Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ebook Fundamentos de Gestion de Si
Ebook Fundamentos de Gestion de Si
GRATUITO
Fundamentos de
gestión de Seguridad
de la Información
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
isotools.us
Fundamentos de Gestión de
Seguridad de la Información
ÍNDICE
Introducción...........................................................................................................................................04
Gobernanza, políticas y objetivos de seguridad de la información........................05
· La SI y sus objetivos.......................................................................................................................07
· Una política que construya .......................................................................................................08
Planificación y recursos necesarios en seguridad de la información.....................09
· ¿Es necesario planificar en el área de seguridad de la información?....................10
· ¿En qué punto interviene la estrategia?...............................................................................11
· Cuestión de recursos ...................................................................................................................12
Ingeniería en seguridad de la información, definiendo requisitos técnicos.......13
Cumplimiento legal en materia de SI. ¿Qué debe tener en cuenta?.......................17
· Requisitos de diferentes tipos..................................................................................................19
· Otros aspectos por considerar................................................................................................19
02
isotools.us
Disfrute con nuestros
E-BOOKS
Fundamentos de Gestión de
Seguridad de la Información
Introducción
Hoy en día es pertinente afirmar que nos encontramos inmersos en la sociedad de la
información. Parte de la evolución de una sociedad, precisamente, pasa por compartir
información entre sus miembros. La información que se puede transmitir entre los
distintos componentes de la sociedad puede ser de diferentes clases: puede ser personal
o de empresas.
Sin este activo tan valioso, independientemente de su tamaño, una empresa no podría
funcionar. De manera paralela, cuando se habla de seguridad de la información,
normalmente el foco se pone en el ámbito empresarial.
No se puede perder de vista que toda información lleva asociados unos riesgos.
En este sentido puede definirse el riesgo como un efecto de incertidumbre sobre un
objetivo. Los riesgos pueden materializarse en amenazas que afecten a la seguridad de
la información de una empresa u organización.
04
isotools.us
Fundamentos de Gestión de
Seguridad de la Información
Gobernanza, políticas y
objetivos de seguridad de la
01
información
Como líder de una organización, ¿qué gano al invertir tiempo, dinero y esfuerzos
en seguridad de la información? Primero que todo, aclaremos que nuestro gobierno
organizacional requiere entender, supervisar y apoyar todo lo concerniente a este tema,
además de pautar un programa contentivo de prioridades y metas que sean coherentes con
la misión de la empresa. Este compromiso debe reflejarse en la aprobación de recursos y
el apoyo sostenido para lograr el éxito del programa. Un liderazgo fuerte es la base para
construir un sistema de gestión de la seguridad de la información (SGSI) robusto y eficaz. Esto
incluye una participación visible, acción, comunicación constante y privilegiar la seguridad de
la información (SI) en la agenda como un tema destacado. Se espera que el gobierno delegue
públicamente responsabilidades y autoridades que se encargará de la SI.
05
www.isotools.org
Fundamentos de Gestión de
Seguridad de la Información
06
isotools.us
Fundamentos de Gestión de
Seguridad de la Información
La SI y sus objetivos
07
www.isotools.org
Fundamentos de Gestión de
Seguridad de la Información
• Alcance. Las políticas no deben dejar cabos sueltos en cuanto a qué equipos, procesos
y/o sistemas se prevé proteger.
• Sanciones. Para que no quepan dudas de que el tema es serio, es necesario que existan
acciones disciplinarias y que sean aplicadas a quienes vulneren la política.
08
isotools.us
Fundamentos de Gestión de
Seguridad de la Información
Planificación y recursos
necesarios en seguridad de la
02
información
• Organizar y/o crear los medios necesarios para concretar la consecución de los
objetivos planteados.
09
www.isotools.org
Fundamentos de Gestión de
Seguridad de la Información
¡Por supuesto que sí! La planificación es una función básica de gestión que implica
la formulación de uno o más planes detallados para lograr un equilibrio óptimo de
necesidades o demandas con los recursos disponibles.
• Ayuda a asegurar que una organización siga siendo relevante y responda a las
necesidades de SI de su comunidad, contribuyendo a la estabilidad y el crecimiento
de la organización al garantizar la disponibilidad, confidencialidad y disponibilidad de
la información.
10
isotools.us
Fundamentos de Gestión de
Seguridad de la Información
• Proporciona una base para monitorear el progreso y evaluar los resultados e impactos.
11
www.isotools.org
Fundamentos de Gestión de
Seguridad de la Información
Cuestión de recursos
Consideramos que el presupuesto debe estar en sintonía con los riesgos a los
que se expone la organización y con las características de la tecnología. Es muy
importante disponer de personas dentro de la empresa que atiendan o gestionen el
sistema de gestión de seguridad de la información, puesto que esos deberes requieren
una dedicación considerable.
