Lo fundamental es tener conocimiento de los riesgos a los que la empresa está expuesta y alinearse con la norma ISO 17799:2005.

Estamos viviendo en un mundo donde la información comanda las decisiones más significativas de cualquier tipo de negocio, convirtiéndose en un activo esencial para la compañía.

La tecnología que opera dicha información experimenta un constante crecimiento y junto a ella, los ataques informáticos también avanzan: cada vez son más diversos y peligrosos. Incluso se advierte que las motivaciones están cambiando: los hackers ahora se mueven en un ambiente "underground" y no tan "underground" con objetivos claramente comerciales: son contratados para espionaje industrial, para revelar campañas políticas y de publicidad, o para sabotear websites. Hasta se cometen delitos que aún no están tipificados en muchos países, incluido Argentina, dificultando la tarea judicial y estableciendo una discusión que ya lleva varios años sin respuesta.

Lo que se viene
La tendencia de ataques pone al robo de identidad en primer lugar. Mediante técnicas de "phishing" se obtienen datos de tarjetas de crédito y débito, información de cuentas bancarias, comercio electrónico, datos personales o simplemente el correo electrónico.

En estos últimos meses se observaron varios casos de secuestro de información, donde el atacante logra acceder a los discos rígidos a través de Internet, para luego encriptar los archivos con claves y posteriormente vendérselos a la víctima. ¿Extorsión?

Las comunicaciones también se verán afectadas: código malicioso logra obtener agendas de celulares, realizar escuchas de conversaciones, utilizar el número de la víctima, enviar mensajes de spam y saturar la línea generando una denegación de servicio.

Por último, al consolidarse en el mercado los dispositivos inalámbricos (WiFi y Bluetooth), se observa una peligrosa madurez de los ataques a esta tecnología, mientras las contramedidas todavía están en desarrollo: ¿sabía Usted que la mayoría de estos dispositivos vienen configurados de fábrica para que cualquier persona dentro del rango de alcance pueda acceder a ellos? De este modo se verán afectadas notebooks, palms, celulares y otros dispositivos que posean tecnología inalámbrica.

Lo que hay que saber
En definitiva, vemos que los ataques evolucionan y se introducen cada vez más en una tecnología que está en constante desarrollo. ¿Qué proteger? La información en todas sus formas: lo digital, lo impreso y el conocimiento. ¿Cómo protegerla? Si bien existen herramientas de protección, lo fundamental es tener conocimiento de los riesgos a los que estamos expuestos: poco sirve instalar antivirus, firewall y otras medidas de protección si luego revelamos contraseñas y datos sensibles por correo electrónico sin verificar el origen del mismo.

Esta problemática, y todo lo relacionado con seguridad de la información, está definida en la norma ISO 17799:2005, que expresa los distintos criterios a considerar en cada tema, a fin de ejecutar una correcta gestión. Además, debe considerarse como tendencia, ya que la mayoría de las empresas se están alineando o consideran alinearse con esta norma.

En la administracion publica se viene tratando este tema desde principios de 2005, se anuncio en la disposicion 006/05 (Agosto del 2005), que se basa en la resolución 45/05 (Junio 2005) que pone en practica la decision Administrativa 669/04 la cual faculta al Subsecretario de la Gestion Publica a aprobar la "Política de Seguridad Modelo” y a dictar las normas aclaratorias y complementarias...

basicamente los puntos que trata la ISO 17799/05 son:

• Organización de la Seguridad: Orientado a administrar la seguridad de la información dentro del Organismo y establecer un marco gerencial para controlar su implementación.
• Clasificación y Control de Activos: Destinado a mantener una adecuada protección de los activos del Organismo.
• Seguridad del Personal: Orientado a reducir los riesgos de error humano, comisión de ilícitos contra el Organismo o uso inadecuado de instalaciones.
• Seguridad Física y Ambiental: Destinado a impedir accesos no autorizados, daños e interferencia a las sedes e información del Organismo.
• Gestión de las Comunicaciones y las Operaciones: Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información y medios de comunicación.
• Control de Acceso: Orientado a controlar el acceso lógico a la información.
• Desarrollo y Mantenimiento de los Sistemas: Orientado a garantizar la incorporación de medidas de seguridad en los sistemas de información desde su desarrollo y/o implementación y durante su mantenimiento.
• Administración de la Continuidad de las Actividades del Organismo: Orientado a contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los efectos de fallas significativas o desastres.
• Cumplimiento: Destinado a impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.


la iso no dice nada que los que conozcan un poco de seguridad informatica no sepan, solo lo reglamenta...

La mala noticia es que para aquellos que no sean organismos publicos la ISO en cuestion tienen que comprarla, NO ES GRATIS, de mas esta decir que ya hay varios "cuervos" que la compraron y estan "vendiendo" sus servicios y asesoramiento a empresas privadas, no?...