Entrevista realizada al aprendiz en la especialización de seguridad
Daniel Andada cursando el tercer trimestre.
- 1. ¿Qué es la seguridad informática y de la información?
-R/. La seguridad informática y de la información son cosas muy diferentes. La seguridad informática es la parte del área de la informática que se encarga de toda la protección o todo lo que tiene que ver con proteger la estructura computacional y todo lo relacionado en la informática ya sea en una empresa o un ambiente informático, la seguridad de la información son todos aquellos métodos y medidas preventivas, todos los estándares necesarios aplicados para proteger la información ya sea de una organización o de cualquier área, que busca la seguridad de la información? Busca mantener los 3 pilares de la información que son la confidencialidad, la disponibilidad y la integridad de la información mientras que la seguridad informática se encarga mas de los factores físicos los factores de software, cosas más tangibles.
-2. ¿Qué es y cuál es el alcance de una auditoria informática?
-R/. La auditoria informática es simplemente un análisis de todos los riesgos que pueden determinarse que pueden afectar un sistema de información este análisis es llevado a cabo por profesionales en la materia gente que se especializa en el tema tiene a su disposición herramientas muy especializadas y métodos de trabajos muy bien definidos aplican a su vez estándares internacionales, lo que se trata con esto es detectar de una forma muy estandarizada todos los recursos y los flujos de información dentro de la organización, mirar que información es crítica para la organización a la cual se está analizando identificar que es lo que necesita mirar que información esta duplicada cual es el costo de mantener esta información, cual es el valor de la información y mirar esta información de que manera puede o no puede ser vulnerado o no vulnerada es más que todo estudiar todos los mecanismos de control que se ven implementados en una organización hay que mirar si son adecuados si cumplen ciertos objetivos o estrategias si se están realizando los cambios necesarios para permitir un mejor desarrollo de la seguridad, todo el alcance como tal viene determinado por la necesidad de la organización esta especifica hasta qué punto el auditor puede entrometerse dentro de los asuntos de la organización como tal a verificar todo su sistema informático.
-3. ¿Cuáles son las consecuencias de la fuga de la información?
- R/. Hay que tener en cuenta que la información hoy por hoy se denomina como el activo mas valioso de una organización, digamos que en este punto cada organización es la que tiene es definir si a mí se me fuga cierta información que tan perjudicial puede ser para mi núcleo de negocio, hoy por hoy todas las empresas están informatizadas la mayoría tienen su sistema de información montado en la nube, tiene en Colombia la cultura de la protección de la información no está muy arraigada en la mente de los empresarios sin embargo los altercados que se han tenido por la fuga de información nos han hecho reflexionar mas sobre esa cultura de la no protección de la información hoy por hoy las organizaciones se están dando cuenta, en cual la fuga de información tiene como consecuencia la perdida de mucho dinero, que si son publicados tiene sencillamente una pérdida de dinero un impacto muy negativo sobre las finanzas, sobre el desarrollo y en si sobre cualquier objetivo a largo o mediano plazo que tenga la organización una fuga de esta será sencillamente catastrófica, se han registrado caso en lo que se ve lo que es el espionaje industrial, lo que es contratar personas para que entren a cierta organización y se integre con toda la gente extraiga toda la información valiosa en ese instante y pueda ser usada contra la competencia de esa organización, esto es un tema muy delicado a nivel colombiano no esta muy penalizado pero a nivel internacional son cosas que están muy arraigada en lo que es en la unión europea, los organismos de control internacionales están haciendo un esfuerzo inmenso por controlar todo este tipo de fuga y de ataques información que lo único que hacen es ameritar la industria en general.
-4. ¿Cuáles son los beneficios de la concientización y capacitación de los usuarios sobre seguridad informática?
