lunes, 7 de mayo de 2012

Proceso de Certificaciòn ISO/IEC 27001

PROCESO DE CERTIFICACIÓN NORMA ISO/IEC 27001

El proceso de certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, evalúa la implementación y eficiencia del SGSI y en caso positivo expide el certificado.
Antes que se publicara el estándar ISO 27001, las entidades debían certificarse   según el estándar británico BS 7799-2.

A partir  del 2005 las entidades interesadas en la certificación  pueden obtener su certificado en su primera certificación o en su recertificacion trienal.
Al terminar la implementación del SGSI en la organización, y con el historial de mínimo 3 meses  y un máximo de 12 meses antes que las políticas implementadas puedan vencerse, se puede comenzar la fase de auditoría y certificación.
Este proceso de desarrolla basado en los siguientes pasos.

  •    Solicitud de la auditoría  por parte del la entidad interesada a la entidad de certificación y recopilación de información por esta.
  •   Respuesta en forma de oferta por la entidad certificadora.
  •   Desarrollo del compromiso donde se aclaren las condiciones por ambas partes.
  •   Designación de auditores, Determinación de fechas y establecimiento conjunto de del plan de auditoría.

  •  Pre-auditoria opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor las posibilidades de superar la auditoría final.
Este proceso se resume en siguiente esquema desarrollado por BMTRADA Certification, una entidad que se dedica a este tipo de certificaciones 


miércoles, 2 de mayo de 2012

Conclusiones reunión de aprendices Tema Seguridad


Gracias al desarrollo del análisis de riesgos en la red del complejo se pudo concluir que la seguridad implementada en la infraestructura de red se puede clasificar como media ya que existen algunas vulnerabilidades que dejan la información a merced de las amenazas existentes, se pudo concluir mediante el análisis de vulnerabilidades que los mayores  debilidades en la seguridad se encuentran en la parte física y no tanto en la parte lógico y de configuración, este resultado se apoya en los factores que puede clasificarse como amenazas dentro de las instalaciones ya que la gran cantidad de personas en este caso estudiantes que circulan y hacen uso de las instalaciones y los equipos, además de esto son personas con amplio conocimiento en el funcionamiento de la infraestructura de red y gracias a la información que se tiene, se pueden presentar incidentes  mal intencionados o no, lo que deja en alto riesgo los activos contemplados en el análisis.


En la parte lógica o lo que concierne a los activos intangibles, se encontraron vulnerabilidades en la infraestructura de red o configuración, dentro de estas vulnerabilidades se encuentran puntos críticos de seguridad tales como los usuarios anonymous está permitido en los servidores ftp, muchos de estas configuraciones son necesaria para los procesos educativos ya en que los estudiantes deben tener acceso a la información para el desarrollo de sus actividades académicas.

Presentación de Amenazas de los activos.

Presentación de Amenazas de los activos.

Entrevista Seguridad informática y de la información

Ensayo sobre la importancia de un análisis de vulnerabilidades,

Ensayo sobre la importancia de un análisis de vulnerabilidades,

Analalis de Vulnerabilidades Hackig Etico y Pruebas de Intruision

Analalis de Vulnerabilidades Hackig Etico y Pruebas de Intruision

Comparación de Metodos de Analisis para la seguridad de la informacion.

Comparación de Metodos de Analisis para la seguridad de la informacion.

CONFERENCIA “LEY LLERAS 2” – FLISOL 2012

Como muchos piensan la ley Lleras no es una ley contra la piratería sino una ley necesaria para el país para cumplir los requisitos de un TLC (Tratado de libre comercio) con los Estados Unidos. Aunque es impulsada por el mismo ministro de interior, no tiene que ver precisamente con la ley lleras 1 del 2011. Esta se basa en consolidar la protección a los derechos de autor e implementar procesos penales contra los que la incumplan, pero también trata sobre restricciones de la televisión y demás. Firmemente prohíbe la reproducción, copia y manipulación cualquier tipo de obra con fines comerciales y con ganancias de dinero sin permiso del autor original; esto nunca estaba permitido en Colombia pero ahora esta mas consolidado como una ley de la república, además no permite la reproducción de canales de televisión en la red y aumente a su vez de 50 a 70 años la protección de los derechos de autor a los derechos intelectuales, para que luego puedan ser utilizados por el público en general. Las mayores críticas recibidas a esta ley es la exagerada y hasta absurda penalización que recibe un infractor que puede recibir 10 años de cárcel por comercializar con obras protegidas con derecho de autor, mientras que un violador puede estar recibiendo la misma pena. También es ilógico que una obra pase de 50 a 70 años, que son 20 años menos para que la comunidad saque provecho de esta, y teniendo en cuanta que con un mundo tan tecnológico cualquier obra es obsoleta en 5 años. Además varios grupos han declarado que esta ley es una censura y regulación del internet, pero el senado afirma que se pueden seguir descargando y viendo este tipo de contenido mientras no sea con fines comerciales y además se protegerá a la gente que lo haga con fines académicos.

viernes, 23 de marzo de 2012

Elastix

Elastix es un servidor de comunicaciones unificadas de distribución libre, este integra en un solo paquete VoIP PBX, Fax, Mensajería instantánea y correo electrónico. Esta funcionalidad es implementada sobre cuatro programas de software, Asterisk, Hylafax, Openfire, y Postfix. Estos brindan las funcionalidades de PBX, Fax, Mensajería Instantánea y correo electrónico respectivamente.

INSTALACIÓN DE ELASTIX.

Realizaremos la instalación desde de elastix desde un el CD.

1. Se debe configurar la maquina para que arranque desde la unidad de CD e insertamos el CD de instalación.

2. El CD se ejecuta y nos muestra una pantalla como esta.


En este momento podemos elegir dos modos de instalación, en modo avanzado como usuario experto, ejecutando el comando advanced, o simplemente damos enter en su defecto.

3.  Ahora configuramos el idioma para la configuración del teclado.



4.  En este paso debemos especificar nuestra zona horaria.


4. Este paso es de vital importancia ya que se debe especificar la contraseña que usara el usuario root para administrar nuestro servidor, esta debe ser lo mas compleja posible ya que es un punto critico de seguridad.



A partir de este punto la instalación sera guiada por el CD y se realizaran las configuraciones iniciales con en base a la información que se le acaba de proveer.

Búsqueda de dependencias necesarias para la instalación.



Inicio de copia de paquetes en el Disco Duro.



Progreso de la Instalación.


Al finalizar el sistema se reiniciara automáticamente y podrá iniciar sesión en la maquina en modo consola.




Ahora nos pide un nombre de usuario y una contraseña, en este caso el usuario sera "root" sin comillas y la contraseña sera la que se ingreso al momento de la instalación.