Resumen Chapter 3 Seguridad de la Informacin y Administracin de Riesgos La gestin de la seguridad incluye la gestin de riesgos, las polticas de seguridad de la informacin,

los procedimientos, normas, directrices, lneas de base, clasificacin de la informacin, la seguridad de las organizaciones. Estos componentes fundamentales sirven como la base de un programa de incorporacin de la seguridad. El objetivo de la seguridad, y un programa de seguridad, es proteger a la empresa y sus activos. Un anlisis de riesgo identifica a estos activos, descubre las amenazas que los ponen en riesgo, y las estimaciones de los posibles daos y la prdida potencial que podra causar. Las empresas que podran soportar algunas de estas amenazas se convierten en reales. El anlisis de riesgos ayuda a la gestin de la construccin de un presupuesto con los fondos necesarios para proteger a los activos de sus amenazas identificadas y desarrollar las polticas aplicables de seguridad que proporcionen orientacin para las actividades de seguridad. La educacin y la conciencia de seguridad esta informacin la tiene cada empleado dentro de la empresa y todo mundo est bien informado y de esta forma es ms fcil trabajar hacia los objetivos de seguridad misma.

Seguridad de las Responsabilidades de Gestin

En el mundo de la seguridad, las funciones de la administracin incluyen la determinacin de objetivos, mbito de aplicacin, las polticas, prioridades y estrategias. La administracin debe definir un mbito claro. La gestin de la seguridad se basa en la correcta identificacin y valoracin de los activos de una empresa, y la implementacin de polticas de seguridad, procedimientos, normas y directrices para proteger la, confidencialidad y disponibilidad de los activos. La gestin de varias herramientas se utiliza para clasificar los datos y realizar anlisis de riesgos y las evaluaciones. Estas herramientas identifican las vulnerabilidades y las tasas de exposicin y el rango de la gravedad de la vulnerabilidad identificada para que las medidas preventivas eficaces puedan ser implementadas para mitigar el riesgo en un costo de manera eficaz.

MTI Alumno: Marco Antonio Prez Solano

La responsabilidad de la administracin es brindar proteccin a los recursos es responsable de la empresa en general. Estos recursos provienen de seres humanos, capital, hardware, y las formas de informacin. La gerencia debe ocuparse de garantizar que un programa de seguridad que se establece es capaz de reconocer las amenazas que pueden afectar a estos recursos y estar seguro de que las medidas de proteccin necesarias se lleven a efecto. Los recursos necesarios y la financiacin deben estar disponibles, y representantes estratgicos objetivos deben estar preparados para participar en el programa de seguridad. La gerencia debe asignar responsabilidad y determinar las funciones necesarias para obtener el programa de seguridad y que lo mantenga prspero y evolucionando a medida que cambia el entorno. La gerencia debe tambin integran el programa en el entorno empresarial actual y vigilar su cumplimiento. Apoyo a la gestin es una de las piezas ms importantes de la seguridad del programa.

La Diferencia entre los Controles Administrativos, Tcnicos y Fsicos

La construccin de un programa de seguridad es similar a construir una casa. En el diseo y la implementacin de un programa de seguridad, los profesionales de seguridad deben determinar la funcionalidad y darse cuenta de que el resultado final es el esperado. Muchas veces, las empresas tan slo comienzan a bloquear computadoras, la instalacin de firewalls sin tomarse el tiempo para entender los requisitos generales de seguridad, objetivos y niveles de seguridad que esperan de la seguridad como un todo dentro de su entorno. El equipo involucrado en el proceso debe comenzar desde la parte superior con las ideas muy amplias y las condiciones de trabajo y su camino hacia abajo a configuraciones detalladas y configuracin de parmetros del sistema. En cada paso, el equipo debe tener en cuenta los objetivos generales de seguridad para cada pieza se aade a proporcionar ms granularidad a la intencin meta. Esto ayuda al equipo a evitar que se astille los principales objetivos de funcionamiento en 15 direcciones diferentes a la vez. El siguiente paso es desarrollar e implementar procedimientos, normas y directrices que apoyan la poltica de seguridad e identificar las medidas de seguridad y mtodos de SAO a ser puesto en marcha. Una vez que estos
MTI Alumno: Marco Antonio Prez Solano

