Convergencia de practicas.

Reflexiones y Tendencias.

Espedito Passarello.
Consejo Profesional de Ingenieria en Electrónica,
Telecomunicaciones y Computación (COPITEC).
UADE 2006
1
 Lic. Espedito Passarello
Licenciado en Ingeniería de Sistemas (UBA)
Computador Cientifico (UBA)
Certified ISMS BASED ON BS 7799
Certified Information Security
Management Systems on BS 7799- DQS
Gmbh – German Register for Management
Systems (2003).

2
La convergencia de las NTIIC

Dimensión tecnológica:

Interoperatibilidad
Estandares de la industria.
Disposición de nuevos componentes y
recursos.

3
TELEFONIA MOVIL O COMPUTADRES
MOVILES MULTIMEDIA (N95nokia)

• CÁMARA DE 5 MEGAPIXELES,
• WI FI,
• GPS,
• 160 MB RAM,
• SUITE OFFICE
• NAVEGADOR WEB
• REPRODUCTOR DE AUDIO Y V IDEO.
• VERSIÓN APACHE (SOFT DE SERVIDOR)
• PROTOCOLO WIBREE /BLUETOOTH/WIMAX
TELEFONIA MOVIL O SERVIDORES
PERSONALES PORTAÁTILES (IBM,
INTEL)

• ACCESO DESDE REDES O INTERNET.

• SEAN REDES DE CELULARES O NO.
• LLAMADAS DE VOZ IP
La dimensión de las Practicas, comunidades de practicas.

• Convergencia de Best Practiques.

“la mejor tecnología NO puede operar sola,
reconocimiento de la gestión de conocimientos,
se debe involucrar mas a las personas en los
procesos y formas de actuar”.
Será posible articulando la organización bajo
comunidades de practicas.

• orientadas al logro de la
Gobernabilidad de NTIIC alineadas a
los Modelos de Negocios
Los Profesionales

• Que actuan dentro del marco de acción de las

disciplinas relacionadas con las Nuevas
Tecnologías de la Información, la Informática y
las Comunicaciones (NTIIC).
• Esto incluye las tecnologías referidas a la
electrónica, las Telecomunicaciones (incluye
Internet), Ingeniería de software y Sistemas
( Integración de Sistemas y el Desarrollo de
Aplicaciones).
Que requieren?

• una visión integral, buscando el

conocimiento permanente que permita
máxima seguridad y eficacia en las formas
de como implantar las mejores practicas
que permitan la mejora de la gestión
EMPRESARIA.
 Mejores practicas.
El caso de la gestión
de la seguridad de la información
 Conocimientos y Competencias
• La Seguridad de las tecnologías y sistemas de
información se ha convertido en un factor clave
para el éxito y la rentabilidad de los negocios.
• Es necesario contar con profesionales con
competencias y conocimientos para desarrollar
políticas de Seguridad que garantice la aplicación
de salvaguardas contra;
• pérdidas económicas graves,
• el quebranto de la imagen pública,
• el incumplimiento legal o la fuga de información.
 Leyes, regulaciones y Normas

Actualmente las empresas están preocupadas por

cumplir con las regulaciones y normas nacionales
e internacionales, con el objetivo de ser
competitivos y protegerse tanto de posibles
ataques como de problemas legales (Habeas data,
Firma Digital, Propiedad Intelectual, Delitos
Informáticos, etc.).
• EL compliance, gobierno corporativo y
cumplimiento con normas como ITIL, COBIT,
ISO SERIE 27000 (BS7799), BS15000, Sarbanes-
Oxley (SOX)...
• La responsabilidad social de las empresas.
Leyes, regulaciones y Normas

• Europa: Aprobaron la ley de almacenamiento

de datos electrónicos
Los ministros de Justicia de la Unión Europea
dieron el martes su visto bueno final a las nuevas
leyes que exigirán a las operadoras de
telecomunicaciones almacenar los datos
telefónicos y de Internet hasta por dos años, para
ayudar en la lucha contra el terrorismo y otros
delitos graves. De este modo, las compañías de
telecomunicaciones e Internet tendrán que
almacenar los datos entre seis meses y dos años,
dependiendo de lo que decida cada Estado
miembro.
GESTION DE LA SEGURIDAD DE LA
INFORMACIÓN:
CONSIDERACIONES ESPECÍFICAS

