Lo que el viento se llevó y la wifi no evitó.
“El software es un gas: se expande hasta llenar su contenedor”– Nathan Myhrvold Es cierto, pero… ¿Llegamos a conocer y calcular su capacidad?, ¿Dónde se encuentran los límites?,¿ Hasta dónde pueden llegar nuestros datos, nuestra información y nuestros programas? Este artículo pretende ser un estudio de la situación actual de nuestras redes inalámbricas. Asimismo mostraré con ejemplos didácticos realizados sobre mi WIFI, cómo usuarios con ciertos conocimientos pueden acceder a nuestra red y extraer información. Tras analizar diferentes redes WIFI, puedo asegurar que el 70% de ellas son susceptibles de ser atacadas. Las empresas y usuarios corren peligro si no son capaces de tomar las acciones adecuadas. Desde una política de seguridad adecuada, hasta la implantación de controles que supervisen estos riesgos (ISO 27001). La información circula por el aire y no la vemos… O sí … ¿Crees que el cifrado Wep, WPA o WPA2 establecidos en tu router son seguros? ¿Ocultar el SSID o identificador hace más fiable a tu red? ¿Consideras que la password es suficientemente larga y es difícil de averiguar? ¿Asumes que el único riesgo existente al disponer de una red WIFI es la posibilidad de que alguien acceda y se beneficie de tu tarifa para navegar gratis? ¿Dejas tu router encendido todo el día aunque no lo uses? Si respondes de forma afirmativa a todas estas preguntas, estas totalmente equivocado, puedes tener serios problemas … Este post es conocimiento. Realizado únicamente con fines meramente educativos y aclarativos. Pretende demostrar que debemos extremar las precauciones. Cambiar la contraseña frecuentemente y desactivar aquellas características que no usamos para estar mejor protegidos. Comencemos con este amplio tema titulado “Lo que el viento se llevó y la wifi no evitó …”
SoA o La declaración de Aplicabilidad en un SGSI basado en la ISO
SoA- Statement of Applicability o Declaración de aplicabilidad. Es uno de los ingredientes principales en un SGSI (Sistema de Gestión de la Seguridad de la Información). Contiene los controles relacionados con los riesgos que se aplicarán en el sistema. La norma ISO/IEC 27001, establece 133 controles, la organización debe seleccionar aquellos que se deseen implantar y por su puesto mantener (Siguiendo el ciclo PDCA) De los controles seleccionados que forman parte del tratamiento de riesgos, se obtiene la Declaración de la aplicabilidad. Es muy importante resaltar que si no se aplican alguno de los 133 controles, es necesario que la empresa u organización demuestre que se ha analizado la causa y motivo de la no incorporación. Es necesario demostrarlo. Al igual que se pueden añadir más controles si son necesarios por parte de la empresa. Un ejemplo de estos controles adicionales son los relacionados con lo que marca la LOPD o el Esquema Nacional de Seguridad.