elementos se desarrollan, el programa de seguridad cada vez, est en la granularidad de las lneas de base de desarrollo y las configuraciones para la seguridad elegida en cuanto a controles y mtodos. Si la seguridad comienza con una base slida y se desarrolla con el tiempo comprendido en metas y objetivos, una empresa no necesita hacer cambios drsticos en medio de la corriente. El proceso puede ser metdico, que requieren menos tiempo, los fondos y recursos, y proporcionar un equilibrio adecuado entre la funcionalidad y proteccin. Esta no es la norma, pero con su visin, tal vez pueda ayudar a la seguridad de su enfoque de la empresa de una manera ms controlada Usted puede proporcionar la visin necesaria y la comprensin de cmo la seguridad debe ser debidamente planificado y ejecutado, y cmo debe evolucionar en una forma, por lo tanto a la compaa evitar un resultado que es esencialmente un gigante de productos inconexos, de seguridad defectuoso. Un programa de seguridad debe usar un enfoque de arriba hacia abajo, lo que significa que el inicio, el apoyo puerto, y la direccin provienen de la alta direccin, se abren paso a travs de medios artificiales gestin, y luego llegar a los miembros del personal. Por el contrario, un enfoque de abajo hacia arriba se refiere a una situacin en la que el departamento de TI trata de desarrollar un programa de seguridad, sin apoyo a la gestin y direccin adecuadas. Un enfoque de abajo hacia arriba suele ser menos eficaz, no lo suficientemente amplia, y condenado al fracaso. Un enfoque de arriba hacia abajo hace que la gente realmente responsable de proteger los activos de la empresa (alta direccin) est impulsando el programa. Los controles administrativos incluyen el desarrollo y publicacin de de polticas, normas, procedimientos y directrices, gestin de riesgos; la seleccin de personal, la realizacin de la seguridad, la conciencia de capacitacin, y aplicacin de los procedimientos de control de cambios. Los controles tcnicos (tambin llamados controles lgicos) que consisten en implementar y mantener los mecanismos de control de acceso, contrasea y mtodos de gestin de recursos, identificacin y autenticacin, la seguridad dispositivos y la configuracin de la infraestructura. Los controles fsicos Estos implican el control de acceso individual a las instalaciones y los diferentes departamentos, sistemas de cierre y la eliminacin

MTI Alumno: Marco Antonio Prez Solano

de disco innecesarias o CD-ROM, la proteccin del permetro de la instalacin, el monitoreo de intrusiones y control ambiental.

Los Tres Principios de Seguridad Principal

Los programas de seguridad tienen varios objetivos pequeos y grandes, pero los tres principales en todos los programas son la disponibilidad, integridad y confidencialidad. Estos se refieren a como la trada de la AIC. El nivel de seguridad necesario para llevar a cabo estos principios es diferente con cada empresa, porque cada uno tiene su propia combinacin de negocios y objetivos y requisitos de seguridad. Todos los controles de seguridad, mecanismos y salvaguardias implementado para proporcionar una o ms de estos principios, y todos los riesgos, amenazas y vulnerabilidades se miden por su capacidad potencial de comprometer una o todas. Los principios de la AIC. Parte de la documentacin sobre este tema puede invertir el orden de siglas, llamndola la trada de la CIA, pero todava se refiere a los conceptos.

Rendicin de Cuentas, la Supervisin y las Prcticas de Auditora

El tema debe ser considerado responsable de las acciones realizadas dentro de un sistema o dominio. La nica manera de garantizar la rendicin de cuentas es si el sujeto se identifica y las acciones del sujeto se registran. Controles de acceso lgico son herramientas utilizadas para la identificacin, autenticacin, autorizacin, y la rendicin de cuentas. Se trata de componentes de software que cumplen las medidas de control de acceso de los sistemas, programas, procesos e informacin. Los controles de acceso lgico pueden ser incrustadas dentro de los sistemas operativos, aplicaciones, paquetes adicionales de seguridad, o de datos base y de gestin de sistemas de telecomunicaciones. Puede ser un reto para sincronizar todos los controles de acceso y asegurar que todas las vulnerabilidades estn cubiertas sin producir superposicin de funciones.

