Está en la página 1de 22

SEGURIDAD

INFORMÁTICA
Logros de la Sesión

Al finalizar la sesión, el estudiante


conocerá la seguridad de la
información y relación con los
estándares ISO 27001 y 27002.
¿QUÉ ES LA SEGURIDAD DE LA
INFORMACIÓN?

Preservación de la Confidencialidad,
Integridad y Disponibilidad de la
Información; adicionalmente, puede
abarcar otras propiedades, como la
autenticidad, la responsabilidad, el no
repudio y la fiabilidad.
FIABILIDAD DE LA INFORMACIÓN

La Fiabilidad de la Información consta de tres aspectos:

 Confidencialidad
 Integridad
 Disponibilidad
PDCA del SGSI
ISO 27001 – Estructura y relación
entre normas aplicables.
NUEVA VERSIÓN ISO 27001
Principales Cambios:

 Compatibilidad con otras normas de sistema de gestión.

 Esta norma internacional emplea la estructura de alto


nivel, definiciones esenciales comunes por lo tanto
mantiene la compatibilidad con otras normas de sistema
de gestión.
ISO 27001 AUDITORÍAS INTERNAS SGSI
La organización debe realizar auditorias internas del SGSI a
intervalos planificados para determinar si los objetivos de control,
los controles, los procesos y los procedimientos de este SGSI:
 Cumplen los requisitos de esta norma internacional y la
legislación y reglamentación correspondiente.
 Cumplen a los requisitos de seguridad de la información
identificados.
 Se implementen y se mantienen de forma efectiva.
 Dan el resultado esperado.
¿QUÉ ES EL ISO/IEC 27002?

ISO: Internacional Organization for Standardization


IEC: International Electro-technical Commission
ISO/IEC 27002:2013 Tecnologías de la Información – Técnicas
de Seguridad – Código de prácticas para los controles de
Seguridad de la Información (anteriormente ISO/IEC
27002:2005)
POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN
 A través de una Política para la Seguridad de la Información,
la gerencia provee dirección y soporte a la organización.

 Esta debe estar escrita de acuerdo a los


Política
requerimientos
regulaciones del negocio al igual que la legislación y
pertinentes.

 La Política de Seguridad de la Información debe ser


aprobada por el Comité y publicada y ser de conocimiento
de todas las partes interesadas(personal de organización,
clientes, proveedores, etc.)
INCIDENTES DE SEGURIDAD DE LA
INFORMACIÓN

Evento singular o serie de eventos de seguridad de


la información inesperados o no deseados, que
tienen una probabilidad significativa de
comprometer las operaciones del negocio y de
amenazar la seguridad de la información.
Incidentes de Seguridad:
Ejemplos
 Control de seguridad ineficaz
 Incumplimiento de la integridad, la o
las
confidencialidad expectativas de disponibilidad de la
información.
 Errores humanos
 Incumplimientos con las políticas o pautas
 Incumplimientos en las disposiciones de seguridad física
 Cambios no controlados en el sistema
 Fallas en el software o hardware
 Violaciones de acceso
Proceso Genérico de Gestión de
Incidentes
Ciclo de Incidente
ANÁLISIS DE RIESGOS

Análisis de Riesgos:
Una herramienta para clarificar cuales son las Amenazas relevantes para los
Procesos Operativos y para identificar los Riesgos asociados. Entonces se
puede determinar el nivel de seguridad apropiado, junto con las medidas de
seguridad apropiadas.
TIPOS DE MEDIDAS DE SEGURIDAD
Tipos de Medidas de Seguridad:
 Medidas Preventivas: Orientado a prevenir Incidentes de Seguridad.
 Medidas Detectivas: Orientados a detectar Incidentes de Seguridad.
 Medidas Represivas: Orientado a detener las consecuencias
de Incidentes de Seguridad.
 Medidas Correctivas: Orientado a recuperarse del daño causado por
Incidentes de Seguridad.
 Compra de un Seguro: Orientado a comprar seguros contra ciertos
Incidentes de Seguridad porque implementar las Medidas necesarias
puede resultar muy costosas.
SEGURIDAD FÍSICA
1. Áreas Seguras:
Objetivo: Evitar el acceso físico no autorizado, los daños e
interferencias a la información de la organización y las
instalaciones de procesamiento de la información.
Contenido:
• Perímetro de seguridad física.
• Controles físicos de entrada.
• Seguridad de oficinas, despachos y recursos.
• Protección contra amenazas externas y ambientales.
• Trabajo en áreas seguras.
• Áreas de carga y descarga.
SEGURIDAD FÍSICA
2. Equipos:
Objetivo: Evitar la pérdida, daño, robo o el compromiso de
los activos y la interrupción de las operaciones de la
organización.
Contenido:
• Emplazamiento y protección de equipos.
• Instalaciones de suministro.
• Seguridad en el cableado.
• Mantenimiento de equipos.
• Retirada de materiales propiedad de la empresa.
• Seguridad de los equipos fuera de las instalaciones.
• Reutilización o eliminación segura de equipos.
• Equipo de usuario desatendido.
• Política de puesto de trabajo despejado y pantalla limpia.
SEGURIDAD FÍSICA
Ejemplos:
• La protección de los equipos a través de controles climáticos (aire
acondicionado, humedad).
• Los cables deben estar distribuidos de forma que no ocurra
interferencia entre ellos.
• El borrado seguro de información confidencial en medios de
almacenamiento cuando una persona deja la organización.
MEDIDAS DE SEGURIDAD
ORGANIZATIVAS
Características:
• Las medidas técnicas están estrechamente relacionadas a
Medidas Organizacionales; las medidas técnicas llevan a cabo o
hacen cumplir las Medidas Organizacionales.
• El ciclo PDCA es una forma de implementar Seguridad de la
Información en la organización.
• Cómo comercializar Seguridad de la Información en la
organización.
• Cómo lidiar con los desastres y cómo prepararse para ellos.
• El aspecto de comunicación de la Seguridad de la Información.
• Los aspectos operacionales, procedimientos de pruebas y la
gestión de Seguridad de la Información.
MEDIDAS DE SEGURIDAD
ORGANIZATIVAS
EJEMPLOS DE MEDIDAS
ORGANIZATIVAS
Política de seguridad de la información:
• Organizar la seguridad de la información.
• Creación de un sistema de gestión de seguridad de información (SGSI).
Personas:
• Proyección y no divulgación.
• Registros de los empleados.
• Concienciación en seguridad.
• Gestión de Accesos.
Gestión de Continuidad del Negocio.
• Plan de Continuidad del Negocio.
• Plan de continuidad de Negocio.
Gestión de comunicación y procesos operativos
• Procedimientos operativos
• Gestión de cambios.