Introducción al diseño y certificación de CPDs (TIA 942)

Aun recuerdo con cariño el primer CPD (si aquello se pudiera considerar un CPD) que visite cuando empecé en el mundo de la seguridad. Desde entonces he visitado muchos CPDs, algunos dignos del mismísimo Calatrava (más por lo blanco que por lo curvo) y otros que yo calificaría sencillamente como “entrañables”…... Leer Más

Gestionando riesgos con M_o_R®

– ¡¡¡¡¡Me he dejado el coche nuevo abierto con las llaves puestas en el peor barrio de la ciudad!!!!! ¡¡¡¡¡SOCORRO!!!!!

– Tranquilo, que no cunda el pánico. Conozco una metodología de gestión de riesgos que nos dará la visión adecuada para solucionar este problema… Primero identificaremos las actividades de tu vida que se pueden ver afectadas (como ir recoger a tu mujer, ir a trabajar…) bla bla bla, después identificaremos las amenazas existentes, por ejemplo ocupación enemiga o sustracción. Luego calcularemos el riesgo, mediante una función entre la probabilidad de que suceda y el impacto, descontando de ambos las salvaguardas implantadas…. bla bla bla. ¿Dime cuál es tu apetito por el riesgo? bla bla bla… voy a definir un plan de tratamiento de riesgos….

– ZZZZZZZ

– Perfecto déjame decirte que la solución a tu problema es: Que la próxima vez, cierres el coche y cojas las llave cuando aparques.

[Read more…]

LOPD para nostálgicos

Ahora a todo el mundo se le llena la boca hablando de la próxima directiva europea de protección de datos, del cloud, etc. Pero de vez en cuando está bien echar una mirada atrás para ver de dónde venimos. En este post voy a rememorar una aplicación clásica en protección de datos: el RGPD.... Leer Más

Piedra, papel, tijeras

Hace 2 semanas fui al cine a ver una película que me recomendaron encarecidamente. La película en cuestión se llama ARGO, dirigida y protagonizada por Ben Affleck. Tengo que reconocer que no tenía puestas muchas esperanzas en ella (Daredevil hizo mucho mal a Ben Affleck… bueno, esa y muchas otras), pero luego resulto que más que buena era una película notable (solo tenéis que ver que en filmaffinity le dan un 7,4).... Leer Más

Análisis de riesgos con PILAR (II)

Una vez vistos los pasos previos y el punto de entrada al Análisis de riesgos, el siguiente paso es establecer las dependencias entre los activos desde el punto A.1.4 dependencias, para el cual deberemos seguir el esquema de dependencias propuesto en MAGERIT. En la aplicación podremos definir el grado de dependencia entre los activos de modo global o detallando en las dimensiones de seguridad que son de aplicación.

[Read more…]

Análisis de riesgos con PILAR

Si tienen algo de memoria, recordarán que no hace mucho hicimos una breve introducción a PILAR (Deconstruyendo a PILAR y que en otras ocasiones nos hemos introducido en las metodologías de análisis de riesgos: primera parte y segunda parte).

Si conocen PILAR, sabrán que es una mujer que allá por donde va levanta odios o pasiones; lo pudimos comprobar en los comentarios de la anterior entrada. Será quizá porque puede ser complicada, un poco caprichosa e incluso a veces poco amigable. No obstante, tengo que decir que tiene su encanto y me atrevería a decir que se le coge cariño. Lo que está claro es que no es de las que te cautiva a primera vista.

Bromas aparte, podemos decir que PILAR es la herramienta de análisis de riesgos por excelencia al menos en el sector público (español), por diversas razones y por ser una de las principales implementaciones de MAGERIT. En esta entrada vamos a tratar de continuar la introducción anterior, explicando de modo breve y somero cómo llevar a cabo un análisis de riesgos. Para esto vamos a realizar ejemplo analizando nuestro blog favorito: Security Art Work.

[Read more…]

50 sombras de la seguridad

Estimados lectores, he de reconocerles que la lectura se encuentra entre mis numerosas aficiones (aunque suelo huir de best-sellers) y en este sentido si hay algo que no deja de sorprenderme es que allá por donde paso encuentro a alguna persona leyendo o hablando del “Libro del momento”. Si todavía no saben de qué libro estoy hablando, se trata de 50 sombras de Grey. Pero no se preocupen, en este post no vamos a desgranarles el argumento, únicamente lo hemos tomado prestado por la similitud de la temática que vamos abordar en el mismo. ... Leer Más

Deconstruyendo a PILAR

Siguiendo con la temática iniciada en anteriores post sobre análisis de riesgos en el ámbito del ENS y la metodología MAGERIT (véase Introducción al análisis de riesgos – Metodologías, primera parte y segunda parte), hoy quiero hablarles de una aplicación muy conocida en el mundillo de la seguridad: Procedimiento Informático Lógico de Análisis de Riesgos, que visto así probablemente no les diga nada, pero si les digo PILAR, a lo mejor la cosa cambia.

Muchos de ustedes estarán familiarizados de algún modo con esta aplicación, que cuenta con detractores y seguidores a partes iguales. Si bien debo reconocer que personalmente me encuentro en el segundo bando, el objetivo de este post no es ofrecer una opinión sino introducir a nuestros lectores en esta aplicación.

Antes de empezar me gustaría hacer mención a la aplicación CHINCHON para análisis de riesgos, que podría considerarse la precursora de PILAR, implementado MAGERIT en su primera versión. Al igual que PILAR, CHINCHON también era una aplicación de D. José Antonio Mañas.

[Read more…]

Requisitos del ENS para proveedores de Cloud Computing

Algunos de ustedes se habrán planteado sin duda la posibilidad de externalizar algún plataforma a un servicio cloud, o hacer uso de alguna herramienta SaaS. Además seguramente la mayoría se habrán cuestionado acerca de las implicaciones de seguridad que puedo conllevar delegar la gestión de la información en un proveedor. Efectivamente, la gestión de la información y de los servicios por un tercero supone la pérdida parcial de control sobre sus sistemas de información y no nos engañemos, el ser humano no es un fan acérrimo de la incertidumbre (que se lo digan a los mercados…), a la vez que esta externalización supone que cierta parte de la gestión de los riesgos y el cumplimiento legal recaiga en el tercero.... Leer Más

Análisis de riesgos con MAGERIT en el ENS (II)

Tras ver brevemente en la anterior entrada la fase de Planificación del proyecto, pasaremos en esta a tratar la parte de Análisis de riesgos y Gestión de riesgos.

2. Análisis de riesgos

El proceso principal de un proyecto de análisis y gestión de riesgos es el propio análisis de riesgos. Este a su vez se divide en 4 bloques: caracterización de activos, caracterización de amenazas, caracterización de salvaguardas y estimación del estado del riesgo.

2.1 Caracterización de activos

La primera etapa del análisis de riesgos es la realización de un inventario de activos, entendiendo por activo según MAGERIT: los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. Dicho de otro modo, los activos críticos están formados por todos los activos que se consideran de importancia para el negocio de la organización. Obviamente, esto comprende tantos activos de proceso de datos (hardware), ubicaciones físicas, activos de información (datos), imagen corporativa, etc. Es importante identificar la persona o el cargo responsable de cada activo.

[Read more…]