MTI Alumno: Marco Antonio Prez Solano

Gestin de Riesgos y Anlisis de Riesgos

De riesgo en el contexto de la seguridad es la posibilidad de que ocurra el dao. Gestin de riesgos de la informacin (IRM) es el proceso de identificar y evaluar el riesgo, reducindolo a un nivel aceptable, y aplicacin del derecho de los mecanismos para mantener ese nivel. No hay tal cosa como un 100 por ciento seguro de medio ambiente. Cada entorno tiene vulnerabilidades y amenazas a un cierto grado. La habilidad consiste en la identificacin de estas amenazas, la evaluacin de la probabilidad de que realmente est ocurriendo y el dao que llegue a causar, deben de tomarse las medidas adecuadas para reducir el nivel general de riesgo en el entorno donde la organizacin debe de identificar como aceptable. Los riesgos para una empresa vienen en diferentes formas, y no son todos los relacionados con la informtica. Cuando una compaa adquiere otra empresa, que toma en un terreno de riesgo con la esperanza de que esta medida aumentar su base de mercado, la productividad y rentabilidad. Si una empresa aumenta su lnea de productos, esto se puede agregar una sobrecarga, aumento de la necesidad de personal e instalaciones de almacenamiento, requieren ms fondos para los diferentes materiales, y tal vez aumentar la industria prima de reaseguro y los gastos de las campaas de marketing. CISSP. Los problemas ms crticos as como ofrecer el mayor rendimiento de la inversin de los fondos, de esto es lo que se trata la gestin de riesgos, y para las organizaciones, corporaciones y empresas de todo el mundo, es ms importante que el IDS, hacking tico, malware, y cortafuegos. Sin embargo, la gestin del riesgo no es tan "sexy" y por lo tanto no tiene su atencin necesarios o ejecucin. Una adecuada gestin del riesgo requiere un fuerte compromiso de la alta direccin, un proceso documentado que apoya la misin de la organizacin, una poltica de IRM, y un delegado del equipo de IRM. La poltica de IRM debe ser un subconjunto de la gestin de riesgos de la organizacin en general poltica (los riesgos para una empresa son ms que cuestiones de seguridad de la informacin) y debe ser asignan a las polticas de seguridad de la organizacin. La poltica de IRM debera abordar los elementos siguientes:

MTI

Los objetivos del equipo de IRM.

Alumno: Marco Antonio Prez Solano

El nivel de riesgo que la sociedad acepte y lo que se considera un nivel aceptable nivel de riesgo. Los procesos formales de identificacin de riesgos. La conexin entre la poltica y la IRM de organizacin estratgica los procesos de planificacin.

Seguridad de las Polticas

Las computadoras y la informacin procesada en ellos por lo general tienen una relacin directa con misiones crticas de una empresa y sus objetivos. Debido a este nivel de importancia, la alta gerencia debe hacer la proteccin de estos elementos de alta prioridad y cmo un programa de gestin de riesgos se pueden configurar. Los objetivos de las normativas serian:

Definir y clasificar las metas y objetivos. Definir roles, responsabilidades y escala de autoridad. Establecer criterios aceptables y uniformes de conducta. Informar al personal sobre sus obligaciones y medidas a tomar por incumplimiento. Informar a terceros sobre las definiciones establecidas por la organizacin. Garantizar el cumplimiento de normativas externas.

Las consideraciones de las poltica son: Debe ser dictada por un Comit de Seguridad. Debe ser aprobada por las mximas autoridades. Debe ser comunicada a todo el personal y terceros. El personal y los terceros debe aceptar formalmente la Poltica. Debe integrarse con la Poltica de Gestin de Riesgos. Debe ser escrita en lenguaje claro sin ambigedades. Debe ser consistente con las normativas legales y corporativas existentes.

Clasificacin de la Informacin
MTI Alumno: Marco Antonio Prez Solano

Contempla lo siguiente: Define la informacin como un activo de la organizacin. Define los propietarios de la informacin. Define a los custodios de la informacin. Define el proceso de clasificacin de la informacin. Establece las responsabilidades en el proceso de clasificacin de la informacin. Determina el criterio de clasificacin de la informacin. Establece los controles mnimos sobre la informacin para cada nivel establecido cumplimiento con normativas existentes.

Seguridad de la Conciencia de la Formacin

Las directivas de la administracin relacionadas con la seguridad se reflejan en la seguridad las normas de hielo, y el, procedimientos y directrices para apoyar estas. Sin embargo, estas directrices no sern eficaces si no se sabe acerca de ellos y cmo la empresa espera que se implementen. Para la seguridad de tener xito y eficacia, todo el mundo de la alta gerencia hacia abajo al resto del personal debe ser plenamente conscientes de la importancia de la seguridad de la empresa y la informacin. Todos los empleados debe entender el significado profundo de la seguridad y la seguridad de la especfica requisitos correspondientes que se espera de ellos. Los roles y responsabilidades son: Gerencia General

Responsable final por la seguridad de la informacin de la organizacin. Responsable de Seguridad de la Informacin. Responsable de la gestin de la seguridad de la informacin de la organizacin.

Analista de Seguridad de la Informacin Encargado de evaluar las amenazas y vulnerabilidades y definir los estndares, normas y base lines necesarios. Disear esquemas seguros. Administrador de Seguridad

MTI Alumno: Marco Antonio Prez Solano

Encargado de implementar las definiciones de seguridad en los entornos informticos.

Dueo de aplicacin DBA

Define los requisitos de seguridad funcional necesarios. Define y aprueba los perfiles de acceso a la aplicacin.

Define y administra la seguridad de las bases de datos. Change Control Analyst. Evala el impacto en la seguridad de los cambios informticos. Aprueba y controla los cambios.

Auditor Evala los controles de seguridad informtica y presenta recomendaciones a la alta gerencia.

MTI Alumno: Marco Antonio Prez Solano