13
 PUNTOS CLAVES

1 ¿Cuáles son sus características y

adecuaciones ?
2 ¿Cuáles son los criterios para seleccionarlas?
3 ¿Cuáles son las estrategias alternativas y
como se aplican para realizar los cambios ?
4 ¿Que factores (humanos, técnicos,
organizacionales, ..) serán necesarios y
cuales sus obstáculos?
5 ¿cuáles son las métricas que permitan
valorar los beneficios?
Gerenciando la inseguridad
• El cambio constante de nuestro
entorno, el rápido desarrollo
tecnológico, la necesidad de integrar
nuevos sistemas y aplicaciones,
provoca, en muchos casos, descuidos
importantes en la seguridad de las
organizaciones.
Gerenciando la inseguridad
• Los cambios legales que obligan a adoptar
medidas de seguridad para la protección de
la información, la proliferación del
"hacking" o los virus, la creciente extensión
de las redes de las empresas, su integración
con Internet y su uso masivo, hace
necesario una vigilancia permanente del
estado de la seguridad de los sistemas.
• El correo basura (mensajes de texto-SMS)
acosa a usuarios de celulares (Spam movil).
Gerenciando la inseguridad
• Todos estos factores hace cada vez
más difícil a las empresas disponer de
los recursos propios suficientes y de
los conocimientos actualizados que les
permitan detectar las vulnerabilidades
de los sistemas y poner en marcha las
pertinentes mejoras para evitarlas.
Gerenciando la inseguridad

• No sirve introducir solamente medios

técnicos para garantizar la privacidad de los
datos, sino que hay que definir reglas de
protección, normativas de uso de los
sistemas, planes de recuperación ante
desastres, etc.
 Como responsable de normalización de
actividades de seguridad de la información I

• AÑO 2001/2- ESTUDIO DE LA ISO/IEC 17799

• TECNOLOGÍA DE LA INFORMACIÓN (TI).
CÓDIGO DE BUENAS PRÁCTICAS
• ADOPCIÓN NACIONAL COMO IRAM-ISO/IEC
17799:2002: Tecnología de la Información. Código
de Buenas Prácticas de la Gestión de la seguridad de
la Información
• Especifica 127 controles técnicos agrupados en 10
temáticas de gestión
Como responsable de normalización de actividades
de seguridad de la información II
• AÑO 2003- ESTUDIO DE LA NORMA
• BS-7799-2(2002) TECNOLOGÍA DE LA
INFORMACIÓN (TI). ESPECIFICACIONES SGSI
• ESQUEMA DE NORMA IRAM 17798:2004:
Tecnología de la Información. Especificaciones para
los sistemas de Gestión de Seguridad de la
Información
• Año 2005- Gestión de Riesgos y Prevención del
Fraude.
• Referencia para los procesos de certificación
 Normas asociadas.
• ISO IEC Guide 2, 1996 General vocabulary.
• ISO IEC Guide 73: 2002. Risk management.
• ISO 10007:2003. Quality management systems-
Guidelines for configuration managenent.
• ISO 12207:1995. Software life cycle processes.
• ISO IEC TR 18044. Information segurity incident
management.
• ISO IEC 18028-4. IT Network security-Securing remote
access.
• ISO IEC 21827: 2002. Ingeniería de seguridad de los
sistemas. Modelo de Madurez de Capacidad
(SSE-CMM)
Necesidad de la normalizacion de
la gestión de la seguridad de la información

• No existen reglas y criterios únicos para definir

cuando un SGSI se puede considerar que
salvaguarda y protege la información.
• No existe aún una referencia internacional de
actuación.Van elaborándose iniciativas en
diferentes países.
• Existe amplia diversidad de criterios con que las
organizaciones evalúan sus riesgos y valoran sus
activos de información.
Reflexión final

• El centro de gravedad de nuestras

organizaciones hoy lo constituyen las
personas competentes y el conocimiento,
por es necesario reconfigurar nuestras
maneras de trabajar lo cual exige
reflexionar sobre nuestra situación actual,
saber hacia dónde queremos llegar, proveer
los recursos para poder llegar y darnos la
oportunidad de cambiar.
 Conclusion
- Ingeniería de la seguridad de la Información.
•
-Competencia primaria:
Construcción de sistemas de seguridad de la
información y los Sistemas de Gestión
asociados (medible, controlable ).
Determinación de criterios de construcción
(robusta) que permita resolver la ecuación
(desigual)existente entre el rol del que previene y
los múltiples factores de riesgos/incertidumbre.
-Métodos de evaluación de los potenciales puntos
débiles para establecer medidas de protección.
• Gracias por su presencia

• Información de contacto

- passarel@mail.retina.ar