Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LA INFORMACIÓN
• Errores de configuración
• Ransomware
Seguridad de la información vs seguridad
informática
• Seguridad de la información es la disciplina que se
encarga de proporcionar la evaluación de riesgos y
amenazas, trazar el plan de acción y adecuación
para minimizar los riesgos con el objetivo de
asegurar la confidencialidad, integridad y
disponibilidad de los activos de información.
Reputación
Propiedad
intelectual
4. Debemos identificar los activos de información esenciales
para la organización y protegerlos adecuadamente en base a
su confidencialidad, integridad y disponibilidad.
Limitar su Copias de
Cifrado
acceso seguridad
Controles Acuerdos de
y auditoria confidencialidad
Confidencialidad
Asegurar que la información sea accesible sólo por las personas
autorizadas.
Amenazas a la confidencialidad:
• Ingeniería Social.
• Usuarios descuidados.
• Hackers.
• Phising.
• Trashing.
Amenazas a la disponibilidad:
• Denegación de servicio.
• Desastres naturales.
• Acciones humanas (Accidentales o intencionales).
• Virus, Worms → Ransomware.
Dependencia y reporte:
• Seguridad de la información debe reportar a la alta dirección de la
organización y no ser un área mas de la Gerencia de Sistemas.
Políticas, normas y procedimientos
Política de Seguridad de la información
Basada en ISO 27001. Aspectos más importantes que abarca:
• Seguridad frente al acceso por parte de terceros.
• Clasificación y control de activos.
• Concientización al personal.
• Seguridad física y ambiental.
• Gestión de comunicaciones y operaciones.
• Control de accesos.
• Administración de la continuidad de las actividades de la
organización.
Normas
Conjunto de reglas aplicadas a todas las actividades relacionadas al manejo de la información
de una entidad, teniendo el propósito de proteger la información, los recursos y la reputación
de la misma.
Procedimientos
Conjunto de reglas definidas en el nivel operativo para cumplir las políticas y normas definidas
por la organización.
La política de Seguridad de la información de ser aprobada por el comité de Seg. de la información y
comunicadas a todos los integrantes de la organización.
Sistema de gestión de seguridad de la
información:
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto
de políticas de administración de la información. El concepto clave de un SGSI es
el diseño, implantación y mantenimiento de un conjunto de procesos para
gestionar eficientemente la información, buscando asegurar la confidencialidad,
integridad y disponibilidad.
Objetivos:
• Desarrollar una cultura de la seguridad en una empresa.
• Implantar de forma gradual el control de la seguridad de la información.
• Garantizar el crecimiento y la mejora continua de la Seguridad de la
información.
• Adoptar de las mejores prácticas del mercado y de la industria para la
seguridad de la información.
Normativa:
• ISO/IEC 27001 es un estándar generado para
establecer, implantar, mantener y mejorar un Sistema
de Gestión de la Seguridad de la Información.
Matriz de riesgos
Ponderación de activos
Fase 4 – Ejemplo.
Criterio de clasificación de la información:
Fase 5 – Documentación del SGSI.
Objetivos
• Garantizar la repetición en el tiempo de un proceso.
• Establecer un proceso de mejora continua.
Los requisitos de la norma ISO 27001 en este caso nos piden que la
documentación:
• Este completa
• Se encuentre actualizada
• Se realice un control de la documentación.
Objetivos
• Comprobar que el SGSI que hemos implantado
cumple con los requisitos de la norma.
• Comprobar que los requisitos y procesos de la
organización han integrado correctamente los
requisitos de la seguridad de la información
definidos en el SGSI.
Fase 9 – Revisión por la dirección.
La revisión del sistema por parte de la dirección es un requisito de la norma
ISO 27001.
Objetivos
• Garantizar que el SGSI y sus objetivos continúen siendo adecuados y
efectivos.
• Revisar la validez de los problemas identificados y los riesgos de la
organización.