-R/. como se dijo antes la seguridad informática comprende un conjunto tal vez sin fin de elementos en una organización, la fuga de información puede ser completamente catastrófica para una organización puede sencillamente frenarla en su desarrollo personal y en muchos casos destruirla, el eslabón mas débil se ha comprobado que es el humano, se ha comprobado que por mas seguridad que usted tenga de hardware y software, por mas inversión que se hagan a nivel de antivirus y auditorias, si nosotros no capacitamos todo nuestro recurso humano, toda la inversión va a hacer en vano, es muy fácil por medio de ingeniera social hacernos amigos de las personas cuyo rol en la organización es el mantenimiento la protección y tal vez la manipulación de la información es muy sensible para la organización, en esos términos es deber de la organización hacerles ver a los usuarios que ellos son pieza fundamental en la protección de la información, cosas tal fácil como no hablar con los extraños sobre el manejo sensible de la información que ellos tengan sobre al acceso a la información que ellos tengan, la revisión de correos sospechosos, la descarga de archivos sospechosos, son cosas muy sencillas que a la larga se han visto en casos reales son por donde más atacan a nuestro sistema de información por donde se es más vulnerable en la organización, hay que trabajar más en eso, digamos en Colombia la gente es muy tranquila en ese tema sencillamente comienzan a hablar de mas, y ahora con la expansión de las redes sociales los más populares en facebook y twitter entonces la gente por andar conectada lo único que hacen es twittearlo y darse a conocer a todo el mundo, una persona que sepa mucho en la busca de vulnerabilidades y la explotación de las mismas que lleve un seguimiento concienzudo de una organización que hable de mas puede tener la entrada segura e indetectable de esa organización, la invitación es entonces no dejar de lado la organización humana sino hacerlos concientizar de que ellos son parte fundamental en esa cadena de la seguridad de la información.
-5. ¿Qué es un SGSI?
- R/. es un conjunto de políticas de administración de la información, la siglas significas sistema de gestión de seguridad de la información, el contexto principal de la seguridad de la información es tener un diseño y implementarlo y mantener un conjunto de procesos para poder gestionar el acceso a la información en parte a una organización, buscando mantener los tres pilares de la información que son la confidencialidad, la integridad y confidencialidad de los activos minimizando lo mas posible todos los riesgos que puedan ocurrir, este sistema lo que trata es de ser muy eficiente, tratar de adaptarse de ser muy eficiente de adaptarse lo mas posible a los cambios mediante un cambio llamado PDCA: planificar, hacer, controlar y actuar este ciclo aunque es una teoría administrativa es aplicado a muchos de los contextos o de las areas de estudio a nivel actual, pero este ciclo es aplicado especialmente en este tipo de sistemas por que permite que el sistema no se rezague en cuando al avance de la informática como tal, día a día hay mas avances tecnológicos pero junto con esto vienen una serie de peligro de vulnerabilidades, de posibles amenazas por lo cual en cada instante hay que ir planeando como se va a instalar este sistema de información hay que ejecutar este sistema de información hay que ejecutar dicho sistema de información, hay que verificar que los procedimientos se estén cumpliendo de la manera correcta y en caso de que haya alguna anomalía entonces hay que hacer las correcciones del caso.
-6. ¿Que nos puede contar de la ISO 27000?
- R/. la ISO 27000 son una serie de normas llamadas ISO IEC/27000 son unos estándares de seguridad completamente públicos esto fue creado por la organización internacional para la estandarización ISO y la comisión electrónica internacional, esta serie es una conexión estándar recomendada para las mejores prácticas de la seguridad de la información los que intenta es desarrollar, implementar y mantener ciertas especificaciones para los sistemas de gestión de la seguridad de la información, esto es una familia que comprende la 27000 como tal que son simplemente un vocabulario la 27001 que es como tal una certificación que pueden obtener las organizaciones para la implementación de un sistemas de seguridad de la información es una norma muy importante ya que toma en cuenta todos los riesgos, todo lo que pueda afectar un sistema de información, esta familia es muy conocida a nivel de sistema de información esta familia es muy conocida a nivel de sistema de información es muy implementada en entornos de data center se enfoca mas en simplemente en almacenar la información en tenerla disponible para el que debe ser, y que esta información tras de que siempre tiene que estar disponible no puede ser vulnerada y su integridad tiene que ser mantenida, en muchas ocasiones aquellas organizaciones en las cuales tiene ese servicio de data center tiene como bandeja de entrada tiene su ISO 27001.
No hay comentarios:
Publicar un comentario