Documentos de Académico
Documentos de Profesional
Documentos de Cultura
¿Seguridad de la información?
Un punto de vista desde el área de la gestión
1. Objetivo de la Seguridad
2. Conceptos Básicos
3. Datos VS Información
4. Seguridad Informática y Seguridad de la Información
5. Etapas de la gestión de la seguridad
6.1 Sistemas de información en las organizaciones
6.2 Requerimientos Generales y de Seguridad
6.3 Objetivos de la administración de seguridad
6.4 Gestión de la seguridad
8. Análisis de riesgos
9. Políticas de seguridad
Objetivos de la Seguridad
Seguridad Informática:
La mayoría de los “especialistas en seguridad” basan sus conocimientos y
experticia solamente en el aspecto técnico tradicional de la seguridad, es decir
del área de TI, aunque algunos consideran las comunicaciones y hoy en día de
habla de TIC.
Pero además del enfoque básicamente técnico, dichos especialistas en realidad
sólo se manejan con vulnerabilidades y en parte también con amenazas bajo la
forma de ataques, todo lo cual no es suficiente para hablar de los riesgos
correspondientes.
Hasta este momento se considera la seguridad informática como una buena
traducción de information security, pero el sentido que se le ha venido dando hoy
en día va encaminado más hacia “computer security” o “network security”.
Seguridad informática y seguridad de la
información
Seguridad de la Información:
Últimamente se viene dando el cambio a seguridad de la información como
traducción más adecuada de information security. Pero muchos especialistas aún
llaman así al aspecto considerado como seguridad informática.
En realidad la seguridad de la información es bastante más amplia, ya que no es
simplemente una cuestión técnica sino responsabilidad de la alta gerencia y
cuadros directivos de una organización.
Ahora se trata, entre otras cosas, de considerar también la gente, los procesos y
funciones de negocio, la protección de todos los activos. Donde toda la empresa es
la impulsora, propietaria y beneficiaria de la seguridad de la información, en un
marco de responsabilidades compartidas.
Seguridad informática y seguridad de la
información
La extensión del concepto usual de Seguridad Informática al de Seguridad de la Información, implica una
visión más amplia de un marco de riesgos de negocios respecto de la perspectiva tradicional de seguridad
técnica, basada principalmente en vulnerabilidades.
• Infraestructura tecnológica
Seguridad
informática
• Procesos
• Recursos Humanos
Seguridad de
la información • Infraestructura tecnológica
Seguridad informática y seguridad de la
información
Sistema de Información:
• Es un conjunto de recursos de información
organizados para la recolección,
procesamiento, mantenimiento, uso,
diseminación o destrucción de la
información [NIST].
• En un SdI intervienen personas, datos
(recursos) y actividades.
Tipos de SdI:
• Transaccionales: Sistemas que permiten
automatizar procesos operativos en la
organización.
• De apoyo a toma de decisiones.
• De ventaja competitiva.
Requerimientos generales:
• Como se mencionó, los sistemas deben
generar un valor a la organización.
• Generalmente es el objetivo que más
preocupa cuando el sistema se está
especificando para sun implantación.
• El objetivo de la calidad del desarrollo, así
como el de la seguridad de la información
que se manipula en él pasan, normalmente
a un segundo término.
Requerimientos generales y de seguridad
Requerimientos de seguridad:
¿Qué tan importante es la información manejada en el
proceso?
¿Cuánto costaría a la organización que la información fuera
imprecisa?
¿Por cuánto tiempo pueden estar fuera de operación los
procesos automatizados?
¿Existen penalizaciones si el proceso no ocurre de manera
correcta?
Requerimientos generales y de seguridad
Objetivos de la organización:
Misión: La misión se refiere a la identificación del
trabajo actual y futuro de la organización: es su
objetivo principal.
