martes, 12 de junio de 2012

ESET Security Day Perú 2012

Más vale tarde que nunca dice el refrán, así que me gustaría compartir con ustedes la experiencia vivida en Perú el pasado 13 de abril.
Invitado por ESET y en el marco del ESET Security Day dicté una conferencia sobre la importancia de las Evaluaciones de Seguridad como parte de un Sistema de Gestión de la Seguridad de la Información (SGSI). Si bien solo son una parte de la Gestión de Seguridad, las evaluaciones de seguridad nos permiten medir la eficacia de los controles que han sido implementados. 

Junto con la audiencia, brevemente recorrimos algunas de ellas, entre las que destacan la Evaluación de Vulnerabilidades (Vulnerability Assessment), los Test de Intrusión (Penetration Test) y los Análisis de brecha de Cumplimiento (GAP Analysis). En el primero de los casos el objetivo de la evaluación es identificar aquellas vulnerabilidades de carácter técnico que pueda poseer la plataforma tecnológica de la organización. El segundo tipo no se queda solo en la identificación, sino que intenta aprovecharse de las vulnerabilidades detectadas (no únicamente técnicas) e identificar el impacto que esto pueda tener para el negocio. La tercera releva el estado actual de cumplimiento de la organización frente a una norma, estándar o regulación específica. Ejemplos de esto pueden ser los ISO 27001 GAP, PCI-DSS GAP, Privacy GAP, BCRA A4609 GAP, etc. Otras evaluaciones pueden incluir la auditoría de código de aplicaciones, auditoría de plataformas específicas, etc. La ponencia finalizó con una demostración práctica cuyo objetivo era mostrar a los asistentes la relativa facilidad y el impacto que puede tener para el negocio la explotación de una vulnerabilidad en un servidor corporativo.

Como conclusiones se hizo hincapié en el hecho de no centrarse únicamente en la vulnerabilidad técnica identificada, sino en la necesidad de contar con un Proceso de Gestión de Vulnerabilidades que las identifique y les de tratamiento. Adicionalmente, también se remarcó la importancia de las evaluaciones de seguridad como entradas que alimentan al SGSI, pero no como un fin en si mismas.

A continuación les comparto el enlace del Blog de ESET con una visión general del ESET Security Day Perú 2012:


Finalmente les comento que el ESET Security Day es un evento organizado por ESET y sus distribuidores y partners regionales con el objetivo de acercar las últimas tendencias en Seguridad de la Información. En 2012, además de Perú, algunos de los países que visitará ESET son Bolivia, Chile, México, Panamá y Venezuela.

Referencias
PCI Scanning Procedures:
https://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf
NIST SP800-115: Technical Guide to Information Security Testing and Assessment:
http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf


No hay comentarios:

Publicar un comentario