Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nuevos Escenarios:
Qu se debe asegurar ?
La informacin debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar debidamente protegida.
Qu se debe garantizar ?
Confidencialidad: Se garantiza que la informacin es
accesible slo a aquellas personas autorizadas a tener acceso a la misma.
Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informacin, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad.
Alta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS) Tcnicas de Ingeniera Social
Accidentes: Averas, Catstrofes, Interrupciones, ... Errores: de Uso, Diseo, Control, .... Intencionales Presenciales: Atentado con acceso fsico no autorizado Intencionales Remotas: Requieren acceso al canal de comunicacin
Interceptacin pasiva de la informacin (amenaza a la CONFIDENCIALIDAD). Corrupcin o destruccin de la informacin (amenaza a la INTEGRIDAD). Suplantacin de origen (amenaza a la AUTENTICACIN).
Acciones de la ONGEI
Actualmente la ONGEI apoya a las entidades pblicas en los siguientes principales servicios:
Anlisis de vulnerabilidades de los servidores Web de las Entidades Publicas. Boletines de Seguridad de la informacin Boletines de Alertas de Antivirus. Presentaciones tcnicas sobre seguridad. Consultoras y apoyo en recomendaciones tcnicas.
la
organizacin
obtendr
los
Un modelo de gestin para la mejora continua de la calidad de la seguridad de la informacin oRealizacin de un anlisis de riesgos
Con fecha 23 de julio del 2004 la PCM a travs de la ONGEI, dispone el uso obligatorio de la Norma Tcnica Peruana NTP ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin: Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin en entidades del Sistema Nacional de Informtica. Se Actualiz el 25 de Agosto del 2007 con la Norma Tcnica Peruana NTP ISO/IEC 17799:2007 EDI.
En este sentido La Norma Tcnica Peruana ISO 17799, se emite para ser considerada en la implementacin de estrategias y planes de seguridad de la informacin de las Entidades Pblicas. La NTP NO exige la certificacin, pero si la consideracin y evaluacin de los principales dominios de acuerdo a la realidad de cada organizacin.
2.
3.
4.
Clasificacin y Control de Activos: Inventario de los recursos de informacin de la organizacin y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de proteccin. Seguridad de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.
5.
Seguridad fsica y del Entorno: Responde a la necesidad de proteger las reas, el equipo y los controles generales.
6.
7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicacin como proteccin contra los abusos internos e intrusos externos. 8. Adquisicin, Desarrollo y Mantenimiento de los sistemas: Recuerda que en toda labor de la tecnologa de la informacin, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
9.
Gestin de Incidentes de la Seguridad de la informacin Asegurar que los eventos y debilidades en la seguridad de la informacin sean comunicados de manera que permitan una accin correctiva a tiempo.
10. Gestin de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organizacin y para proteger los procesos importantes de la organizacin en caso de una falla grave o desastre. 11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
ISO 17799 no es una norma tecnolgica. Esta redactada de forma flexible. Se adapta a cualquier implantacin en todo tipo de organizaciones sin importar su tamao o sector de negocio.
26
Gestin de comunicaciones y
Se deberan implantar controles para detectar el software malicioso y prevenirse contra l, junto a procedimientos adecuados para concienciar a los usuarios. 27
28