12
isotools.us
Fundamentos de Gestión de
Seguridad de la Información
Ingeniería en seguridad de
la información, definiendo
03
requisitos técnicos
Para estandarizar sus quehaceres y conferir eficacia a la labor ingenieril, los expertos
crearon los principios de seguridad de la información, con el fin cumplir con
requisitos técnicos, operativos y garantizar las propiedades de la información. Con
el propósito de crear un sistema más seguro, también se consideran asuntos no técnicos
como políticas, procedimientos operativos, educación y formación de usuarios.
13
www.isotools.org
Fundamentos de Gestión de
Seguridad de la Información
Los principios sirven como guía para los usuarios, al desarrollar y evaluar requisitos
funcionales; diseñadores e ingenieros, al diseñar, implementar o modificar un sistema
de información; especialistas en TI, durante todas las fases del ciclo de vida del
sistema; gerentes de programa y oficiales de seguridad del sistema de información.
Aunque no todos los principios pueden aplicarse a todos los sistemas, es importante
considerarlos cuidadosamente a lo largo del ciclo de vida de cada sistema. Los principios
son los siguientes:
14
isotools.us
Fundamentos de Gestión de
Seguridad de la Información
• Delinear claramente los límites de seguridad físicos y lógicos regidos por políticas
de seguridad asociadas. La tecnología de la información existe en ubicaciones
físicas y lógicas, y existen límites entre estos lugares. Una comprensión de lo que
debe protegerse de factores externos pueden ayudar a garantizar que se apliquen
las medidas de protección adecuadas donde sean más eficaces. A veces, un límite
se define por las personas, la información y la tecnología de la información asociada
con una ubicación física. Pero esto ignora la realidad de que, dentro de un solo lugar,
pueden existir diferentes políticas de seguridad, algunas que cubren información
de acceso público y algunas abarcan información confidencial no clasificada. Para
complicar aún más el asunto, muchas veces una sola máquina o el servidor puede
albergar información confidencial no clasificada y de acceso público. Como resultado,
se pueden aplicar múltiples políticas de seguridad a una sola máquina o dentro de
un solo sistema. Por lo tanto, al desarrollar un sistema de información, los límites de
seguridad deben ser considerados y comunicados en la documentación relevante del
sistema y en las políticas de seguridad.
15
www.isotools.org
Fundamentos de Gestión de
Seguridad de la Información
Los beneficios incluyen más que solo prevención de pérdida de dinero. Por ejemplo,
los controles pueden ser esenciales para mantener la confianza pública. Los costos
directos incluyen el costo de comprar e instalar una determinada tecnología. Los
costos indirectos incluyen un menor rendimiento del sistema y capacitación adicional.
La meta es mejorar las capacidades de la misión/negocio, mitigando su riesgo a un
nivel aceptable.
16
isotools.us
Fundamentos de Gestión de
Seguridad de la Información
Cumplimiento legal en
materia de SI. ¿Qué debe
04
tener en cuenta?
Evitar sanciones por quebrantar leyes no es la única razón para cumplir con los
reglamentos y legislaciones en materia de seguridad de la información. Observar el
entramado legal propicia una actitud transparente de la organización frente a diferentes
partes interesadas, promueve la aplicación efectiva del sistema de gestión de seguridad
de la información, da un marco de referencia para verificar el cumplimiento de las
regulaciones en materia de SI y apoya el mejor desempeño de la organización, entre
otros. Además, los ciudadanos cada día son más conscientes de la necesidad de preservar
la confidencialidad, integridad y disponibilidad de la información, por ello esperan que
las leyes respalden esa necesidad y evolucionen tan rápido como lo hace la tecnología.
También esperan consumir productos y servicios que provengan de organizaciones
capaces de cumplir con la ley.
• Identificar los requisitos legales. Necesitamos contar con una metodología establecida
para poder identificar cada requisito. Es importante investigar las leyes y regulaciones
emitidas por los gobiernos regionales, nacionales, federales, estatales o locales. Luego
requerimos leerlos, entenderlos, buscar el apoyo experto de personal calificado y
mantenernos al tanto de los cambios, obligaciones o reglas divulgadas en medios oficiales.
17
www.isotools.org
Fundamentos de Gestión de
Seguridad de la Información
• Mejora continua.
18
isotools.us
Fundamentos de Gestión de
Seguridad de la Información
19
www.isotools.org
Fundamentos de Gestión de
Seguridad de la Información
20
isotools.us
La gestión de la Seguridad de la Información,
más ágil que nunca