Proceso de Admisión
Curso
propedéutico
Entrevista Publicación
Publicación Examen de Revisión y
Registro de con el de la lista
de la selección análisis
comité de de
convocatoria
aspirantes al curso de
admisión aceptados
solicitudes
Examen de
admisión
Gestión de la seguridad
Proceso de Admisión
Curso
propedéutico
Entrevista Publicación
Publicación Examen de Revisión y
Registro de con el de la lista
de la selección análisis
comité de de
convocatoria
aspirantes al curso de
admisión aceptados
solicitudes
Convocatoria
Exámenes
de de
cada Programación Formato de Lista de
Examen entrevista
Fechas y Resultado profesor
de alumnos
Página Web admisión entrevistas aceptados
requisitos de examen Lista
del proceso Lista de Formato de en la página
resultados entrevista
Gestión de la seguridad
Proceso de Admisión
Curso
propedéutico
Entrevista Publicación
Publicación Examen de Revisión y
Registro de con el de la lista
de la selección análisis
comité de de
convocatoria
aspirantes al curso de
admisión aceptados
solicitudes
Convocatoria
Exámenes
de de
cada Programación Formato de Lista de
Jefe
Examen de la entrevista
Fechas y Resultado profesor
de alumnos
Página Web sección
admisión Entrevista
entrevistas aceptados
requisitos de examen Lista
Coordinador
Lista de con el en la página
del proceso Formato de
comité de
Académico
resultados entrevista Jefe de la
Profesores admisión
Jefe de la web
Coordinador
Jefe de la Coordinador Entidad de Sección
sección Académico
Coordinador
Sección Académico evaluación Comisión de Web Master
Académico
Web Master admisión Admón. De
Comisión de
Admón. de Profesores admisión Infraestructura
Infraestructura Comisión de
admisión
Coordinador
Académico
Gestión de la seguridad
• Como ejemplo, el estándar ISO/IEC 27001:2005, tiene
como objetivo el establecimiento, la implementación,
la operación, la revisión y el mantenimiento de los
procesos del Sistema de Gestión de la Seguridad de la
Información (SGSI).
• La decisión de adoptar un SGSI debe ser estratégica
para la organización.
• La implementación del SGSI depende de los objetivos
y requerimientos de seguridad que tenga la
organización en particular.
• Este estándar adopta el modelo “Plan-Do-Check- Act”,
PDCA.
Gestión de la seguridad
Gestión de la seguridad
1.Plan. Establecer las políticas, objetivos, procesos y
procedimientos del SGSI para administrar el riesgo, y para
mejorar la seguridad, conforme a las políticas y objetivos
generales de la organización.
2.Do. Implementar y operar las políticas, objetivos, procesos y
procedimientos del SGSI.
3.Check. Evaluar y, cuando sea posible, medir el desempeño de
los procesos respecto a la política del SGSI, los objetivos y la
experiencia, y reportar los resultados para su revisión.
4.Act. Adoptar medidas correctivas y preventivas basadas en los
resultados de la evaluación y revisión , para establecer las
mejoras convenientes, de manera continua.
Análisis de riesgos
La forma más recomendada de determinar realmente qué controles de
seguridad específicos requiere una organización es el análisis de riesgos.
De hecho, en la fase de establecimiento del SGSI (Plan), este análisis es uno de
los elementos clave, e incluye:
• Determinar la metodología para análisis de riesgos.
• Identificar los riesgos
• Analizar y evaluar los riesgos identificados (considera incluso factores
legales).
• Seleccionar los controles y objetivos de control para mitigar los riesgos
identificados.
• Determinar los riesgos residuales (que no son cubiertos por los controles
propuestos).
El estándar BS 7799-3:2006 es una guía para la administración de riesgos de
seguridad de la información.
Análisis de riesgos
Análisis de riesgos
Referencia: BS7799-3:2006
Análisis de riesgos
El modelo propuesto en el estándar BS7799-3:2006 muestra una
búsqueda de la mejora continua estableciendo un ciclo de
revaloración de los riesgos y de los controles empleados para
administrarlos ya sea:
• Reduciéndolos.
• Aceptándolos.
• Transfiriéndolos.
• Evitándolos.
En todos los casos se considera el riesgo residual como el
remanente después de haber elegido una estrategia para
tratarlo.
Normalmente este riesgo residual debe ser aprobado por la alta
gerencia.
Cada Control que se recomiende en el AR debe contar con
Políticas asociadas, para garantizar su efectividad.
Políticas de Seguridad
Recordatorio:
Preventivas
Operativas
Detectivas
Reactivas
De garantía.
Actividad 2:
@sard88
Sergio.rueda@Hotmail.com