Working after dark!

--Originally published at The shield of the world

So…I have a business but, how do I protect it? This is where the Security policy play his game. A security policy is a document that states in writing how a company plans to protect the company’s physical and information technology assets. It defines the goals and elements of an organization’s computer systems. The definition can be highly formal or informal. Security policies are enforced by organizational policies or security mechanisms. A technical implementation defines whether a computer system is secure or insecure. The policies can be categorized into the 3 security principles.

Internet security

A security policy is often considered a “living document”, meaning that the document is never finishes, but is continuously  updated as technology and employee requirements change. A company security policy may include a description of how the company plans to educate its employees about protecting the company’s assets, an explanation of how security measurements will be carried out and enforced, and a procedure for evaluating the effectiveness of the policy to ensure the necessary corrections will be made.

The National Research Council has specifications that every company policy should address:

  • Objectives
  • Scope
  • Specific goals
  • Responsibilities for compliance and actions to be taken in the event of noncompliance.

giphy (2)

For every IT security policy are sections dedicated to the adherence to regulations that govern the organization’s industry. An organization’s security policy will play a large role in its decisions and direction, but it should not alter its strategy or mission. Therefore, it is important to write a policy that is drawn from the organization’s existing cultural and structural framework. The policy should not be generic should be personalized to let the company achieve its mission and goals.

The policies may include:

Born to be bad!

--Originally published at The shield of the world

Policía bueno o policía malo? Hemos escuchado mucho esta frase gracias a Hollywood y a las series televisivas. Pero toma un significado especial en el área de la Seguridad Informática.

200_s

Un Hackeo ético o Hacker ético, son los términos utilizados para referirse a un ataque de seguridad realizado por una compañía o persona. Este ataque tiene como fin intentar sobrepasar el sistema de seguridad y buscar por accesos no protegidos que podrían ser utilizados para robar información por hacker no éticos.

Ahora, antes de continuar, ¿por qué mencioné un policía bueno y uno malo? Básicamente, el hacker ético es el policía bueno y el hacker no ético o malicioso es el policía malo. Al final ambos hackers buscan lo mismo, dar a conocer los puntos débiles en seguridad de una empresa. Uno los encuentra, cierra todo a su paso e informa a la compañía y el otro llega a hacer negocios con la información que ha conseguido, hacer daño.

2002

Hay ciertos puntos para considerar cómo ético un atentado a la seguridad de una compañía, por eso quien realiza el “hacking” debe obedecer una serie de reglas…

  1. Permiso explicito para realizar pruebas de red y atentados de romper la seguridad para detectar fallas de seguridad.
  2. Respectar la privacidad de la compañía.
  3. Cierras el camino por dónde entraste, para evitar que alguien más lo pueda utilizar después.
    1. Se podrían definir los pasos de un ejercicio de “ethical hacking” de la siguiente manera.
      1. Reconocimiento
      2. Escaneo
      3. Obtener acceso
      4. Mantener el acceso para obtener información
      5. Cubrir el rastro
  4. Obviamente, hacer el aviso correspondiente a los desarrolladores  o manufactureros acerca de las vulnerabilidades de seguridad.

giphy3

Es un tema bastante delicado, pues hay quienes aseguran que hackear es  hackear y que darle el término ético es cinismo pues continúan siendo criminales. Sin embargo, el trabajo realizado por

2003
Continue reading "Born to be bad!"