top of page

ISO/IEC 27002 con enlace ISO/IEC 27001 en asistencia de Prevención "Cybercrime"
 

Intromisiones (o llámese intrusión) y "ataques" a redes de información se han realizado desde los años 70... con mayor frecuencia desde principios de los años 90. A principios de los años 80 se han invadido redes, inclusive organizaciones como la Agencia Federal de Investigación Estadounidense y Agencia Central de Inteligencia.  Estas se han hecho por razones de reto personal y algunas para tomar información, inclusive información sensible. Algunos de estos ataques han logrado que agencias federales obtengan aliados y otras condenas penalizadas por encarcelamiento.
 

-El marco legal / regulatorio de muchos países estan iniciando considerar ataques de Internet, mediante ejemplo phishing. Reconociendo que los "invasores de redes" no buscan (necesariamente) popularidad, no hay leyes que permitan a las autoridades acusar, procesar y penalizar por intrusiones a redes privadas o públicas. Cuando la situación surge, y no hay leyes o marco regulatorio relevante a intrusiones, la única alternativa que le queda a las autoridades es obtener evidencias y ajustar estas al marco legal existente. Algunas de estas evidencias se ajustan, por definición, a términos como estafa, intento de sabotaje, destrucción de información, intento / logro de penetrar derechos intelectuales reservados, etc. En muchas situaciones la publicación de información relevante a invasiones de red son con el propósito de publicidad para aumentar la venta de productos, esto no elude el hecho de seguridad y actualización de redes es inminente. Los llamados "hackers" son personas con buena intuición en investigación, se actualizan en tecnología vigente y por llegar (futura), y sus razones pueden variar (incluyen el ámbito de mercenarios, terrorista o simplemente un "hack"). Su ventaja reside en que tienen que operar en un modo "blitz", tanto de ataque y desaparición como la del conocimiento de la tecnología en desarrollo que va a remplazar a otra. Típicamente (y en la mayoría de los casos) se hace en forma sigilosa, aunque después alardean y se convierte en su error.
 

Igualmente a tecnología y técnicas de gerencia los "hackers" han evolucionado (o revolucionado) desde los años de la década de los 70. En cada generación pasada, blitz en dicho caso es cada 10 años para el siglo pasado, conocimiento y actuación se aceleran las intromisiones a redes - es una situación natural al estar la conexión entrelazada globalmente.
 

A pesar de los atentados y logros de "hackers" el actual comercio electrónico es seguro si el mismo en la red interna de un "enterprise" fundamentalmente robusto y se mantiene su actualización de forma ágil. Por la urgencia y velocidad en desarrollar una red o sitio Internet la planificación sufre (desde inicio), así quedando un sistema con objetivo de competitividad de forma vulnerable al no contemplar mayor cantidad de riesgos. Cuando se identifican y agregan los aspectos de seguridad ya avanzado el proceso de implantación la efectividad de actuar sobre los riesgos queda limitada. La realidad indica que los factores de riesgos es prudente consideralos desde el inicio de proyecto (a un grado mayor al actual). Al planificar contemplando y tomando acción relevantes a seguridad desde inicio evitan estar, más adelante, en la prensa (por razones que no quisiéramos estar). En ocasiones, no se recomienda saltar a la nueva tecnología (o sea un U blitz ) hasta que la misma no se haya experimentado en "campo". Las empresas que consideran riesgos desde inicio tienen menos perdidas por razones de seguridad.
 

Normativas como ISO/IEC 27002 asisten en la implantación y especialmente en la gestión de día-a-día para enfrentar la proliferación de comunicación y discontinuidad de tecnología. Es por esta razón que componentes de esquemas como ISO Kaizen-Blitz asisten en la realización de seguridad tanto financieras como de red informática. ISO/IEC 27002 provee bases fundamentales para seguridad en la administración de redes. Una vez implantada la misma propicia mejoras concurrente con los avances en tecnología y proliferación de comunicación. La vulnerabilidad de sistemas es una situación que cambia a diario, no es una situación de semanas o meses, es de días u horas.  
 

Para implantar ISO/IEC 27002 se requiere elevar el nivel de competencia del personal no necesariamente y únicamente en aspectos tecnológicos pero en el trabajo de equipo y asegurar una avance del sistema de gerencia concurrente con la realidad tecnológica y comunicación. Esta capacitación incluye base fundamentales de gerencia contemporánea incluyendo riesgos desde análisis de vulnerabilidad hasta mitigación o "Disaster Recovery".
 

El comercio Internet es seguro. Las dot-com tienen canales de red seguras (entre estas puede leerse https://XXXX en la ventanilla del identificación del buscador ). Esto indica que la transacción viaja encriptada en un canal de seguridad especial, así eludiendo la intervención por otros no envueltos en la misma (transacción).
 

Bullteksports.com tiene su canal https en adición no retiene ningún tipo de información en red. Tanto así que se destruye la información física que existe... Usan mucho las trituradoras de papel y plástico (llamados "shredders"). En caso de que un visitante no pueda usar enviar información por su canal de seguridad se le solicita enviar por fax o por vía telefónica llamar. Igualmente BULLTEK  ha adoptado las mismas políticas.
 

"Construir un futuro aunque el mismo no llegue" para muchos es una realidad a la que hemos llegado. Analizar lo previamente dicho nuevamente, "Construir un futuro aunque el mismo no llegue" (es una situación tanto aplicable a seguridad en red como la proliferación de los dot-com). Los Estados Unidos de Norte América por ser el país de mayor proliferación tecnológico y agrupar gran parte de los centros de comunicación por red ha estado a la vanguardia de riesgo y seguridad Internet y realizando congresos relevantes a "terrorismo electrónico". Con la proliferación de tecnología y acceso de comunicación, "terroristas" ("cyberspace" o no) pueden provocar y atentar causando daños de mayor proporción vía la "informática". Estos ataques no están limitados únicamente a redes financieras o e-commerce pero igualmente atentar contra un país o una región (ejemplo, Republica de Georgia - 2008):
 

  • Enviados de prensa que puedan crear pánico en comunidades y grandes poblaciones y bursátiles.
     

  • Ingresar a las redes de abastecimiento de agua o energía eléctrica y tomar control o crear desastres.
     

  • Bloqueo (o disfunción) de las redes de comunicación.
     

Para certificación, verificar bajo el equema de auditoría ISO/IEC 27001 o ISMS.

bottom of page