You are on page 1of 21

Seguridad de la información I

La implementación de esquemas de Administración de la Seguridad informática en las organizaciones debe seguir estándares y mejores prácticas del mercado. Es una necesidad de negocios antes las circunstancias actuales (Globalización y la necesidad de compartir la información a contrapartes al rededor del planeta).

. Aspectos legales. Obstáculos principales: ◦ ◦ ◦ ◦ ◦ ◦ ◦ Falta de conciencia de usuarios finales. Falta de herramientas. Pobre definición de responsabilidades. Presupuesto. Falta de Entrenamiento. Falta de apoyo de la gerencia.

 Estándares: ◦ AS/NZS ISO/IEC 17799:2001 ◦ (Australian / New Zeland Standards – International Organization for Standardization / International Electrotecnic Comission) ◦ BS7799 : 1999 ◦ (British Standards Institute) ◦ Son un conjunto de controles que dan una serie de recomendaciones en el desarrollo de un proceso de Administración de la Seguridad de la Información. ◦ Comprende 10 elementos. .

          Políticas de seguridad. Clasificación y control de activos. Seguridad del personal. Conformidad. Organización de la seguridad. Seguridad física y ambiental. Control de acceso. Administración de la continuidad del negocio. Administración de comunicaciones y operaciones. Desarrollo y mantenimiento de los sistemas. .

◦ Debe ser aprobado por la administración. ◦ La política debe ser administrada por una persona quién es responsable de su mantenimiento y revisión de acuerdo a un proceso definido. . publicado y comunicado a todos los empleados. Politicas de Seguridad ◦ Proporciona a la alta dirección apoyo para la seguridad de la información.

◦ Se deben establecer procesos de autorización para nuevas facilidades de procesamiento de la información. ◦ Consejo directivo o un grupo designado por este debería de asumir la responsabilidad de la seguridad de información. . Organización de la Seguridad ◦ Ayuda a administrar la seguridad de la información dentro de la organización. ◦ Es recomendable disponer de la asesoría de un especialista de seguridad (para propósitos de evaluación o de investigación de incidentes).

. ◦ Cada activo deberá ser claramente identificado y se debe documentar la propiedad y clasificación de seguridad. Clasificación y Control de Activos ◦ Provee las medidas de seguridad necesarias para proporcionar una protección adecuada a los activos de la organización. además de su ubicación actual. ◦ Controles a la información deben tomar en cuenta las necesidades del negocio para compartir o restringir información.

robo. ◦ Usuarios deberán reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o servicios. . fraude o mal uso de las instalaciones y equipo. ◦ Todos los empleados de la organización deberán recibir entrenamiento apropiado en los procedimientos y políticas organizacionales. ◦ La regularidad dependerá de la actualización o los cambios que se den en la organización. Seguridad del Personal ◦ Necesaria para reducir los riesgos de errores humanos.

así como posibles daños a las instalaciones y a la información del negocio. Seguridad Física y Ambiental ◦ Previene el acceso físico no autorizado a los sistemas de información. .

negación de servicio. ◦ Áreas de desarrollo de Sistemas y Pruebas deben estar separadas de los Sistemas en Producción. ◦ Los cambios en los sistemas y elementos de procesamiento de información deben ser controlados. datos incorrectos. brechas de confidencialidad. ◦ Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio. . Administración de Comunicaciones y Operaciones ◦ Permite garantizar la operación correcta y segura de las instalaciones de procesamiento de la información.

. ◦ Proteger la integridad del Software y la Información. Administración de Comunicaciones y Operaciones ◦ Deben establecerse criterios de aceptación para nuevos sistemas de información. actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptación. ◦ Hacer copias en forma regular de la información esencial del negocio y del software. ◦ Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados.

discos. del robo o acceso no autorizado.. modificación o mal uso de la información intercambiada entre organizaciones. ◦ Prevenir la pérdida. Administración de Comunicaciones y Operaciones ◦ Se deben definir procedimientos para la protección de documentos. bases de datos. cintas. . etc.

otorgando confidencialidad en la información. ◦ Se debe controlar el acceso a servicios internos y externos de la red. a la información y a los sistemas de información. no autorizado. para evitar interrupciones en los procesos normales de producción. ◦ Usuarios deben seguir buenas prácticas de seguridad en la selección y uso de passwords. ◦ Deben existir procedimientos formales para el registro y eliminación de usuarios. . Controles de Acceso ◦ Previene el acceso lógico y cambio.

 Controles de Acceso ◦ Se debe controlar el acceso a servicios internos y externos de la red. ◦ Asegurar la seguridad de la información cuando se utilizan dispositivos móviles. . ◦ Los sistemas deben ser monitoreados para detectar desviaciones de las políticas de control de accesos y grabar eventos específicos para proveer de evidencia en caso de incidentes de seguridad.

. Desarrollo y Mantenimiento de los Sistemas ◦ Permite incorporar la seguridad a los sistemas de información. o mal uso de los datos en las aplicaciones. ◦ Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura. ◦ Prevenir la pérdida. modificación.

. ◦ Se deben probar con frecuencia los Planes de Continuidad. Administración de la continuidad del negocio ◦ Contrarresta las interrupciones a las actividades del negocio y protege los procesos críticos del negocio contra los efectos causados por fallas mayores o desastres.

. obligaciones reguladoras o contractuales y cualquier otro requerimiento de seguridad. ◦ Procedimientos apropiados deben ser implementados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual. jurídicas. Conformidad ◦ Contribuye a evitar infracciones a las leyes civiles.

 Todos estos elementos logran combinarse a través de un enfoque de procesos otorgando controles claves y las medidas de seguridad mas importantes que deben considerarse para la Administración de la seguridad de la información. PDCA (Plan. Check. Do. Act)  .

.

 Gracias Preguntas  .