martes, 1 de noviembre de 2011

Ladrón que roba a ladrón

Como ya les comentaba en mi último post, se han multiplicado las noticias sobre ataques informáticos, robos de contraseñasa y secuestros de identidades digitales, ya sea por grupos activista como Anonymous o por meros delincuentes. Anonymous, por cierto, ahora anuncia una guerra contra los carteles de la droga, según nos informa El Mundo. Se podrán imaginar por mi último post que no lo lamento demasiado. De hecho considero que este tipo de acciones son la forma más perfecta de Justicia. Que a un criminal lo condene un tribunal está bien, pero que reciba de su propia mecidina, es mucho mejor: Es lo divino, la reparación cósmica. De ahí que siempre se haya dicho que "ladrón que roba ladrón, tiene cien años de perdón".

Pero no nos desviemos del tema, el hecho de que los hackeos informáticos estén de moda se demuestra en la nueva norma de la familia 27000, la ISO/IEC 27035:2011, de gestión de incidentes de seguridad de la información. Me interesa de esta norma que se centra en los problemas de seguridad una vez que se han producido. Es decir, no se trata de una norma preventiva, sino de una guía que ayuda a posteriori, y por lo tanto, parte de la idea de que hay ocasiones en las que, por más controles que se implementen, las incidencias se producen.

Leo en la página de BSI lo siguiente:

"Humphreys, cuyo equipo desarrolló la versión original de la norma, ISO / IEC TR 18044:2004, comentó: "el manejo eficaz y oportuno de los incidentes importantes puede marcar la diferencia entre la supervivencia o la" muerte "de una organización. La nueva norma ISO / IEC 27035 proporciona consejos de probada eficacia en los procesos y métodos que deben implementarse para garantizar una gestión eficaz de los incidentes de seguridad de la información.

"Los incidentes pueden variar de los menores, que pueden tener un impacto en el negocio de manera aislada, a un incidente grave, que afecta a todos los sistemas empresariales. Algunos de los incidentes tienen el efecto de perturbar a la organización y al uso de los recursos de su negocio de 24 a 72 horas o más, por una gran pérdida y / o destrucción de datos y otros pueden ser delitos graves. ISO / IEC 27035:2011 ofrece una solución. "

¿No les encanta este fatalismo (el subrayado es mío)? En la siguiente entrada, continuaremos con los ataques informáticos desde otra perspectiva: la ciberguerra.

2 comentarios:

gihsoft dijo...

Lo de poner que es un buen post, ya lo voy a obviar...
Lo bueno de todas las normas iso, o las que se quieran seguir es que intentan "encausar" una manera de trabajo para que sea efectiva, pero a la vez, deja entrever lo frágil de las normas. Por ejemplo que una empresa tenga la 9001 no significa que haya certificado todos sus procesos, sino más bien los que le parece. Por otra parte, me parece que es que es imposible ponerle puertas al campo. Todos los sistemas son vulnerables, por más normas que existan.

Álvaro Del Hoyo dijo...

Bueno, es alarmante, pero a veces pasa. Depende de la gravedad del incidente a gestionar

Un ejemplo: DigiNotar

http://en.wikipedia.org/wiki/DigiNotar

Y la consecuencia es por un lado la mala gestión de seguridad, y por otro la mala gestión del incidente

http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1/rapport-fox-it-operation-black-tulip-v1-0.pdf