estándares internacionales ISO 27001, en alguna de
> sus fases está el hacer pruebas y auditorias, ya no tendría que
> aplicar Penetration Testing?
> Alguno de ustedes ha aplicado Penetration Testing, ademas de los
> estandares ISO 27001 de manera simultanea?
> 2. Puedo comparar Penetration Testing como un análisis de riesgos,
> dentro del desarrollo del SGSI (Sistema de gestión de seguridad de
> la información)?
> 3. Se podría decir que se aplica el estándar ISO 27001 o el modelo
> OSSTMM? , es decir, son equivalentes?
> Alguno de ustedes ha aplicado el modelo OSSTMM, simultaneamente con
> los estandares ISO?
> 4. En la practica, como manejan sus empresas la parte de seguridad
> informatica y auditoria de sistemas? Areas de la empresa
diferentes?
>
> Muchas gracias por la colaboracion.
>
> Adriana
>
pero mi conocimientos acerca del tema de prubeas de penetración no es
muy grande.
Te comento la historia yo trabajo para cierta empresa donde se esta
implementado un SGSI bajo la norma en ISO 27001, a mi no me han hecho
participe de la actividad en tal desarrollo. Pero según mis pequeños
conocimiento y lo que he visto en la empresa si es necesario realizar
pruebas de penetración tanto de nivel negro hasta el blanco y estas
deben ser paulatinas o periodicamente.
Ademas el manejo de Seguridad Informática es manejado por otro
proceso diferente al del Informática en la empresa es control
Interno, en el Subproceso Control de Calidad, riesgo y Seguridad de
la información. ademas hay otro Subproceso de Control Informático,
todos estos independientes del area de Informática.
Si quieres mayor información acerca de estos temas, me puedes dar un
correo donde te puedad regalar mas información.
Att Esteban
--- En seguridad_informati
<iosorio33@.
>
> Hola a todos:
> Estoy desde hace un mes y medio en el curso de seguridad
> informatica. Actualmente se esta creando una area para la
seguridad
> informatica en la empresa para la cual laboro, lo que me motivo a
> tomar este curso.
> Tengo unas inquietudes, que aunque un tutor me dio respuesta
> quisiera conocer otros puntos de vista, acerca de los siguientes
> temas:
> 1. Si aplico los estándares internacionales ISO 27001, en alguna de
> sus fases está el hacer pruebas y auditorias, ya no tendría que
> aplicar Penetration Testing?
> Alguno de ustedes ha aplicado Penetration Testing, ademas de los
> estandares ISO 27001 de manera simultanea?
> 2. Puedo comparar Penetration Testing como un análisis de riesgos,
> dentro del desarrollo del SGSI (Sistema de gestión de seguridad de
> la información)?
> 3. Se podría decir que se aplica el estándar ISO 27001 o el modelo
> OSSTMM? , es decir, son equivalentes?
> Alguno de ustedes ha aplicado el modelo OSSTMM, simultaneamente con
> los estandares ISO?
> 4. En la practica, como manejan sus empresas la parte de seguridad
> informatica y auditoria de sistemas? Areas de la empresa
diferentes?
>
> Muchas gracias por la colaboracion.
>
> Adriana
>
¡Y compartilas en Fotos de Windows Live! Estas fiestas divertite sacando fotos.
Sin conexión 
Enviar correo