Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad Informática
confidencialidad: asegurar que la infor
mación sea accesible sólo por aquellos us
uarios autorizados para tener acceso;
Seguridad Informática
integridad: salvaguardar que la informació
n y los métodos de procesamiento sean
exactos y completos
disponibilidad: asegurar que los usuarios autorizados tengan ac
ceso a la información y bienes asociados cuando lo requieran
La seguridad de la información se
logra mediante la implementación
de un adecuado
conjunto de controles, los que podrían
Seguridad Informática ser políticas, prácticas, procedimientos,
estructuras organizacionales
y funciones de software. Se necesita
establecer estos controles para
asegurar que se cumplan los objetivos
específicos de seguridad de la
organización.
¿Cómo establecer los requisitos de seguridad?
Es esencial que una organización identifi
que sus requisitos de seguridad. Existen
tres fuentes principales
Seguridad Informática
A) evaluar los riesgos para la organización
través de esta evaluación,
se identifican las amenazas a los bienes, la
vulnerabilidad, se evalúa la
probabilidad de ocurrencia y se estima el
impacto potencial
La segunda fuente es la legal, estatutaria, regula
toria y los requisitos contractuales que
tiene que satisfacer tanto la organización, como
sus socios comerciales, los proveedores y
personal externo de servicios
Seguridad Informática
La tercera fuente es un conjunto particular de
principios, objetivos y requisitos para el
procesamiento de la información que una
organización ha desarrollado para el apoyo
De sus operaciones
2 Términos y definiciones
Para los propósitos de esta norma, se aplican los términos
y definiciones siguientes:
2.1 confidencialidad: aseguramiento de que la
información sea accesible sólo por quienes
están autorizados para tener acceso
2.2 disponibilidad: aseguramiento de que los usuarios
tengan acceso a la información y
bienes asociados cuando lo necesiten
Seguridad Informática 2.3 evaluación del riesgo: cuantificación de las amenazas
de impactar y vulnerar la
información y las instalaciones de procesamiento de la inf
ormación y la probabilidad de ocurrencia
2.4 gestión del riesgo: proceso de identificación, control
y minimización o eliminación de
los riesgos de la seguridad que pueden afectar los sistema
s de información, a un costo aceptable
2.5 integridad: salvaguardia de la exactitud y totalidad de
la información y de los métodos de procesamiento
2.6 seguridad de la información: preservación de la confi
dencialidad, integridad y disponibilidad de la información
Política de seguridad
Objetivo: Fijar la orientación y el apoyo de la
Seguridad Informática
dirección a la seguridad de la información
La dirección debería fijar una política de orientación clara y demostrar el apoyo y el
compromiso con la seguridad de la información mediante la publicación y
Mantenimiento de una política de seguridad de la información en toda la
organización
Documentación de la política de segurid
ad de la información
Debería aprobar un documento de la política de
seguridad, publicarlo y comunicarlo,
cuando sea apropiado, a todos los empleados.
Seguridad Informática Esto establecería un
compromiso de la dirección y fijaría el tratamiento
de la organización para gestionar la
seguridad de la información
Como mínimo, se debería incluir la guía siguiente:
por ejemplo
a) cumplimiento con los requisitos legislativos y contractuales
e) consecuencias de las violaciones a la política de seguridad
una definición de las responsabilidades
generales y específicas de gestión de seguridad
de la información, que incluya un informe de
incidentes en la seguridad
Seguridad Informática
referencias a la documentación que puede
apoyar la política, por ejemplo, políticas de
seguridad más detalladas y procedimientos
para sistemas de información específicos o
reglas de seguridad que debieran cumplir los
usuarios
Esta política se debería comunicar
a los usuarios de toda la
organización en una forma que sea
Seguridad Informática pertinente, accesible y entendible
por el lector objetivo
Revisión y evaluación de Políticas de Seguridad