Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sistemas de Gestión de La Seguridad de La Información PDF
Sistemas de Gestión de La Seguridad de La Información PDF
DE LA INFORMACIÓN
Estructura de contenidos
1. Sistemas de información.........................................................3
5.4 Quitar los procesos del negocio que generan el riesgo (Evitar)...15
2
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
INTRODUCCIÓN
Es un hecho que las organizaciones actuales dependen cada vez más del
correcto tratamiento que se da a la información, por lo tanto que tener un
SGSI permite mitigar los riesgos asociados con el manejo de la información
y garantiza la continuidad del modelo de negocio mediante la generación
de valor agregado en los productos y servicios que se suministran a los
clientes.
1. Sistemas de información
3
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
Los riesgos más comunes a los que están expuestos los sistemas de
información son:
• Accesos no autorizados
•
C atástrofes naturales: incendios, inundaciones, terremotos
tormentas, descargas atmosféricas
• Vandalismo en infraestructura
4
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
Base
de
Datos
Hardware
• Acceso no • Intervención • Piratería informática
telefónica Sistemas operativos
autorizado • Virus y gusanos
Software
• Errores • Husmeo de • Robo y fraude
• Virus y la red • Vandalismo
• Robo de datos
spyware • Alteración de • Ataques de
mensajes negación • Copiado de datos
• Alteración de datos
• Robo y fraude del servicio
Radiación • Falla del hardware
• Falla del software
• Catástrofes naturales: incendios, inundaciones, terremotos, ...
2. Seguridad de la información1
El siguiente gráfico nos muestra los aspectos más importantes que deben
ser tenidos en cuenta por la gerencia para gestionar la seguridad de la
información de efectivamente:
1 http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
5
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
Características de la
seguridad de la información
SEGURIDAD
Niveles deprotección
Controles físicos DE LA
de la información
INFORMACIÓN
Controles lógicos
6
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
• Firewalls
• Antivirus
• Proxys
7
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
Los SGSI ofrecen una visión global sobre el estado de los sistemas
de información, las medidas de seguridad que se están aplicando y
los resultados que se están obteniendo de dicha aplicación; con esta
información la gerencia de la organización tiene la capacidad de reaccionar
rápidamente ante cualquier incidente de seguridad, identificando la raíz
del problema y tomando las decisiones pertinentes sobre la estrategia a
seguir.
8
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
PROTECCIÓN PERIMETRAL
Controles lógicos
Políticas de seguridad
Protocolos seguros
Documentación
Category Product OrderDetail
Usuarios
Properties Properties Properties
Intercambio y Movilidad
CategoryID ProductID OrderID
CategoryName ProductName ProductID
Description SupplierID UnitPrice
Picture CategoryID Quantity
QuantityPerUnit Discount
UnitPrice
UnistsInStock
UnitsOnOrder
Supplier ReorderLevel
Discontinued
Properties Order
SupplierID
CompanyName Properties
ContactName Customer OrderID
ContactTitle CustomerID
Address Properties EmployeeID
City CustomerID OrderDate
Region CompanyName RequiredDate
PostalCode ContactName ShippedDate
Country ContactTitle ShipVia
Control de acceso
Phone Address Freight
Fax City ShipName
HomePage Region ShipAddress
PostalCode ShipCity
Country ShipRegion
Autenticación
Phone ShipPostalCode
Fax ShipCountry
Niveles de acceso
010010
001000
110101 Antivirus
111100
Aplicaciones
UPS
Puestos de
Controles físicos
trabajo
Soportes físicos
Servidores
Servicios externos Proxy
Técnicas de encriptación
Desarrollo y mantenimiento
9
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
Hacer
Do
Planear
Check
Act
Verificar
Actuar
10
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
11
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
aprovechan
Amenazas Vulnerabilidades
exponen
protegen de
aumentan aumentan
disminuyen
Controles Riesgos Activos
marcan aumenta
imponen tienen
Requerimientos impactan si se Valor de los
de seguridad materializan activos
12
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
El siguiente gráfico nos nuestra los diferentes enfoques que existen para
abordar el tratamiento del riesgo:
13
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
IDENTIFICAR Y ANALIZAR
PLANIFICAR
Identificar:
Definir:
• Activos
• Alcance
• Amenazas
• Política
• Vulnerabilidades
• Metodología
Analizar:
• Riesgos
• Costo/beneficio
LA DIRECCIÓN
Decidir tratamiento de riesgos
Aceptar riesgos residuales
Controles:
• Seguros • Cesar la actividad
• Seleccionar No hacer nada
• Proveedores que lo origina
• Implantar
14
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
5.4 Quitar los procesos del negocio que generan el riesgo (Evitar)
Eliminar el riesgo implica suprimir los procesos que lo generan, esto resulta
altamente inconveniente por que para conseguirlo se requiere cambiar el
modelo de negocio con que funciona la organización.
• Controles manuales
• Controles Semiautomáticos
• Controles Automáticos
15
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
GLOSARIO
16
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
17
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
18
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
BIBLIOGRAFÍA
19
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje
Control de documento
Construcción Objeto de Aprendizaje
Sistemas de Gestión de la Seguridad de la Información
Desarrollador de contenido Alejandro Pinzón Roberto
Experto temático
Asesor pedagógico Rafael Neftalí Lizcano Reyes
Producción Multimedia Luis Fernando Botero Mendoza
Victor Hugo Tabares
Programadores Daniel Eduardo Martínez
Francisco José Lizcano
Líder expertos temáticos Ana Yaqueline Chavarro Parra
Líder línea de producción Santiago Lozada Garcés
20
FAVA - Formación en Ambientes Virtuales de Aprendizaje SENA - Servicio Nacional de Aprendizaje