Bueno nenu, espero verte pronto y charlar de esto que tanto nos pone :-)

Un abrazo.

Cuando dices que te parece poco afortunado mi comentario sobre Aenor

“Lur, tienes mucha razón, me hace gracia como se llenan la boca con ISO, AENOR etc etc y al final es eso, solo un papel, en la practica todo es una pose de cara al exterior, vender imagen a los clientes en base a una certificación que es muy vistosa pero que…”

No lo entiendo Bro, estaba hablando de una certificación Aenor o ISO, indiferentemente y no solo a nivel de seguridad sino la el típico mural de estatuillas, diplomas etc etc -:)

Tanto Mageric como Pecal son sistemas de gestión que son practicamente imposibles de vender en el ámbito de empresas que estoy citando, pequeñas y medianas empresas con 20 o 30 trabajadores, la mayor parte de las veces lo que ven es el coste “en bruto” sin mirar tanto en los beneficios a medio y largo plazo.

Lo vuelvo a decir, la seguridad no vende, sea al nivel que sea y muchas veces la implantación de un sistema de gestión o implantación de la seguridad se rompe por el eslabon más debil de la cadena, un trabajador con una formación inadecuada puede mandar al carajo una labor de tiempo.

Lo triste es que si, tu vas con todo un paquete de soluciones ad hoc super bien planteado y la mayor parte de las veces que es lo que se valora???

Los costes.

Eso si, dile a un gerente de una Pyme que para toda la empresa le cambias los móviles a unos de última generación con cámaras de 2 mpx, vídeo etc etc y verás que cara pone…

Si Jony, lo “tangible” funciona, lo “previsible” no tanto….

Un abrazote para ti y tambien para David -:)

Si bien, buena parte de las reflexiones más arriba indicadas estan bien enfocadas, me gustaría discutir algunas de ellas o al menos, dar mi opinión.

Seguridad es un termino que los informáticos constantemente desvirtuando en el sentido de que solo hacemos hincapie en los aspectos que más nos intersan y nos motivan. Como por ejemplo la seguridad lógica. Estoy de acuerdo en que, por norma general, el empresariado no se toma muy en serio algo tan importante y básico como es la protección de sus activos de información.
Más importante de si pongo un antivirus, un firewall o si quito el windoce es la gestión. Se entiende como sistema de gestión de sistemas de la información, a un serie de aspectos entre los cuales se encuentran incluidos los físicos y lógicos. Pero más importantes que estos últimos son las políticas, los procedimientos, los registros que evidencian el cumplimiento o conformidad de las políticas establecidas (y no me refiero solo a los logs), etc, etc Todo este rollo, es muy necesario ya que es imposible ponernos a proteger sistemas sin haber hecho antes un inventario de activos de información. Es decir, para poder establecer una serie de contramedidas de protección de un activos, necesitamos saber el valor de ese activo para posteriormente invertir en concordancia. Sobre, tener siempre claro, que debemos asumir un riesgo. Y ese riesgo van en función directa a la pasta que se quiera invertir. Un ejemplo: Si mañana se estrella un 747 justo en el edificio que está mi CPD que hago?? Pues obviamente, por mucho firewall que tenga poco puedo hacer.. y queramos o no se destruiria todom, quedando por tanto dañada de forma irreparable la Integridad de los datos (no olvidemos que seguridad de la información se refiere a preservar su Integridad, Confidencialidad y Disponibilidad). En este ejemplo tan sencillo, con una simple medida de gestión que sería llevarse las copias de seguridad diariamente a casa, se hubiese minimizado el impacto de la catastrofe.
Se trata de reducir el riesgo a un umbral aceptable por la organización (entiendo como riesgo la probabilidad de que una amenaza explote una vulnerabilidad), y esto la mayoría de las veces solo se soluciona con medidas de gestión. En el anterior ejemplo, si mi empresa puede meter el CPD en un bunquer, es posible que el impacto de un 747 no le afecte. Esta sería una media de tipo paliativo. Hay otro tipo de medidas, como pueden ser las preventivas, que en este caso lo que hariamos sería tener sincronizado el CPD con otro secundario a 30 Km de distancia (los bancos suelen hacer esto).
Lo que quiero dar a entender es que la manera en que gestionemos la seguridad es lo más importante. Por eso me parece poco afortunado tu comentario sobre AENOR. Primero porque AENOR no es la responsable de la norma ISO17799:2000 sino de la UNE71502 que es la certificable. Segundo porque la 17799 es una de las metodologías sobre gestión de seguridad de la información más respetables y elegida por la practica totalidad de las empresas multinacionales, que digo yo, que algo más que nosotros sabrán. Y tercero, la citada norma no es la única, tienes MAGERIC utilizada por la gran mayoría de las administraciones o PECAL utilzada en el sector militar.
Estoy hablando de sistemas de gestión muy perfecionados y probados, si alguien quiere hacer un propio sistema de gestión… pues perfecto, pero que no sea porque no existen metodologías.

xDDDD Alguna opinión al respecto?

http://www.faq-mac.com/mt/archives/015952.php

-:)

Gracias por compartir vuestras opiniones y así una hacerse a la idea de las opciones a tomar en cuenta o que se nos escapan sin enterarnos….

Chaito…

Tengo dos amigos expertos en seguridad informática que han estado en “empresones” y cuando llegaron a sus nuevos y flamantes puestos de trabajo no daban crédito a la falta de cuidado que había en semejantes lugares y os hablo de periódicos y de multinacionales…

Luego vienen las quejas y el “culpable de turno”.

En fin, y así seguirá la cosa.

Saludos.
Mabel

alli pasa de todo no digo que “puede pasar” sino que realmente sucede, el tema es que falta un poco de concienciación de que los datos valen y mucho dinero y es que algunos crakean por gusto, otros por joder y otros por dinero…

Seguramente mi equipo sera un enooorme colador, ya que tampoco tengo nada importante que puedan sustraerme, los documentos y demas estan en discos externos que solo se conectan cuando son necesarios, y se trabaja con ellos cuando el ordenador esta desconectado (basta con desactivar la WiFi). Por ello, ni tengo un antivirus instalado, ni el firewall de windows hace nada. Lo unico que utilizo es el router, capado de puertos, y un antispyware (addware).

Llevo asi hace un par de años, y no he tenido ningun problema, me dio mas quebraderos desinstalar el maldito norton antivirus que trabajar a pelo… y encima ahorro memoria y tiempo de procesador :D.

Eso si, en referencia a lo del sentido comun, jamas abro un correo que no haya solicitado o del que no haya tenido aviso previo, y ante la duda, pregunto al que lo envia.

Tampoco me lio a visitar paginas del tipo “www.juankers.net”, en otro tiempo pude comprobar que son una buena fuente de problemas y regalitos :)